Cloudflare et la conformité au RGPD

Cloudflare est une entreprise spécialisée dans les solutions d'amélioration de la sécurité, des performances et de la fiabilité dont le siège social se trouve aux États-Unis. Ses opérations mondiales incluent cinq bureaux en Europe, proposant une large gamme de services réseau aux entreprises de toutes les tailles, partout dans le monde. Nous contribuons à rendre les applications Internet et les sites web de nos clients plus sûrs, à améliorer les performances de leurs applications stratégiques, ainsi qu'à éliminer la complexité et les coûts liés à la gestion d'équipements réseau physiques individuels. Le réseau mondial de Cloudflare (soutenu par des serveurs Edge implantés dans plus de 300 villes à travers le monde, comme décrit ici) sert de base nous permettant de rapidement développer et déployer nos produits pour nos clients.

Les types de données personnelles que Cloudflare traite pour le compte d'un client dépendent des services Cloudflare mis en œuvre chez ce dernier. Pour la plupart de nos services pour applications et services réseau les plus populaires, Cloudflare ne stocke pas le contenu de ses clients, ni n'a de contrôle sur les données que ses clients choisissent de transmettre, d'acheminer, de commuter et de mettre en cache sur notre réseau mondial. Dans un certain nombre de cas limités, les produits Cloudflare peuvent être utilisés à des fins de stockage de contenu. Toutefois, quels que soient les services Cloudflare qu'ils utilisent, nos clients sont entièrement tenus de respecter la législation applicable et leurs dispositions contractuelles indépendantes concernant les données qu'ils choisissent de transmettre, d'acheminer, de commuter, de mettre en cache ou de stocker par le biais du réseau mondial de Cloudflare.

Concernant nos services pour applications et nos services réseau, la vaste majorité des données qui transitent par notre réseau demeurent sur les serveurs de périphérie (Edge) de Cloudflare. Les métadonnées relatives à cette activité sont traitées pour le compte de nos clients au sein de nos datacenters implantés aux États-Unis et en Europe.

Cloudflare conserve des données de journalisation sur les événements de son réseau. Certaines de ces données comprendront des informations sur les visiteurs et/ou les utilisateurs autorisés sur les domaines, les réseaux, les sites web, les interfaces de programmation d'applications (« API ») ou les applications d'un client, y compris le produit Cloudflare Zero Trust, le cas échéant. Ces métadonnées contiennent des données personnelles extrêmement limitées, le plus souvent sous forme d'adresses IP. Nous traitons ce type d'informations pour le compte de nos clients au sein de nos datacenters implantés aux États-Unis et en Europe, et ce pour une période limitée.

Nous considérons la sécurité comme un élément essentiel pour garantir la confidentialité des données. Depuis le lancement de Cloudflare en 2010, nous avons mis sur le marché un certain nombre de technologies de pointe qui améliorent la protection de la vie privée, en conservant généralement une longueur d'avance sur le reste du secteur. En autres possibilités, ces outils permettent à nos clients de chiffrer facilement le contenu des communications via Universal SSL, de chiffrer ou, dans tous les cas, de protéger les métadonnées contenues dans les communications à l'aide de nouveaux protocoles, comme le DNS-over-HTTPS, le DNS-over-TLS et l'Oblivious HTTP. Ils nous permettent également de contrôler l'endroit où sont conservées leurs clés SSL ou celui dans lequel leur trafic est inspecté.

Nous disposons d'un programme de sécurité qui va au-delà des normes du secteur. Il comprend le maintien de politiques et de procédures de sécurité formelles, l'établissement de contrôles d'accès logiques et physiques appropriés et l'application de mesures de protection techniques dans les environnements d'entreprise et de production, y compris l'établissement de configurations, transmissions et connexions sécurisées, la journalisation, la surveillance et la mise en place de technologies de chiffrement adéquates pour les données personnelles.

