▸ Politique de données et de confidentialité

L'incorporation de Quad9 en Suisse est toujours en cours. Jusqu'à ce que ce processus soit terminé, la partie responsable de la confidentialité des données et du site Web de Quad9 reste CleanerDNS Inc. dba Quad9, 1442 A Walnut Street, Suite 501, Berkeley CA 94709. Ce document sera mis à jour prochainement lorsque le processus d'incorporation sera terminé.
Ce document de politique est intentionnellement rédigé de manière concise. Des discussions explicatives, dépassant le cadre de la politique elle-même, sont fournies dans ces encadrés.

0. Applicabilité de la présente politique

Cette politique de confidentialité, de traitement et d'utilisation des données ("Politique") décrit les politiques du service DNS Quad9 (le "Service"), un résolveur DNS récursif exploité par la Fondation Quad9 ("Quad9"). Cette politique s'applique aux transactions du service de nom de domaine (DNS) entre les utilisateurs de Quad9 et Quad9 dans des conditions normales.

Il s'agit de la version 1.0 de la politique, publiée le mercredi 17 février 2021.

Cette politique vise à respecter ou à dépasser la lettre et l'esprit de l'Internet Engineering Task Force Demande de commentaires 8932, Recommandations pour les opérateurs de services de protection de la vie privée, qui est la norme applicable, et peut être comparée à l'annexe 4.1, Exemple de politique RPS pour référence.

Nous publions un document étroitement lié, Conformité et droit applicable, que nous vous recommandons fortement de lire également, car il documente les mécanismes par lesquels nous sommes tenus de rendre des comptes en vertu du droit pénal pour la conformité à cette politique de confidentialité, les recours et les protections juridiques dont vous disposez en tant qu'utilisateur des services de Quad9, quel que soit votre pays de citoyenneté ou de résidence, et les limitations du pouvoir gouvernemental d'empiéter sur les protections que nous offrons.

Quad9 peut modifier cette politique en publiant une nouvelle version, avec un numéro de version incrémenté, à l'adresse https://quad9.net/privacy/policy/.

Nous disposons d'une politique de confidentialité distincte qui s'applique dans le cadre de conditions anormales, par exemple aux utilisateurs dont on a de bonnes raisons de penser qu'ils se livrent à des cyberattaques contre nous ou par notre intermédiaire, et d'une politique distincte qui s'applique aux communications avec nous via notre site Web, notre courrier électronique ou d'autres canaux.

1.0 Traitement des adresses IP

Quad9 considère les adresses de protocole Internet ("IP") associées à ses utilisateurs comme des informations personnellement identifiables ("PII"). Quad9 utilise l'union des définitions des IPI contenues dans la loi suisse (Article 3 (a) FADP), la loi des États-Unis (2 CFR § 200.79) et la loi de l'Union européenne (Article 4(1) GDPR), avec la définition qui étend la plus grande protection à l'utilisateur contrôlant en cas de conflit entre les trois, et nous étendons cette protection la plus stricte à tous les utilisateurs de Quad9, indépendamment de leur citoyenneté ou de leur domicile.

Dans certains cas, l'adresse de protocole Internet (IP) que votre ordinateur utilise pour communiquer avec Quad9 peut constituer une forme d'information personnellement identifiable (PII) à laquelle Quad9 peut avoir accès. De nombreuses nations classent et réglementent les adresses IP en tant que PII, mais cela n'est pas harmonisé au niveau international.

Lorsqu'un utilisateur du Service envoie une requête à Quad9, celle-ci est transmise sur Internet à partir d'une adresse IP sous le contrôle de l'utilisateur ou en communication avec lui (l'adresse "Adresse de Réponse"), à une adresse IP appartenant à Quad9.

Les adresses IP propres à Quad9 (les adresses comme 9.9.9.9, auxquelles les requêtes sont adressées) sont publiques et sont associées au service plutôt qu'à un individu, donc bien qu'il s'agisse d'adresses IP, elles ne constituent pas des informations d'identification personnelle protégées.

