Réseau de distribution de contenu Cloudflare: utilisation et protection des données

Cloudflare est un réseau de distribution de contenu (CDN) surnommé. Il est souvent utilisé pour des raisons de commodité mais aussi, pour charger les contenus peut-être plus rapidement. C'est une pratique qui nécessite l'accord, comme le montre la jurisprudence actuelle.

Si avec Cloudflare les contenus sont chargés plus rapidement que lors d'une mise en cache locale ou lors d'un appel à d'autres serveurs, je ne vais pas poursuivre cette analyse ici. Cela n'a pas d'importance. Au contraire, il s'agit de savoir si Cloudflare peut être utilisé conformément aux lois. Avec la déclaration de commodité ci-dessus, j'entends ceci: Beaucoup préfèrent lier un lien à une ressource plutôt que de l'enregistrer localement. La mise en cache locale est souvent possible et serait alors conforme à la protection des données.

La motivation de cet article est le jugement suivant du OLG Cologne. Il montre que Cloudflare est plus qu'un simple cache à court terme. De plus, il montre que Cloudflare ne semble pas intéressé par l'éclaircissement des activités illégales de ses clients.

Comme le OLG Cologne (allemagne) a constaté le 09.10.2020 (Az.: 6 U 32/20), l'éditeur de services Cloudflare est responsable du réseau de distribution de contenu (Content Delivery Network, CDN) mis à disposition. Les contenus stockés sur le CDN qui violent les droits d'auteur sont donc imputables à Cloudflare. Les conditions du § 8 TMG concernant l'exonération de responsabilité ne s'appliquent pas. Par conséquent, il est également impossible d'appliquer le § 9 TMG, qui permet une exonération de responsabilité pour des stockages de données à court terme.

Cloudflare est donc davantage un prestataire de services conformément § 2 S. 1 Nr. 1 TMG. Puisque Cloudflare ne se limite pas à la simple transmission, mais stocke incontestablement les contenus des sites Web de ses clients sur leurs propres serveurs.

Le 28 avril 2021, le Comité européen pour la protection des données a annoncé que l'autorité portugaise de protection des données avait suspendu le transfert de données via Cloudflare dans le cadre du recensement (recensement) en raison du transfert de données aux États-Unis.

Cloudflare stocke les contenus des sites web de clients non seulement aussi longtemps que nécessaire pour la simple transmission. L'hébergeur CDN se considère lui-même tenu d'enregistrer également cela, afin de réduire le nombre d'appels sur les pages de ses clients. Même l'accélération des appels à des sites et la protection des sites web de clients sont confirmées comme motifs. En particulier, les visiteurs malveillants doivent être bloqués. Il ne s'agit donc pas d'une stockage temporaire des données.

De là résulte clairement que le stockage sur les serveurs de Cloudflare ne sert pas uniquement à la transmission des informations demandées. C'est vrai, car Cloudflare est un reverse proxy.

Le tribunal pense que Cloudflare opère des serveurs miroirs (Mirror) pour conserver les informations de manière réduite. Cela correspond à mes connaissances sur la situation.

Cloudflare exploite un résolveur DNS pour convertir une adresse de domaine en adresse IP. C'est toutefois quelque chose qui se produit à chaque fois, et non spécifiquement pour ce type de CDN.

Le tribunal constate que Cloudflare ne poursuivra pas les infractions juridiques des clients qui déposent du contenu sur le CDN, selon ses propres affichages publicitaires. Le programme de rapporteur fiable mentionné par Cloudflare n'est pas crédible et n'aurait pas été mis en œuvre dans le litige précité pour communiquer l'adresse IP d'un fournisseur de contenus illégaux. Selon Cloudflare, il est impossible de bloquer du contenu illégal à l'aide d'un filtre de mots sur le niveau de domaine, ce que le tribunal a raison de considérer comme inexact.