Nous disposons actuellement des validations de conformité suivantes : ISO 27001, ISO 27701, ISO 27018, SOC 2 Type II et PCI DSS niveau 1. Nous disposons également d'une certification pour l'European Cloud Code of Conduct (le Code de conduite cloud de l'UE) et la norme allemande C5 2020. Pour en savoir plus sur nos certifications et nos rapports, cliquez ici.

Pour consulter les mesures de sécurité que nous proposons pour la protection des données à caractère personnel, y compris les données personnelles transférées depuis l'Espace économique européen (EEE) vers les États-Unis, nous vous invitons à consulter l'Annexe 2 de notre ATD standard.

Le règlement général sur la protection des données de l'UE (RGPD) fournit un certain nombre de mécanismes juridiques pour veiller à ce que les garanties appropriées, les droits applicables et les recours juridiques efficaces soient disponibles pour les personnes concernées européennes dont des données personnelles sont transférées de l'EEE vers un pays tiers (un pays non couvert par le RGPD ou considéré comme ayant des lois adéquates en matière de protection des données).

Ces mécanismes sont les suivants :

• La Commission européenne décide qu'un pays tiers assure un niveau de protection adéquat après avoir évalué son état de droit, son respect des droits de l'homme et des libertés fondamentales, ainsi qu'un certain nombre d'autres facteurs ;

• Un contrôleur de données ou un responsable du traitement des données met en place des règles d'entreprise contraignantes ;

• Un contrôleur de données ou un responsable du traitement des données met en place des clauses types de protection des données adoptées par la Commission ; ou

• Un contrôleur de données ou un responsable du traitement des données met en place un code de conduite approuvé ou un mécanisme de certification approuvé.

Lorsque Cloudflare transfère à l'international des données personnelles issues de l'EEE, de Suisse ou du Royaume-Uni (« R-U »), nous nous reposons sur les Clauses contractuelles types de la Commission européenne (« CCT »), en incluant des mesures supplémentaires selon les besoins. De même, pour les transferts vers les États-Unis, nous avons également établi notre conformité au cadre de protection des données UE-États-Unis (« CPD UE-États-Unis »), au cadre de protection des données Suisse/États-Unis (« CPD Suisse/États-Unis ») et/ou à l'extension R-U du CPD UE-États-Unis. Notre addendum relatif au traitement des données (« ATD ») standard continuera d'inclure les CCT de l'UE afin de nous assurer que nous disposons de plusieurs bases juridiques pour le traitement des données.

Oui. Lorsque Cloudflare transfère des données personnelles issues de l'espace économique européen, de Suisse ou du Royaume-Uni vers les États-Unis, nous nous reposons sur nos certifications établies, respectivement, à l'égard du cadre de protection des données UE-États-Unis (« CPD UE-États-Unis »), du cadre de protection des données Suisse/États-Unis (« CPD Suisse/États-Unis ») et de l'extension R-U du CPD UE-États-Unis. Si ces certifications devaient devenir caduques ou invalidées de quelque façon que ce soit, Cloudflare se reposerait sur les Clauses contractuelles types de l'UE, en incluant les mesures supplémentaires nécessaires aux transferts vers les États-Unis. Nous utilisons également les Clauses contractuelles types standard pour les autres transferts internationaux effectués depuis l'EEE, la Suisse ou le Royaume-Uni.

En octobre 2022, le président américain Biden a signé le décret présidentiel 14086 (Executive Order 14086, EO14086), qui introduisait de nouvelles garanties pour les activités de renseignement d'origine électromagnétique des États-Unis afin de rendre possible le cadre de protection des données (CPD) UE-États-Unis. En se basant sur les mesures de protection accordées par l'EO14086, la Commission européenne a adopté une décision d'adéquation concernant ce cadre. Fait important, ces protections s'appliquent de manière égale à tous les transferts : ceux visés par l'un des CPD ou ceux effectués dans le cadre des Clauses contractuelles types de l'UE (voir la note d'information du CEPD sur les transferts de données effectués dans le cadre du RGPD avec les États-Unis après l'adoption de la décision d'adéquation du 10 juillet 2023 (en anglais, l'Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023).

