Loi sur les marchés numériques (DMA)

Les clients dont le siège social principal se trouve en Europe, au Moyen-Orient ou en Afrique (collectivement, EMEA) reçoivent des services via des contrats avec F5 Networks, Ltd. F5 Networks, dont le siège social est situé au Royaume-Uni et est constitué en société conformément aux lois de ce pays, est le centre des opérations de F5 dans la région EMEA. Les autorités européennes et suisses ont reconnu que les lois britanniques assurent la protection des données personnelles, satisfaisant pleinement aux exigences du chapitre V du RGPD et de la législation suisse équivalente. 

Les clients dont le siège social se trouve dans la région Asie-Pacifique (APAC) concluent un contrat avec F5 Networks Singapore Pte Ltd. à Singapour. Tous les autres clients (y compris ceux dont le siège social est en Amérique du Nord) ont un contrat avec F5, Inc. aux États-Unis. Pour tous les services F5, l' addendum sur la protection des données (DPA) , tel que complété par les conditions spécifiques au service , comprend les clauses contractuelles types et les dispositions qui s'appliquent à tous les transferts légalement applicables à F5. Ces clauses contractuelles types sont accompagnées de l'addenda relatif au transfert international de données publié par le gouvernement britannique pour les transferts au Royaume-Uni, ainsi que d'un texte supplémentaire publié par le Commissaire fédéral suisse à la protection des données et à la transparence pour les transferts suisses. Pour les services concernés, F5 maintient également une certification dans le cadre du protocole UE-États-Unis. Cadre de protection des données, l'extension britannique au cadre UE-États-Unis Cadre de protection des données et relations Suisse-États-Unis Cadre de confidentialité des données.

Oui. Pour les services concernés, F5 maintient une certification dans le cadre du réseau UE-États-Unis. Cadre de confidentialité des données, extension britannique du cadre UE-États-Unis Cadre de protection des données et accord entre la Suisse et les États-Unis Cadre de confidentialité des données.

Non. Ces deux dispositions juridiques américaines, qui étaient au centre de l’arrêt Schrems II , n’affectent pas F5. En tout état de cause, en raison des améliorations apportées à la législation américaine suite à la décision Schrems II , la Commission européenne a déterminé dans sa décision d'exécution du 10 juillet 2023 conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil le niveau adéquat de protection des données à caractère personnel dans le cadre de l'accord UE-États-Unis. Cadre de protection des données selon lequel les préoccupations antérieures concernant ces dispositions ont été résolues. Le Comité européen de la protection des données (CEPD) a analysé la décision de la Commission européenne et a noté (dans sa note d'information sur les transferts de données au titre du RGPD vers les États-Unis après l'adoption de la décision d'adéquation le 10 juillet 2023 ) que « toutes les garanties qui ont été mises en place par le gouvernement américain dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s'appliquent à toutes les données transférées vers les États-Unis, quel que soit l'outil de transfert utilisé » (c'est-à-dire indépendamment du fait que les données soient transférées aux États-Unis via le cadre de confidentialité des données, les clauses contractuelles types ou un autre outil de transfert).

F5 n'a jamais reçu de demande d'accès aux données ni aucun autre type de directive en vertu de la norme FISA 702. De nombreux services F5 ne sont pas le type de services éligibles pour être ciblés par une directive FISA 702. De plus, pour presque tous les clients des services F5, F5 ne traite pas le type de données pouvant être ciblées. avec une directive FISA 702, qui s'applique aux données sur la prolifération des armes de destruction massive, aux plans d'attaques de puissances étrangères contre les États-Unis, aux renseignements sur les activités clandestines d'espions étrangers ou à d'autres « informations de renseignement étranger » au sens de la FISA.

F5 ne peut pas non plus recevoir d’ordre de production de données client en vertu de l’EO 12333, car il n’existe pas d’ordre EO 12333. L'EO 12333 attribue certaines responsabilités au sein de la communauté du renseignement des États-Unis, mais n'impose aucune obligation au secteur privé. F5 crypte les données en transit et utilise des mesures de sécurité supplémentaires pour se protéger contre les activités d'interception théoriques qui concernaient le tribunal Schrems II avant la détermination d'adéquation de la Commission européenne de 2023 évoquée ci-dessus.

