Auteur/autrice : Maxime Benoist

Director of Legal Affairs - Nameshield group

Actualités de l’ICANN sous le prisme du RGPD

Actualités de l’ICANN sous le prisme du RGPD
Source de l’image: Wokandapix via Pixabay

Le Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais) entre en application le 25 mai prochain. Ce texte a pour objet d’instaurer une réglementation uniforme pour les 28 Etats membres de l’Union Européenne (UE). Le but affiché étant de responsabiliser les entreprises, puisque le régime déclaratif jusqu’à présent en vigueur laisse place à la gouvernance interne des données personnelles par les entreprises.

Internet a peu de frontières, le RGPD non plus !

Le Règlement met à jour la législation en matière de données personnelles, et prend ainsi en compte les nombreux échanges numériques liés à la généralisation d’internet. Ainsi, le texte ne limite pas les obligations aux seules entreprises européennes traitant des données à caractère personnel de citoyens établis dans l’UE. Ainsi, toute entreprise, établie en UE ou non, qui traite des données personnelles de citoyens établis au sein de l’UE devra respecter les règles et obligations imposées par le RGPD.

Ce principe d’extraterritorialité a pour conséquence d’imposer la mise en conformité au Règlement par un grand nombre d’entreprises établies hors UE offrant des services à des citoyens résidant en UE.

L’écosystème des noms de domaine n’est donc pas épargné. Qu’il s’agisse de l’ICANN, des Registres et des Bureaux d’enregistrement, tous les maillons de la chaîne des noms de domaine peuvent être amenés à traiter des données à caractère personnel de résidants européens, et doivent ainsi se conformer au RGPD pour les traitements concernés.

Le Whois, une base de données mondiale de données à caractère personnel

L’ICANN, en sa qualité de coordinateur de la gestion des noms de domaine, a construit un système d’accréditation des Registres et Bureaux d’enregistrement. En effet, parmi les obligations des contrats d’accréditation, les Registres et Bureaux d’enregistrement doivent publier un annuaire Whois permettant d’afficher publiquement la fiche d’identité d’un nom de domaine recherché. Cette obligation concerne les extensions génériques (.COM, .NET, .XYZ, etc). Les Registres d’extensions pays mettent également un annuaire Whois à disposition, mais ont une meilleure maîtrise du contenu proposé.

Ainsi, pour un nom générique, il est possible d’accéder librement à des données à caractère personnel, permettant d’identifier les nom et prénom de la personne titulaire, mais également son domicile, ou encore ses moyens de communication (numéro de téléphone et fax, adresse email).

Le groupe de travail réunissant les autorités de contrôle des données en UE, connu sous le nom G29, ne manque pas de suivre avec intérêt l’actualité de l’ICANN vis-à-vis du respect de la réglementation européenne.

G29 versus ICANN

Le G29 a ainsi adressé un courrier à l’ICANN le 6 décembre 2017 à propos de la publication des données Whois, afin de rappeler à l’ICANN son statut de responsable conjoint du traitement en ce qui concerne la publication illimitée des données Whois, mais également lui communiquer ses inquiétudes à ce sujet.

Les inquiétudes du G29 portent notamment sur la base légale des traitements réalisés dans le cadre de la publication illimitée des données Whois. Selon le G29, parmi les fondements légaux de l’article 6 du RGPD, peuvent être retenus les suivants : le consentement de la personne concernée, l’exécution d’un contrat auquel la personne concernée est partie, ou les intérêts légitimes poursuivis par le responsable du traitement. Mais la publication illimitée des données Whois ne permet pas aujourd’hui de satisfaire à l’un de ces fondements.

En effet, la personne concernée par le traitement ne donne par un consentement « libre », elle n’est pas non plus signataire du contrat liant l’ICANN et le Registre ou le Bureau d’enregistrement, ces derniers requérant la publication du Whois. Sur le 3ème fondement, le G29 considère que la publication illimitée des données Whois ne permet pas d’invoquer l’intérêt légitime poursuivi par le responsable de traitement. On retrouve ici le principe de minimisation des traitements, à savoir effectuer un traitement de manière spécifique et pour une finalité déterminée.

Le G29 incite donc fortement l’ICANN à réfléchir à la mise en conformité aux obligations RGPD.

Les démarches de l’ICANN pour se conformer au RGPD

L’ICANN est aujourd’hui conscient que le système de Whois actuel n’est plus viable. Poursuivant l’objectif de mise en conformité, l’ICANN a mandaté un cabinet de conseil juridique pour étudier les différentes notions du Règlement appliquées à l’écosystème des noms de domaine, et plus particulièrement au Whois.

En parallèle, l’ICANN a pris la décision de ne pas engager de poursuites contre les Registres et Bureaux d’enregistrement se positionnant en non-conformité vis-à-vis des contrats d’accréditation en raison du respect des obligations RGPD. Cette exemption est accordée sous conditions, notamment en partageant à l’ICANN le modèle de conformité adopté.

Une refonte du Whois en 2018 ?

Les premières propositions de modèle de Whois conforme au RGPD concordent vers un système d’accès différencié selon la qualité de la personne demanderesse. Ces propositions ne modifient pas tant la collecte des données, mais plus la manière dont elles sont affichées.