Les protections établies par l'EO14086 comprennent des mesures permettant de garantir que la confidentialité et les libertés individuelles demeurent au centre des préoccupations au sens où (i) les activités de renseignement d'origine électromagnétique ne doivent être conduites que lorsque « nécessaire » pour faire progresser une priorité validée en matière de renseignement, et (ii) uniquement dans la mesure et d'une manière « proportionnelle » à cette priorité. Le décret EO14086 définit également un mécanisme de recours à plusieurs niveaux permettant aux particuliers de bénéficier d'une procédure d'enquête et de recours indépendante et contraignante quant aux plaintes qu'ils ont déposées et qui visent à démontrer que leurs informations personnelles collectées par les services de renseignement des États-Unis ont été traitées d'une manière qui enfreint leurs droits en matière de confidentialité.

Comme nous estimons que le fait de gagner et de conserver la confiance de nos clients constitue un aspect essentiel, Cloudflare a mis en place des mesures de protection des données bien avant l'affaire « Schrems II » (affaire C-311/18, opposant le commissaire à la protection des données à Facebook Ireland et Maximillian Schrems), notamment plusieurs des garanties supplémentaires recommandées par le CEPD dans ses recommandations post-Schrems II (Recommandations 01/2020 sur les mesures complétant les outils de transfert pour assurer la conformité vis-à-vis du niveau de protection des données personnelles de l'UE adopté le 18 juin 2021).

Cloudflare a des engagements forts en matière de transparence et de responsabilisation concernant le traitement des données personnelles tel que décrit ci-dessus. Notre ATD rend d'ailleurs bon nombre de ces engagements contraignants d'un point de vue contractuel. Lorsque nous avons publié notre tout premier rapport de transparence en 2014 concernant une procédure judiciaire engagée en 2013, nous nous sommes engagés à exiger l'existence d'une procédure judiciaire avant de communiquer des données sur nos clients à une entité gouvernementale en dehors d'une situation d'urgence, ainsi qu'à informer nos clients de toute procédure judiciaire demandant la communication d'informations sur leurs clients ou sur leur facturation avant de divulguer ces dernières, sauf dans les cas interdits par la loi. Nous avons déclaré publiquement n'avoir jamais transmis de clés de chiffrement à quelque gouvernement que ce soit, pas plus que nous n'avons communiqué à ces derniers de flux de contenu transitant par notre réseau, ni déployé d'équipements en lien avec les autorités policières sur notre réseau. S'il nous était demandé de nous astreindre à l'une de ces procédures, nous nous sommes également engagés à « épuiser tous les recours juridiques afin de protéger nos clients de demandes que nous estimons illégales ou inconstitutionnelles ». Depuis les débuts de Cloudflare, nous avons réaffirmé ces engagements deux fois par an via nos rapports de transparence et avons même étendu ces engagements.

Nous avons également démontré notre conviction en matière de transparence et notre engagement à protéger nos clients en déposant un litige lorsque c'était nécessaire. En 2013, avec l'aide de l'Electronic Frontier Foundation, nous avons contesté juridiquement une lettre de sécurité nationale (« NSL ») émise par l'administration américaine pour protéger les droits de nos clients, en raison de dispositions qui permettaient au gouvernement de nous empêcher de divulguer des informations sur la NSL au client concerné. Nous n'avons fourni aucune donnée client en réponse à cette requête, mais les dispositions de non-divulgation sont restées en vigueur jusqu'à ce qu'un tribunal lève les restrictions en 2016.