Lorsque Quad9 reçoit une requête DNS, dans la quasi-totalité des cas, l'adresse IP d'où provient la requête est celle d'un [caching/forwarding DNS resolver] (https://www.quora.com/What-is-the-difference-between-a-DNS-resolver-and-a-DNS-forwarder) ou l'extérieur d'un [proxy](https://fr.wikipedia.org/wiki/Proxy) ou d'un [Network Address Translator](https://fr.wikipedia.org/wiki/Network_address_translation) ("NAT"); dans chacun de ces cas, l'adresse IP représente un ensemble d'utilisateurs, souvent un ensemble assez important, qui se compte parfois en millions, et ces utilisateurs vont et viennent, invisibles pour nous, cachés derrière cette adresse intermédiaire. Dans ces cas, qui, à notre connaissance, représentent la quasi-totalité de l'utilisation de nos systèmes, l'adresse IP n'est pas une DPI. Mais dans un cas extraordinaire, l'adresse IP à partir de laquelle nous recevons une requête peut être unique et acheminée au niveau mondial et directement associée à un individu, auquel cas elle est PII.

Quad9 ne tente pas de faire la distinction entre les adresses IP associées aux résolveurs ou aux NATs et celles associées aux utilisateurs individuels, car cela n'améliorerait pas notre service mais consommerait simultanément des ressources et isolerait inutilement des utilisateurs individuels du troupeau protecteur de notre trafic. En bref, bien que cette pratique soit d'une importance capitale pour ceux qui collectent et monétisent les informations des individus (le "nettoyage de la liste d'adresses" en termes de publicité), elle est un anathème pour nous.

Par conséquent, nous avons choisi la voie la plus simple qui consiste à traiter toutes les adresses IP dont nous recevons des requêtes comme si elles étaient des IPI. Dans le présent document, nous les désignons toutes collectivement par l'expression "Adresses De Réponse", car il s'agit de leur relation fonctionnelle avec notre service et notre politique de confidentialité, indépendamment de la façon dont elles fonctionnent (et de façon invisible pour nous) du point de vue de l'utilisateur. Cette définition a une utilité dans le contexte d'une politique de confidentialité, car elle englobe toutes les adresses IP dont nous recevons des requêtes (que nous traitons toutes comme des DPI), mais n'englobe pas les nôtres (qui ne le sont pas).

Lorsque Quad9 reçoit la requête, celle-ci est nécessairement contenue dans une "enveloppe" (plus précisément, un en-tête de protocole IP) qui contient ces deux adresses. Quad9 conserve nécessairement l'Adresse De Réponse dans une mémoire vive volatile ("RAM") pendant les quelques microsecondes ou millisecondes nécessaires pour répondre à la demande de l'utilisateur. Pendant ce temps, Quad9 utilise l'Adresse De Réponse pour incrémenter un compteur du nombre de requêtes reçues du préfixe annoncé par le protocole BGP (Border Gateway Protocol) de l'Adresse De Réponse et un compteur du nombre de requêtes reçues d'une région géographique qui est la plus petite des deux : une nation ou une population d'au moins 10 000 personnes.

L'Adresse De Réponse n'est utilisée à aucune autre fin et est supprimée de la RAM dès que (dans le cas d'une requête que l'utilisateur envoie via le protocole de datagramme de l'utilisateur) nous avons transmis la réponse à l'adresse de réponse de l'utilisateur ou (dans le cas d'une requête que l'utilisateur envoie via le protocole de contrôle de la transmission) dès que l'utilisateur ou Quad9 ferme la connexion TCP (service de multiplexage de port). L'adresse de réponse (ou toute représentation de cette adresse ou tout mandataire de celle-ci) n'est pas copiée sur un support de stockage permanent et n'est pas transmise sur le réseau à une destination autre que l'utilisateur. Elle quitte la machine sur laquelle nous l'avons reçue uniquement sous la forme d'une réponse à l'utilisateur - vers aucune autre destination, sous aucune autre forme, dans aucun autre but.

Nous utilisons la virtualisation des serveurs et nous sommes conscients que, dans certaines configurations que nous n'employons pas, il serait possible pour le logiciel de virtualisation de s'appuyer sur la mémoire virtuelle. Plus précisément, si la mémoire physique devenait insuffisante, le processus de "mémoire virtuelle" échangerait sur le disque les pages de RAM qui ne sont pas utilisées. Si la machine était arrêtée à ce moment précis, il est hypothétiquement possible que les adresses de réponse puissent être extraites des pages de mémoire qui ont été transférées sur le disque par un décryptage par force brute.