En fin de compte, Cloudflare semble donc ne pas assumer la responsabilité des contenus hébergés et ne s'occupe pas non plus de clarifier si un fournisseur ou un contenu est conforme aux lois ou non.

Avec cela, une utilisation conforme à la RGPD du CDN Cloudflare n'est pas possible à mon avis. Un DPA est tout de même exclu. Le convenir d'une responsabilité commune serait un suicide. Des garanties appropriées (comme Corporate Binding Rules ou des clauses contractuelles standard) ne peuvent pas être conclus conformément au droit.

Si l'on veut savoir d'ici lequel des serveurs avec quel emplacement de serveur une fichier a été téléchargé, on ne recevra probablement aucune information à Cloudflare. Cette information devrait être fournie par un webmestre (ou la personne responsable) afin de prouver peut-être que pas de transfert de données vers des pays tiers non sûrs s'est produit.

Lorsque le serveur d'où une fichier a été téléchargé pour un site web n'est pas situé dans un pays à risque, il faut encore se demander ce qui se passe avec l'hébergeur lui-même:

La déclaration de confidentialité du site Web Cloudflare est que Cloudflare est une entreprise basée aux États-Unis.

Lors de mon appel test d'une page web qui utilise Cloudflare, l'adresse IP 104.16.148.64 a été récupérée. Pour cette adresse IP, un service de localisation d'IP fournit les informations suivantes (mise à jour le 31.03.2021):

Il semble qu'un transfert de données ait lieu, qui est lié à un pays tiers non sûr. C'est selon l'article 44 du RGPD que cela est autorisé uniquement avec le consentement. Pour la signification de cette entrée:

Le lieu de stockage des serveurs ne peut généralement pas être déterminé avec certitude à partir de leur adresse IP. Cependant, il suffit pour entrer dans la problématique du Privacy Shield que l'exploitant du serveur ait un lien avec les États-Unis. Ici est mentionné le fournisseur Cloudflare. Cloudflare est une entreprise américaine dont les données peuvent être accessibles aux services de renseignement américains. Au service de renseignement, il est indifférent où se trouvent les serveurs de Cloudflare. Enfin, on peut accéder à n'importe quel serveur du monde via un terminal pour lequel les informations d'accès sont connues. Même les filiales européennes de Cloudflare (si elles existent) ne changent rien, car les actifs se trouvent aux États-Unis. La mère américaine est souveraine par rapport aux sœurs européennes. Si cela était différent, la mère américaine aurait pu et dû le prouver. Des preuves de ce type n'ont pas été présentées par Google, Microsoft ou Cloudflare.

Conclusion

Même si le bénéfice de Cloudflare pour certains peut être important, ce service ne doit être utilisé qu'avec l'accord des utilisateurs. De plus, il se pose la question de savoir s'il est possible d'obtenir un accord conforme à la loi, car les obligations d'information prévues par l'article 13 du RGPD sont difficiles à remplir voire impossibles dans ce cas.

Qui utilise Cloudflare pour accélérer le chargement de sa page web devrait d'abord s'assurer que toutes les autres mesures locales pour améliorer la vitesse ont été mises en œuvre. Par exemple, beaucoup optimisent leurs images mais utilisent un CDN prétendument très rapide.

En outre, Akamai est un autre fournisseur de CDN populaire. Akamai est utilisé par Cookiebot, ce qui a conduit le VG Wiesbaden à déclarer Cookiebot illégal.

Cloudflare a supprimé le cookie__cfduid sans raison réelle. Dans un autre article, Cloudflare reconnaît d'ailleurs que d'autres cookies sont techniquement nécessaires (pour lesquels il n'y a donc pas de consentement demandé).

Même si Cloudflare lui-même semble très suspect en ce qui concerne le respect des règles de protection des données, je considère que le produit Portique à monnaie de Cloudflare, qui est censé être une alternative à CAPTCHA, n'en vaut pas la peine.

Voir aussi un article de Netzpolitik sur Cloudflare.