Nous avons souvent déclaré que toute demande gouvernementale de données à caractère personnel enfreignant les lois sur la confidentialité du pays de résidence d'une personne devait faire l'objet d'une contestation sur le plan juridique. (Consultez, par exemple, notre Rapport de transparence et notre livre blanc intitulé Les politiques de Cloudflare en matière de confidentialité des données et de traitement des demandes émanant des forces de l'ordre sur ce sujet.) Le Comité européen de la protection des données a reconnu que le RGPD pourrait poser un tel conflit dans cette évaluation. Notre engagement à nous conformer au RGPD implique que nous étudierons les recours juridiques avant de produire des données identifiées comme sujettes au RGPD en réponse à une demande de données du gouvernement américain. Conformément à la législation en vigueur aux États-Unis et aux cadres statutaires, nous pouvons demander aux tribunaux américains d'annuler une requête des autorités américaines concernant des données à caractère personnel en fonction d'un tel conflit de lois.

L'addendum relatif au traitement des données (« ATD ») standard destiné à nos clients intègre les mesures et les garanties supplémentaires décrites ci-dessus en tant qu'engagements contractuels. Vous retrouverez la liste de ces engagements contractuels dans la section 7 de notre ATD. Enfin, nous avons mis en place des mesures de sécurité et des protocoles de chiffrement solides, dont vous retrouverez la liste dans l'annexe 2 de notre ATD.

Nous continuerons d'appliquer ces mesures et garanties supplémentaires en plus des protections accordées dans le cadre de l'EO14086.

Comme toujours, nous poursuivrons nos efforts visant à suivre les évolutions dans ce domaine et veillerons à rester conformes aux articles 44 et 46 du RGPD. Pendant cette période, nous continuerons à respecter nos engagements vis-à-vis de nos ATD existants, des CCT en vigueur et de notre certification à l'égard des cadres de protection des données.

Nous considérons que les demandes de données personnelles émanant du gouvernement américain à l'égard d'un individu non américain, lorsqu'elles enfreignent les lois relatives à la protection de la confidentialité dans le pays de résidence de cet individu (à l'image du RGPD, au sein de l'UE), doivent faire l'objet d'une contestation juridique.

Le CLOUD Act (loi CLOUD) n'étend pas le pouvoir d'investigation des États-Unis. Les exigences strictes auxquelles doivent satisfaire les autorités pour obtenir un mandat valide restent inchangées. Le CLOUD Act s'applique également à l'accès aux contenus, que nous ne stockons généralement pas, comme décrit ci-dessus. Il ne modifie pas non plus les pratiques existantes lorsque les autorités américaines cherchent à accéder aux données d'une entreprise. Il est important de noter que les autorités chercheront généralement à obtenir les données auprès de l'entité disposant du contrôle effectif de ces dernières (c'est-à-dire, nos clients), plutôt qu'auprès des fournisseurs de cloud. Si une autorité quelconque devait demander des données à Cloudflare, nous l'encouragerions à demander ces données auprès de notre client plutôt qu'auprès de nous.

Nous pensons qu'il peut être utile d'apporter des explications supplémentaires sur les autorités de sécurité nationale des États-Unis citées en référence par la CJUE (la Cour de justice de l'Union européenne) dans son analyse de la décision « Schrems II » (affaire C-311/18, opposant le commissaire à la protection des données à Facebook Ireland et Maximillian Schrems).

Section 702. La section 702 de la Foreign Intelligence Surveillance Act (FISA) est une autorité qui permet au gouvernement américain de demander les communications de citoyens non américains situés en dehors des États-Unis à des fins de renseignement étranger. Le gouvernement américain utilise la section 702 pour recueillir le contenu des communications par le biais de « sélecteurs » spécifiques, tels que les adresses électroniques, qui sont associés à des cibles de renseignement étranger spécifiques. Étant donné que l'autorité est généralement utilisée pour recueillir le contenu des communications, les « fournisseurs de services de communications électroniques » invités à se conformer à la section 702 sont généralement des fournisseurs de messagerie électronique ou d'autres fournisseurs ayant accès au contenu des communications.

Comme nous l'avons indiqué dans notre rapport sur la transparence, nous n'avons généralement pas accès à ce type de contenu traditionnel des clients pour les services principaux de Cloudflare. En outre, nous nous sommes engagés publiquement depuis de nombreuses années à ne jamais fournir à aucun gouvernement de flux concernant le contenu de nos clients transitant par notre réseau, et à épuiser tous les recours juridiques s'il nous était demandé de le faire afin de protéger nos clients de ce que nous estimons être des demandes illégales ou inconstitutionnelles.