Nous ne pensons pas que ce processus se produise sur nos serveurs pour deux raisons. Premièrement, nous l'empêchons de se produire en allouant à chaque image client une quantité de RAM physique supérieure à la quantité de RAM à laquelle elle pense avoir accès. Deuxièmement, les pages de RAM qui contiennent des points finaux de transaction de requête DNS en direct sont les plus actives, et non les moins actives, et si l'une d'entre elles était transférée sur le disque, le fonctionnement de la machine s'arrêterait essentiellement. Cette situation se présenterait comme une balise flagrante dans nos systèmes de surveillance des performances, donc si elle devait se produire, elle serait évidente pour nous - et elle ne se produit pas.

2.0 Collecte et partage des données

En tant que fondation d'utilité publique à but non lucratif dédiée à la fourniture de DNS récursifs sécurisés, privés et performants, Quad9 limite sa collecte de données uniquement aux données qui lui permettent de mieux remplir sa mission au service de ses utilisateurs. Si les données ne rendent pas le service plus sûr pour ses utilisateurs, plus privé pour ses utilisateurs, ou plus rapide et plus résilient pour ses utilisateurs, nous ne prenons pas la peine de les collecter.

Quad9 ne dispose d'aucun mécanisme permettant aux utilisateurs de "s'inscrire", de créer un compte ou de nous révéler leur identité, car nous n'avons aucun besoin technique ou commercial de pouvoir identifier les utilisateurs ou de les distinguer les uns des autres. Nous n'avons donc pas d'enregistrements ou de structures de données associés à l'utilisateur, et par conséquent, nous n'avons pas d'endroit où placer, ou de moyen de récupérer, les données concernant les utilisateurs.

2.1 Adresses IP

Quad9 ne recueille pas et n'enregistre pas les adresses IP, ne recueille pas et ne détient pas de proxy pour ou de représentation des adresses IP, et ne recueille pas et ne détient pas d'autre identifiant unique des individus au lieu des adresses IP.

Parce que Quad9 ne collecte ni ne détient les adresses IP, elles ne peuvent pas être combinées ou corrélées avec d'autres informations, telles que les étiquettes de requête ou les horodatages, pour violer la vie privée des utilisateurs de Quad9.

Comme indiqué ci-dessus, Quad9 traite les Adresses De Réponse comme des informations d'identification personnelle. Le principal risque associé aux IIP est qu'elles peuvent être utilisées conjointement avec d'autres informations pour créer le profil d'une personne et de ses actions. Une adresse IP en soi pose relativement peu de risques, et les autres informations dont nous disposons, telles que l'étiquette de la requête, ne posent également que peu ou pas de risques pour la vie privée d'un utilisateur. Mais si l'adresse IP d'un utilisateur était associée à une étiquette de requête, ou à une étiquette de requête et à un horodatage, la vie privée de l'utilisateur serait perdue. C'est pourquoi Quad9 s'attache à garantir que les adresses IP ne sont jamais corrélées avec d'autres informations sous notre contrôle. Nous y parvenons en minimisant notre traitement des adresses IP et en veillant à ce qu'il n'y ait jamais de point dans notre processus où une adresse IP et une étiquette de requête sont associées, sauf dans la réponse fournie à l'utilisateur. Les informations que nous ne possédons pas sont des informations qui ne peuvent être vendues, divulguées ou volées.

2.2 Données collectées

La collecte de données de Quad9 se fait principalement sous la forme de compteurs d'entiers. Sur chaque serveur Quad9, voici la liste complète des éléments que nous comptons :

  • Le nombre de requêtes pour chaque type de requête, par exemple, A, AAAA, NS, MX, TXT.
  • Le nombre de chaque type de réponse, par exemple, SUCCESS, SERVFAIL, NXDOMAIN.
  • Le nombre de requêtes qui arrivent sur chaque protocole de transport et type de cryptage, par exemple IPv4, IPv6, TCP, UDP, DoT, DoH, DNScrypt.
  • Le nombre de requêtes provenant de chaque région géographique
    • le nombre de requêtes pour chaque domaine malveillant provenant de chaque région géocodée
  • Le nombre de requêtes provenant de chaque préfixe IP annoncé par BGP.
    • le nombre de requêtes pour chaque domaine malveillant provenant de chaque préfixe IP annoncé par BGP.

