Cloudflare est l’une des premières organisations de son secteur à obtenir la certification ISO/IEC 27701:2019, et la première société spécialiste des performances et de la sécurité du web à remporter la certification ISO 27701 en tant que sous-traitant et responsable du traitement de données.
Assurer la transparence de nos pratiques en matière de confidentialité est depuis toujours une priorité pour Cloudflare. Nous pensons qu’il est important de faire plus que simplement parler de notre engagement envers la confidentialité, et nous cherchons continuellement des moyens de démontrer cet engagement. Par exemple, après avoir inauguré le résolveur DNS public privilégiant la confidentialité le plus rapide d’Internet, le résolveur DNS public 1.1.1.1, nous ne nous sommes pas contentés de publier nos engagements envers les utilisateurs de notre résolveur public ; nous avons fait appel à une société indépendante pour nous assurer que nous respections nos engagements et nous avons publié un article de blog dans lequel nous citions son rapport.
Dans la continuité de cette tradition, nous sommes aujourd’hui ravis d’annoncer que Cloudflare a obtenu une certification conformément à une nouvelle norme internationale de confidentialité relative à la protection et la gestion du traitement des données personnelles : la norme ISO/IEC 27701:2019. Cette norme est conçue de telle sorte que les exigences auxquelles doivent satisfaire les organisations désirant obtenir la certification sont très étroitement alignées sur les exigences du Règlement général sur la protection des données (« RGPD ») de l’UE. Cette certification assure ainsi à nos clients qu’un tiers a procédé à une vérification indépendante validant la conformité du programme de confidentialité de Cloudflare aux normes de l’industrie alignées sur le RGPD.
Qu’est-ce que la norme ISO/IEC 27701:2019 ?
L’Organisation internationale de normalisation (« ISO ») est une organisation internationale non gouvernementale constituée d’organismes de normalisation nationaux, qui développe et publie un large éventail de normes propriétaires, industrielles et commerciales. En août 2019, l’ISO a publié la norme ISO/IEC 27701:2019 (« ISO 27701 »), une nouvelle norme internationale relative à la protection et la gestion du traitement des données personnelles.
Cette nouvelle norme est une extension de la confidentialité aux normes industrielles existantes ISO/IEC 27001 et ISO/IEC 27002, publiées pour la première fois par l’ISO en 2005. Elles décrivent comment établir et gérer un système de gestion de la sécurité de l’information (« SGSI »), et l’ISO rapporte aujourd’hui que plus de 36 000 organisations dans 131 pays détiennent actuellement une certification indépendante de conformité à la norme ISO/IEC 27001. Les certifications ISO auditées sont accordées aux organisations dont la conformité à une norme spécifique publiée a été évaluée par un auditeur indépendant externe. Les auditeurs eux-mêmes sont également accrédités, avec la série de certifications ISO 27000, conformément aux normes internationales publiées de l’ISO.
L’extension de la norme ISO 27701 aux normes ISO/IEC 27001 et ISO/IEC 27002 date de moins de deux ans et adapte le concept du système de gestion SGSI à la création d’un système de gestion des informations sur la vie privée (« SGIP »). Ce système de gestion de la confidentialité est soumis à certaines exigences visant à assurer sa fiabilité et son amélioration continue pour atteindre les objectifs définis pour celui-ci.
Nous nous réjouissons de cette nouvelle certification, car la norme ISO 27701 correspond aux exigences du RGPD, le règlement exhaustif en matière de protection des données, devenu la réglementation de référence. L’article 42 de la réglementation RGPD encourage :
« ...la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. »
Tandis que l’Article 42 appelle au développement de certifications conformes au RGPD, aucune certification officielle de ce type n’existe encore, car aucune n’a été approuvée par l’un ou l’autre des organismes officiels – le Comité européen de la protection des données dans l’UE, ou l’Information Commissioner’s Office du Royaume-Uni, au regard du RGPD britannique. Cependant, lorsque la norme ISO 27701 a été publiée, elle contenait une Annexe D détaillant la correspondance entre la norme et le RGPD :
« Cette annexe propose une correspondance indicative entre les dispositions du présent document et les Articles 5 à 49, à l’exception de l’Article 43, du Règlement général sur la protection des données de l’Union européenne. Elle démontre comment la conformité aux exigences et aux contrôles de ce document peut être pertinente pour satisfaire aux obligations du RGPD. »
Les normes ISO correspondent souvent à d’autres normes internationales ISO (et font souvent référence à celles-ci), mais il est rare qu’elles correspondent à des normes autres que les normes ISO, notamment à une réglementation d’une région particulière. Aussi, tant que les organismes de réglementation du RGPD n’adopteront pas un mécanisme de certification, la norme ISO 27701 constituera un excellent moyen de démontrer la conformité, vérifiée par une source externe, à la réglementation.
Que signifie la norme ISO 27701 pour les clients de Cloudflare ?