Executive Order 12333. L'Executive Order 12333 régit la collecte de renseignements étrangers par les agences de renseignement américaines ciblant les citoyens non américains en dehors des États-Unis. Il ne contient pas de dispositions obligeant les entreprises américaines à prêter leur concours.

Nous nous sommes depuis longtemps engagés à exiger une procédure judiciaire avant de permettre à une entité gouvernementale d'accéder aux données de nos clients, sauf urgence. Par conséquent, nous ne nous conformerons pas aux demandes volontaires de données prévues par l'Executive Order 12333. En outre, nous avons joué un rôle de premier plan dans les efforts visant à encourager le renforcement de la sécurité des données en transit, tant pour le contenu que pour les métadonnées, afin de protéger les données personnelles de tous les regards indiscrets. En 2014, par exemple, nous avons lancé l'Universal SSL, un service rendant le chiffrement (auparavant coûteux et difficile) gratuit pour tous nos clients. Pendant la semaine du lancement de ce dernier, nous avons doublé la taille du web chiffré. Face au nombre croissant de lois qui tentent de viser le chiffrement, nous avons déclaré n'avoir jamais affaibli, compromis ou détourné l'un de nos mécanismes de chiffrement à la demande d'un gouvernement ou d'un autre tiers.

Lorsque Cloudflare transfère des données personnelles issues de l'EEE, de Suisse ou du Royaume-Uni (« R-U ») vers l'international, nous nous reposons sur les Clauses contractuelles types de l'UE (« CCT »), en incluant des mesures supplémentaires selon les besoins. De même, pour les transferts vers les États-Unis, nous avons également établi notre conformité au cadre de protection des données UE-États-Unis (« CPD UE-États-Unis »), au cadre de protection des données Suisse/États-Unis (« CPD Suisse/États-Unis ») et à l'extension R-U du CPD UE-États-Unis. Ces représentations sont établies dans notre ATD standard, lui-même intégré par référence à notre Contrat d'abonnement en libre-service. Lorsque le transfert de données personnelles nécessite l'utilisation des CCT, notre ATD inclut alors les CCT concernant ces données. Aucune action n'est donc requise pour s'assurer que les mécanismes de transfert de données transfrontaliers appropriés sont bien en place.

Lorsque Cloudflare transfère des données personnelles issues de l'EEE, de Suisse ou du Royaume-Uni (« R-U ») vers l'international, nous nous reposons sur les Clauses contractuelles types de l'UE (« CCT »), en incluant des mesures supplémentaires selon les besoins. De même, pour les transferts vers les États-Unis, nous avons également établi notre conformité au cadre de protection des données UE-États-Unis (« CPD UE-États-Unis »), au cadre de protection des données Suisse/États-Unis (« CPD Suisse/États-Unis ») et à l'extension R-U du CPD UE-États-Unis. Ces représentations sont établies dans notre ATD standard, lui-même intégré par référence à notre Contrat d'abonnement Enterprise (« CAE », ou Enterprise Subscription Agreement, « ESA »). Aucune action n'est donc requise pour s'assurer que les mécanismes de transfert de données transfrontaliers appropriés sont bien en place.

Les clients Enterprise sont soumis à notre CAE standard s'ils ont conclu un accord avec Cloudflare le 8 août 2019 ou ultérieurement, et qu'ils n'ont pas conclu un accord personnalisé. Les clients Enterprise qui utilisent des versions plus anciennes de notre CAE ou des CAE/ATD personnalisés peuvent ne pas comporter de mentions aux mécanismes de transfert de données transfrontaliers appropriés. En cas de questions sur leur ATD, ces clients (ou tout autre client Enterprise) sont invités à contacter leur responsable Customer Success.