En outre, nous enregistrons

  • Les heures des premières et des plus récentes instances de requêtes pour chaque étiquette de requête.
Afin de prévoir les besoins et de planifier la capacité, nous tenons des compteurs du nombre de requêtes que nous servons, de la partie d'entre elles qui arrive à chacun de nos serveurs, de la partie d'entre elles qui provient de chaque zone géographique, de la partie d'entre elles qui provient de chaque réseau porteur et de la partie d'entre elles qui arrive via chacun des protocoles que nous prenons en charge. Nous pouvons également noter la première et la dernière fois que nous voyons une requête pour chaque étiquette de requête unique. En outre, dans le cas des étiquettes de requête que les analystes des renseignements sur les menaces portent à notre attention pour les bloquer afin de protéger nos utilisateurs contre les logiciels malveillants et la fraude, nous comptons également le nombre de fois où chaque domaine malveillant a été interrogé à partir de chaque région géographique.

Aucun de ces compteurs ne contient d'informations permettant d'identifier une personne, ni ne présente de corrélation ou de référence spécifique à une requête individuelle.

Lorsque nous effectuons des comptages par région géographique, nous utilisons des données démographiques pour nous assurer qu'aucune région n'est plus petite que la plus petite d'une nation ou d'une population de pas moins de 10 000 personnes.

Par exemple, le Nunavut est un territoire du Canada dont la population est de 39 000 habitants, mais aucune ville du Nunavut n'a une population supérieure à 8 000 habitants. Par conséquent, toutes les requêtes provenant de ce territoire sont regroupées en un seul compteur représentant plus de 2 000 000 de kilomètres carrés. À l'autre extrême, la Cité du Vatican est un pays de 825 habitants et d'une superficie de 0,4 km² qui, parce qu'il s'agit d'un pays reconnu par l'ISO 3166, est également représenté par un seul compteur. Nous distinguons environ 8 000 régions géographiques qui ont chacune une population moyenne de 1 000 000 d'habitants.

L'objectif de la tenue de compteurs géographiques est double : s'assurer qu'il existe une capacité de serveur Quad9 suffisante dans une région pour servir sa population localement et correctement ; et, lorsque des cybermenaces se produisent, comprendre dans quelle mesure elles ciblent ou affectent de manière disproportionnée une population particulière. Nous reconnaissons que si une région géographique était trop petite, ou trop peu peuplée, elle pourrait potentiellement ne contenir qu'un seul individu et pourrait donc être corrélée avec des IIP provenant d'autres sources pour créer un risque pour la vie privée de cet individu.

Toutes les données ci-dessus peuvent être conservées en totalité ou en partie dans des archives permanentes.

2.3 Partage des données

Quad9 ne partage pas, ne vend pas et ne loue pas d'informations qui pourraient identifier un individu.

Nous ne partageons pas ces informations parce que nous ne les avons pas. Nous ne disposons pas de ces informations parce que nous n'en avons pas besoin. Parce que nous n'avons pas besoin de ces informations, nous n'avons construit aucun mécanisme pour les collecter, les conserver, les analyser ou les distribuer.

Quad9 partage des compteurs statistiques très limités avec les analystes de renseignements sur les menaces qui fournissent les flux de renseignements sur les menaces qui nous permettent de protéger nos utilisateurs contre les attaques malveillantes. Ce retour d'information permet aux analystes de renseignements sur les menaces d'affiner leurs analyses et de nous fournir des informations plus précises, ce qui nous permet à notre tour de fournir à nos utilisateurs une meilleure sécurité. Ces informations ne comprennent aucune donnée permettant d'identifier une personne ou son utilisation d'Internet, ni aucun élément qui pourrait être corrélé avec d'autres données pour identifier une personne ou son utilisation d'Internet. Plus précisément, avec chaque analyste de renseignements sur les menaces, nous partageons les trois informations suivantes :

  • L'horodatage de chaque requête de chaque domaine malveillant qu'ils nous ont identifié.
  • Le nombre de requêtes pour chaque domaine malveillant qu'ils ont identifié, provenant de chaque région géocodée.
  • le nombre de requêtes pour chaque domaine malveillant qu'ils ont identifié, provenant de chaque préfixe IP annoncé par BGP.