En termes simples, la certification ISO 27701 assure à nos clients que nous disposons d’un programme de confidentialité évalué par un tiers pour satisfaire à une norme internationale de l’industrie alignée sur le RGPD, et que ce programme nous contraint à continuellement préserver la conformité de notre programme de confidentialité. Cette certification, en plus de l’Addenda relatif au traitement des données (« ATD ») que nous mettons à la disposition de nos clients sur le tableau de bord, offre à différents niveaux à nos clients l’assurance que toutes les données personnelles traitées par Cloudflare le seront conformément aux exigences du RGPD.
Approfondissons maintenant l’examen de certaines exigences imposées par la norme ISO 27701
La norme contient 31 contrôles identifiés pour les organisations qui sont responsables du traitement de données personnelles et 18 contrôles supplémentaires identifiés pour les organisations qui sont sous-traitants de données personnelles. L’objectif de Cloudflare étant d’être certifiée à la fois en tant que responsable du traitement de données personnelles et sous-traitant de données personnelles de clients, nous devions satisfaire à l’ensemble de ces 49 contrôles.
Les contrôles constituent fondamentalement un ensemble de bonnes pratiques que les responsables du traitement de données et les sous-traitants doivent respecter au regard des pratiques de traitement des données et de la transparence concernant ces pratiques, de la documentation d’un fondement juridique relatif au traitement et au transfert de données vers des pays tiers (hors de l’UE) et de la gestion des droits des personnes concernées, entre autres.
Exemple d’exigence n° 1 :Les organisations doivent maintenir une politique et documenter les procédures spécifiques relatives au transfert international de données personnelles.
Cloudflare a mis en œuvre cette exigence en maintenant une politique interne qui restreint le transfert de données personnelles entre juridictions, sauf lorsque ce transfert satisfait à des critères définis. Les clients, qu’ils soient gratuits ou payants, concluent avec Cloudflare un accord régi par un addenda standard relatif au traitement des données, disponible sur le tableau de bord des clients de Cloudflare. Celui-ci définit les restrictions auxquelles nous devons nous conformer lors du traitement de données personnelles au nom des clients, notamment lors du transfert de données personnelles entre juridictions. Par ailleurs, Cloudflare publie une liste de sous-traitants auxquels la société peut avoir recours lors du traitement des données personnelles, ainsi que les pays ou juridictions dans lesquels peut se dérouler le traitement.
Exemple d’exigence n° 2 :Les organisations doivent maintenir des objectifs documentés de minimisation des données personnelles décrivant les mécanismes utilisés pour atteindre ces objectifs.
Cloudflare maintient des politiques internes qui régissent notre gestion des données tout au long de leur cycle de vie, notamment au regard des objectifs de minimisation des données. En réalité, notre engagement en faveur de la confidentialité commence par l’objectif de minimiser les données personnelles. C’est pourquoi, si nous n’avons pas besoin de recueillir certaines données personnelles pour fournir nos services aux clients, nous préférons ne pas les recueillir du tout. Lorsque nous devons le faire, nous collectons la quantité minimale nécessaire pour atteindre l’objectif identifié et nous traitons les données pendant la durée minimale nécessaire, en documentant de manière transparente le traitement dans notre politique de confidentialité publique.
Nous sommes également fiers d’avoir élaboré une « politique de confidentialité intrinsèque », qui établit rigoureusement les normes strictes et les évaluations devant être réalisées si nos produits et services doivent recueillir et traiter des données personnelles. Nous utilisons ces mécanismes pour nous assurer que notre collecte et notre utilisation des données personnelles sont limitées et documentées de manière transparente.
Cloudflare obtient la certification ISO 27701:2019
Le SGIP de Cloudflare a été évalué par un auditeur tiers, A-LIGN, en mars 2021. La certification conformément à la norme ISO 27701 relative à la protection de la vie privée est un processus en plusieurs étapes, qui comprend :
la compréhension et la planification de la norme ;
l’identification et l’adaptation des contrôles que l’organisation mettra en œuvre ;
l’audit interne par rapport aux exigences ; et
l’audit externe par rapport à la norme (un processus en deux étapes)
et, enfin, la certification par rapport à la norme par l’auditeur indépendant. Une fois certifié, le système de gestion de la vie privée fait l’objet d’évaluations et d’améliorations continues, avec des audits internes et externes renouvelés sur une base annuelle.
Cloudflare a été certifiée en tant que responsable du traitement de données et sous-traitant de données de clients. Ceci signifie que Cloudflare est l’une des premières organisations de son secteur à remporter cette norme, et la première société spécialiste des performances et de la sécurité du web à obtenir la certification ISO 27701 en tant que responsable du traitement de données et sous-traitant. Parallèlement au certificat ISO 27001:2013 existant de Cloudflare, le nouveau certificat ISO 27701:2019 de Cloudflare est désormais disponible pour les clients qui peuvent en faire la demande auprès de leur représentant commercial.
Certifications de CloudflarePour plus d’informations sur nos certifications et nos rapports, veuillez consulter nos pages consacrées à la confidentialité et la conformité : www.cloudflare.com/compliance. Vous pouvez également nous contacter à l’adresse compliance@cloudflare.com pour toute demande de renseignements.