Nous sommes conscients que certains de nos clients préfèrent que les données personnelles soumises au RGPD (ou à son équivalent au R-U ou en Suisse) demeurent dans l'UE et ne soient pas transférées aux États-Unis à des fins de traitement. À cet effet, nous avons lancé la Cloudflare Data Localization Suite, une solution permettant d'aider les entreprises à bénéficier des avantages de notre réseau mondial en termes de sécurité et de performances, tout en leur permettant de définir facilement des règles et des mesures de contrôle en périphérie du réseau concernant l'endroit où leurs données sont traitées et stockées.

La Data Localisation Suite regroupe certaines offres existantes avec de nouvelles fonctionnalités :

a) Services régionaux. Nous disposons de datacenters dans plus de 300 villes réparties dans plus de 100 pays. Les services régionaux, en conjonction avec notre solution Geo Key Manager, permettent aux clients de choisir les emplacements des datacenters dans lesquels les clés TLS sont stockées et où la terminaison TLS a lieu. Le trafic est ingéré au niveau mondial, par l'application de mesures d'atténuation des attaques DDoS sur les couches 3 et 4, tandis que les fonctions d'amélioration de la sécurité, des performances et de la fiabilité (pare-feu WAF, réseau CDN, atténuation des attaques DDoS, etc.) sont appliquées uniquement dans les datacenters Cloudflare désignés.

b) Isolement géographique des métadonnées. L'isolement géographique des métadonnées du client permet de s'assurer que l'ensemble des métadonnées du trafic susceptibles d'identifier un client restent dans l'UE. L'opération inclut tous les journaux et résultats d'analyse visibles par un client. Pour ce faire, nous veillons à ce que les métadonnées de l'utilisateur final susceptibles d'identifier un client circulent à travers un service unique en périphérie de notre réseau, avant d'être transmises à l'un de nos datacenters principaux. Lorsque l'isolement géographique des métadonnées est activé pour un client, notre périphérie réseau (Edge) s'assure que les messages de journaux susceptibles de permettre l'identification d'un client (c'est-à-dire les messages qui contiennent l'ID de compte de ce client) ne sont pas envoyés hors de l'UE. Ils ne seront envoyés qu'à notre datacenter européen principal.

c) SSL sans clé. Le SSL sans clé permet à un client de stocker et de gérer ses propres clés SSL privées à utiliser sur Cloudflare. Les clients peuvent utiliser divers systèmes pour leur magasin de clés, notamment des modules de sécurité matérielle (Hardware Security Modules, « HSM »), des serveurs virtuels et des équipements fonctionnant sous Unix/Linux et Windows, hébergés au sein d'environnements contrôlés par les clients.

d) Geo key Manager. Nous disposons d'une clientèle véritablement internationale et savons que les clients du monde entier ont des exigences réglementaires et statutaires différentes, de même que des profils de risque différents, concernant la position de leurs clés privées. Avec cette philosophie en tête, nous avons décidé de concevoir un système très flexible pour décider de l'endroit où conserver les clés. La solution Geo Key Manager permet aux clients de limiter l'exposition de leurs clés privées à certains emplacements. Cet outil est similaire au SSL sans clé, mais au lieu d'exécuter un serveur de clés au sein de votre infrastructure, Cloudflare héberge des serveurs de clés aux endroits de votre choix.

Comme indiqué dans notre rapport de transparence, Cloudflare exige une procédure judiciaire valide avant de transmettre les données personnelles de ses clients à des entités gouvernementales ou à des demandeurs civils. Sauf en cas d'urgence impliquant un danger de mort ou de blessure grave pour une personne, nous ne communiquons pas les données personnelles de nos clients aux fonctionnaires gouvernementaux en réponse à des demandes non accompagnées d'une procédure judiciaire.