Pour faciliter la tâche des analystes de renseignements sur les menaces, nous fournissons également le numéro du système autonome d'origine associé au préfixe IP annoncé par BGP. Il ne s'agit pas de données dérivées des requêtes des utilisateurs mais de données dérivées indépendamment des tables de routage BGP. Elles ne contiennent pas de DPI et ne peuvent pas être combinées avec des DPI pour caractériser un utilisateur.

Nous ne partageons pas les compteurs associés à des domaines malveillants avec des analystes de renseignements sur les menaces qui n'ont pas identifié ce domaine spécifique comme étant malveillant.

Quad9 fournit des données à un très petit nombre de chercheurs en sécurité soigneusement contrôlés pour les aider à mieux comprendre et à mieux protéger le public contre les cybermenaces. Ces données peuvent consister en un échantillonnage statistique clairsemé de réponses DNS horodatées provenant de notre cache ou de serveurs faisant autorité en amont, mais sans adresse, préfixe, ASN ou autres données liées à l'utilisateur ou à la requête. Il ne contient pas de DPI ou de données qui, selon nous, pourraient être combinées ou corrélées avec des DPI pour caractériser un utilisateur ou son comportement. Lorsque nous fournissons une telle assistance, nous le faisons uniquement dans le cadre d'un accord écrit stipulant que le chercheur utilise les informations que nous lui fournissons uniquement dans le but d'améliorer la sécurité des utilisateurs, et non à d'autres fins. Nous exigeons que les chercheurs effectuent leurs analyses sur des serveurs et des infrastructures appartenant à Quad9 et exploités par lui et nous n'autorisons pas l'exportation de données à partir de ces systèmes sous une forme autre que sommaire.

Quad9 publie des informations générales, telles que le nombre de menaces bloquées et le temps de fonctionnement de l'infrastructure, à l'intention du public.

3.0 Exceptions

Comme tout opérateur d'infrastructure critique, nous devons maintenir la sécurité de nos systèmes afin d'assurer la confidentialité de nos utilisateurs. Nous disposons d'une politique de confidentialité distincte pour les conditions anormales, telles que celles dans lesquelles les utilisateurs se livrent à des cyberattaques contre nous.

4.0 Entités associées

Quad9 fournit des données aux analystes de renseignements sur les menaces qui nous donnent les moyens de protéger nos utilisateurs contre les domaines malveillants, comme indiqué à la section 2.3. Quad9 fournit des informations aux chercheurs pour les aider à mieux comprendre et à mieux protéger le public des cybermenaces, mais l'assistance que nous offrons ne contient pas d'IIP ou de données qui, selon nous, pourraient être combinées ou corrélées avec des IIP pour caractériser un utilisateur ou son comportement. Lorsque nous fournissons une telle assistance, nous le faisons uniquement dans le cadre d'un accord écrit selon lequel le chercheur utilise les informations que nous fournissons uniquement dans le but d'améliorer la sécurité des utilisateurs, et non à d'autres fins. Aucune autre entité ne reçoit de données de Quad9, autres que celles mises à la disposition du grand public.

5.0 Corrélation des données

Nous ne corrélons ni ne combinons les données en notre possession avec des données provenant d'autres sources.

6.0 Filtrage des résultats

Quad9 fournit des réponses filtrées et non filtrées aux requêtes DNS, à la seule discrétion de l'utilisateur.

6.1 Filtrage

Quad9 utilise des informations de renseignement sur les menaces provenant d'analystes de renseignement sur les menaces qualifiés pour fournir une protection de sécurité facultative aux utilisateurs de Quad9. Quad9 examine soigneusement les analystes de renseignements sur les menaces et évalue la qualité des renseignements fournis de manière continue. Les renseignements sur les menaces sont regroupés à partir de ces nombreuses sources en une seule "liste de blocage" de domaines dont on pense, avec un haut degré de confiance, qu'ils existent principalement ou exclusivement dans le but de nuire à un utilisateur. Tout en reconnaissant que nombre de ces flux de données sont constitués de millions d'entités malveillantes et ne sont donc pas soumis à un examen ou à un contrôle humain individuel, Quad9 s'engage dans un examen continu de ces flux de données afin d'en garantir la qualité et l'adéquation. Quad9 s'engage de manière bidirectionnelle avec les analystes de renseignements sur les menaces pour les aider à affiner la qualité de leur analyse et, par conséquent, le degré de protection qu'elle offre aux utilisateurs de Quad9. Cet engagement inclut le partage des données tel que défini dans la section 2.3.