Le CLOUD Act n’a pas donné au gouvernement américain de nouveaux pouvoirs pour exiger des données des entreprises qui font des affaires aux États-Unis. Le gouvernement américain n’émet pas d’« ordres CLOUD Act » et F5 n’en a jamais reçu. Le CLOUD Act a clarifié le fait que lorsque le gouvernement américain suit une procédure légale existante appropriée (comme l'obtention d'une ordonnance d'un juge d'un tribunal de district fédéral) pour ordonner à une entreprise de fournir des données spécifiées en sa possession, sous sa garde ou son contrôle, l'emplacement des données ne peut pas être la base de la contestation de l'ordonnance par l'entreprise (bien qu'un conflit avec les lois en vigueur à cet endroit puisse toujours l'être). Le CLOUD Act est en vigueur depuis avant la décision Schrems II de 2020. À la suite de la décision Schrems II , les États-Unis ont apporté diverses améliorations à leurs règles et pratiques concernant l’accès du gouvernement aux données. La Commission européenne a ensuite évalué ces améliorations et déterminé que la législation américaine applicable aux demandes de données du gouvernement américain offre désormais un niveau de protection adéquat au sens du RGPD. Voir la décision d'exécution du 10 juillet 2023 conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil relatif au niveau adéquat de protection des données à caractère personnel dans le cadre de l'accord UE-États-Unis Cadre de confidentialité des données . Le Comité européen de la protection des données (CEPD) a analysé cette décision et a noté (dans sa note d'information sur les transferts de données au titre du RGPD vers les États-Unis après l'adoption de la décision d'adéquation le 10 juillet 2023 ) que « toutes les garanties qui ont été mises en place par le gouvernement américain dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s'appliquent à toutes les données transférées vers les États-Unis, quel que soit l'outil de transfert utilisé » (c'est-à-dire indépendamment du fait que les données soient transférées aux États-Unis via le cadre de confidentialité des données, les clauses contractuelles types ou un autre outil de transfert).

Compte tenu de la nature des relations clients de F5 et des données limitées (et généralement cryptées) que F5 gère pour ses clients, de telles demandes sont extrêmement rares. La politique de F5 pour toute demande de données client est de (i) informer rapidement le client si la loi le permet, puis de coopérer avec le client pour résoudre le problème ou (ii) si la notification du client est illégale, de tenter de rediriger l'autorité requérante vers le client. Si ces efforts ne permettent pas de résoudre le problème, F5 évaluera la légalité de la demande et soulèvera toutes les contestations raisonnables à son encontre (par exemple en faisant appel), y compris si le respect de la demande violerait le RGPD ou d’autres lois pertinentes. Au cours de ce processus, F5 demanderait la suspension des effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé, y compris par le biais d'une éventuelle procédure d'appel. F5 ne divulguerait aucune donnée dans une telle situation, à moins que les règles de procédure applicables ne l’exigent. Si ce point était atteint, F5 ne divulguerait que les données minimales nécessaires pour se conformer à ce qui restait de la demande initiale.

Chaque contrat client pour les services de F5 (le contrat de services aux utilisateurs finaux (EUSA) ) comprend des conditions spécifiques au service qui intègrent et complètent l'addendum de protection des données (DPA) de F5, qui comprend les clauses contractuelles types avec un langage supplémentaire pertinent pour les transferts soumis au droit britannique ou suisse. Dans certains cas, le client et F5 auront un contrat différent qui intègre ces mêmes protections, comme le contrat pour des services de support F5 spécifiques. Les clients peuvent également se référer à https://www.dataprivacyframework.gov/list , qui montre que F5 a obtenu la certification dans le cadre du protocole UE-États-Unis Cadre de protection des données, l'extension britannique au cadre UE-États-Unis Cadre de protection des données et relations Suisse-États-Unis Cadre de confidentialité des données.

Pour les transferts vers des entités F5 dans des « pays tiers », y compris le Royaume-Uni, F5 et ses clients s'appuient sur l'addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne, qui est disponible sur le site Web du Commissaire à l'information du Royaume-Uni et est incorporé par référence dans le DPA de F5 pour les transferts pertinents régis par le droit britannique. De plus, pour certains services, F5 est certifié dans le cadre de l'extension britannique à l'UE-États-Unis. Cadre de confidentialité des données.