Afin de garantir que nos clients aient la possibilité de faire valoir leurs droits, notre politique consiste à informer nos clients d'une citation à comparaître ou de toute autre procédure judiciaire demandant des informations à leur sujet avant de les divulguer, que la procédure émane du gouvernement ou de parties privées impliquées dans un litige civil, sauf dans les cas interdits par la loi. Plus précisément, notre ATD nous engage à ce que (sauf dans les cas interdits par la loi) informer nos clients si nous pouvons identifier que la procédure juridique d'un tiers visant des données personnelles que nous traitons au nom de ce client entraîne un conflit de lois, par exemple lorsque les données personnelles sont régies par le RGPD. Les clients informés d'une demande légale en attente pour leurs données personnelles peuvent chercher à intervenir pour empêcher la divulgation de ces données.

En outre, la législation américaine prévoit des mécanismes permettant aux entreprises de contester les ordonnances qui posent des conflits de lois potentiels, comme une demande légale de données soumises au RGPD. Le CLOUD Act (Clarifying Lawful Overseas Use of Data), fournit des mécanismes aux fournisseurs pour demander à un tribunal d'annuler ou de modifier une demande juridique qui pose un tel conflit de droit. Ce processus permet également aux fournisseurs de révéler l'existence d'une telle demande à un gouvernement étranger dont un citoyen est concerné, si ce gouvernement a signé un accord avec les États-Unis au titre du CLOUD Act. Nous nous sommes engagés à contester juridiquement toute ordonnance qui pose ce type de conflit de lois. À ce jour, nous n'avons reçu aucune ordonnance que nous avons identifiée comme telle.

En octobre 2022, le président américain Biden a signé le décret présidentiel 14086 (Executive Order 14086, EO14086), qui introduisait de nouvelles garanties pour les activités de renseignement d'origine électromagnétique des États-Unis afin de rendre possible le cadre de protection des données (CPD) UE-États-Unis. Ces garanties comprennent, entre autres, la création d'un mécanisme de recours pour les particuliers qui ont déposé une plainte stipulant que leurs données personnelles ont été collectées de manière illégale par des programmes de renseignement d'origine électromagnétique. Les particuliers peuvent déposer plainte auprès de l'U.S. Civil Liberties Protection Officer (« CPLO », le délégué à la protection des libertés individuelles), habilité à enquêter sur ces plaintes et à prononcer des décisions contraignantes à l'égard des agences de renseignement. Les décisions du CPLO peuvent faire l'objet d'un recours auprès de la Data Protection Review Court (« DPRC », la Cour d'examen de la protection des données), nouvellement créée.

Enfin, en conformité avec le CPD UE-États-Unis, l'extension R-U du CPD UE-États-Unis et le CPD Suisse/États-Unis (désignés conjointement par le terme « les CPD »), Cloudflare s'engage à résoudre les plaintes liées aux principes du CPD concernant la manière dont nous collectons et utilisons vos informations personnelles. Pour plus d'informations, consultez la section 7 de notre Politique de confidentialité.

Nous sommes particulièrement attentifs aux changements opérés par le Royaume-Uni dans le domaine de la protection des données depuis sa sortie de l'Union européenne. À l'heure actuelle, le RGPD européen a été inscrit au droit du Royaume-Uni en vertu de la section 3 de l'European Union (Withdrawal) Act 2018 (la loi sur le retrait de l'Union européenne) et de l'UK Data Protection Act 2018 (loi britannique sur la protection des données, le « RGPD du Royaume-Uni »). Conformément à l'Addendum sur le traitement international des données (Version B1.0) publié par l'Information Commissioner's Office du Royaume-Uni dans le cadre de l'article s.119(a) de l'UK Data Protection Act 2018 (ci-après dénommé « l'Addendum R-U »), Cloudflare peut transférer les données personnelles de citoyens du Royaume-Uni hors de ce dernier en adéquation avec le mécanisme CCT de l'UE, associé à l'Addendum R-U. En fonction des accords passés avec ses clients, Cloudflare met en œuvre le mécanisme CCT de l'UE, associé à l'Addendum R-U, plus les mesures supplémentaires, ou se reposera sur l'extension R-U du cadre de protection des données UE-États-Unis une fois cette dernière approuvée.