Quad9 permet également aux utilisateurs de demander le statut de blocage actuel de n'importe quel domaine via un formulaire sur son site Web. Pour chaque domaine bloqué, Quad9 divulgue l'identité de l'analyste des menaces qui a suggéré le blocage et fournit tout texte explicatif qu'il a pu fournir, via ce mécanisme.

6.1.1 Censure

Quad9 ne censure pas les réponses qu'elle fournit à d'autres fins que le blocage des domaines malveillants associés à l'hameçonnage, aux logiciels malveillants, à l'exploitation de vulnérabilités ou à la fraude, comme détaillé dans la section 6.1. Quad9 n'accepte pas les demandes de censure des gouvernements ou d'autres entités. Quad9 précise à ses analystes de renseignements sur les menaces qu'elle n'accepte pas les suggestions de blocage de domaines pour des raisons de censure et annulera toute tentative de ce type dont elle aura connaissance.

6.1.2 Blocage accidentel

Quad9 accepte les rapports de "faux positifs" du public concernant des domaines que les utilisateurs pensent être légitimes et bloqués par erreur. Ces rapports peuvent être soumis par le biais d'un formulaire sur notre site Web ou par courriel à support@quad9.net. Quad9 s'efforce d'enquêter manuellement sur chaque domaine signalé. Les utilisateurs doivent garder à l'esprit que les acteurs malveillants nous signalent presque toujours que leurs domaines malveillants sont bloqués par erreur, de sorte que la validation des faux positifs est un processus laborieux. Après avoir déterminé qu'un domaine bloqué l'a été par erreur, Quad9 l'ajoute à une "liste d'autorisation" qui remplace les renseignements sur les menaces malveillantes que nous recevons des analystes de renseignements sur les menaces, et le domaine est définitivement supprimé de notre liste de blocage globale.

7.0 Vos droits

Vous avez le droit de recevoir à tout moment, par écrit et gratuitement, des informations sur vos données personnelles traitées par nos soins. Vous disposez également d'un droit de rectification, d'effacement et de limitation du traitement des données, ainsi que de la libération de certaines données personnelles en vue de leur transfert à un autre responsable du traitement. Dans la mesure où le traitement est fondé sur votre consentement, vous avez le droit de retirer ce consentement avec effet pour l'avenir. Vous trouverez les coordonnées correspondantes dans l'introduction de la présente déclaration de confidentialité.

En outre, chaque personne concernée a le droit de faire valoir ses droits en justice ou de déposer une plainte auprès de l'autorité compétente en matière de protection des données. L'autorité compétente en matière de protection des données en Suisse est le Préposé fédéral à la protection des données et à la transparence (http://www.edoeb.admin.ch).

8.0 Contact

Si vous avez des questions ou des commentaires relatifs à la protection de la vie privée en rapport avec la présente Déclaration, veuillez envoyer un courriel à support@quad9.net. Vous pouvez également nous contacter en écrivant à cette adresse :

CleanerDNS Inc. dba Quad9, 1442 A Walnut Street, Suite 501, Berkeley CA 94709.

[Bientôt : Quad9, c/o SWITCH, Werdstrasse 2, P.O. Box, CH-2021 Zurich]

-fin-

Cette politique est publiée sous une licence Creative Commons Attribution-NonCommercial-ShareAlike.

La traduction suivante est uniquement destinée à vous informer.
En cas de conflit ou d'incohérence entre cette version traduite et la version anglaise (y compris à la suite de retards dans la traduction), la version anglaise prévaudra.



Liens externes
Demande de commentaires 8932 - Recommandations pour les opérateurs de services de protection de la vie privée
Exemple de politique RPS
Article 3 (a) du RGPD - Loi fédérale suisse sur la protection des données
2 CFR § 200.79 - Loi américaine
Article 4(1) GDPR - Règlement de l'Union européenne
Cache/transfert du résolveur DNS - Quora
Serveur proxy - Wikipédia
Traducteur d'adresses réseau - Wikipédia