Les personnes physiques auraient la possibilité de masquer leurs données personnelles, selon un système d’opt-in au moment de l’enregistrement. Egalement, avant d’afficher la fiche Whois, une proposition de modèle envisage de cocher quelle est la finalité recherchée, telle que connaître la disponibilité du nom de domaine, ou lutter contre une fraude, ou contacter le titulaire pour lui signifier une atteinte à un droit de propriété intellectuelle. La fiche Whois afficherait ainsi les données personnelles nécessaires à la finalité poursuivie par le demandeur.

Le cabinet Hamilton, conseil juridique de l’ICANN sur le RGPD, conclut son étude en évoquant la nécessaire révision du Whois, et rejoint les propositions en conseillant de réfléchir à une solution temporaire permettant un accès différencié par couches aux données du Whois, selon la finalité poursuivie par le demandeur.

Cette hypothèse corrobore avec celle évoquée par le G29 dans son courrier du 7 décembre 2017. En effet, depuis 2003, le G29 évoque cette solution d’accès aux données Whois par couches.

Ces réflexions rejoignent enfin ce qui est d’ores et déjà en vigueur pour certaines extensions pays ou régionales, telles que .FR, ou .EU, nécessitant de justifier la finalité poursuivie afin de bénéficier de la levée de l’anonymat d’un titulaire personne physique.

La blockchain au service des noms de domaine

Blockchain Ethereum
Auteur de la photo : Ethereum – Source : https://www.ethereum.org/assets

Le cas de la fondation Ethereum et de l’extension « .ETH ».

Ethereum est une fondation créée par Vitalik Buterin, canadien de 21 ans, au cours de l’année 2015. Cette fondation a pour objet de promouvoir la technologie blockchain Ethereum créée par ce jeune informaticien, qui propose, outre une monnaie virtuelle à l’instar de la blockchain Bitcoin, la possibilité de créer des applications garantissant la traçabilité, l’inviolabilité et la pérennité des transactions qu’elles gèrent. Pour permettre au plus grand nombre d’accéder à ces applications, la fondation Ethereum a récemment présenté l’ENS, pour « Ethereum Name Service », et son corollaire, l’extension « .ETH ».

 

Retour sur la technologie blockchain

Pour mémoire, la notion de blockchain, ou chaîne de blocs, peut se définir comme étant « une technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle » (source: https://blockchainfrance.net/decouvrir-la-blockchain/c-est-quoi-la-blockchain/).

Ainsi, si l’on prend l’exemple de la blockchain Bitcoin, l’objectif était de créer une monnaie virtuelle. L’intérêt majeur consiste en l’absence d’organe central de régulation, puisqu’elle est contrôlée et gérée par les membres de la communauté, de manière totalement décentralisée. Toute transaction effectuée sur la blockchain entraîne une inscription dans un bloc, publiée sur un registre partagé entre les membres. L’inscription des transactions dans un bloc est effectuée par les « mineurs », qui vérifient, enregistrent et sécurisent les transactions dans la blockchain. Cette base de données recense ainsi toutes les transactions dans des blocs, créant une chaîne de blocs censée être inaltérable et inviolable, en raison de l’utilisation de signatures électroniques, et redistribuée sur le réseau, puisque décentralisée.

La blockchain Ethereum dispose elle aussi de sa devise, à savoir l’Ether. Mais, contrairement au Bitcoin, Ethereum n’a pas créé une monnaie virtuelle, mais a étendu l’usage de la Blockchain à d’autres applications : les contrats intelligents (« smart contracts »). Ainsi, l’Ether ne doit pas être considéré comme une monnaie, mais plutôt comme un consommable permettant d’échanger sur la blockchain, et d’utiliser les applications qu’elle héberge.

 

La notion de « Smart-Contracts »

Ethereum propose de multiples possibilités d’applications décentralisées utilisables sur sa blockchain. Ces « smart contracts » sont définis par le site Internet Blockchain France comme étant « des programmes autonomes qui, une fois démarrés, exécutent automatiquement des conditions définies au préalable. Ils fonctionnent comme toute instruction conditionnelle de type « if – then » (si telle condition est vérifiée, alors telle conséquence s’exécute) ».

Il s’agit concrètement d’une application décentralisée, développée selon le langage de programmation d’Ethereum (le Solidity), qui exécute des instructions prédéfinies de manière automatique, dès lors que des conditions sont remplies, sans l’assistance d’un tiers, et assurant qu’aucune modification ne soit possible. Ces programmes sont exécutés sur la blockchain Ethereum, et contrôlés et certifiés par ses membres.

La promesse est ainsi de supprimer les intermédiaires grâce à la décentralisation totale, régie par l’automatisation des processus.

Par exemple, parmi les applications possibles, la fondation Ethereum a annoncé le 4 mai 2017, la création de l’Ethereum Name Service, permettant l’enregistrement de noms de domaine utilisant l’extension « .ETH ».

 

L’enregistrement de noms en « .ETH »

L’Ethereum Name Service, ou ENS, correspond au DNS d’Internet géré par l’ICANN, mais à la différence de ce dernier, l’ENS n’est pas basé sur des serveurs racines, mais sur la multitude de serveurs/machines membres de la blockchain Ethereum.

Il ne s’agit pas d’un nouveau registre ayant créé une énième extension, mais bien d’une notion alternative d’Internet. En effet, l’ENS n’est pas rattaché au système DNS mondial, ni à l’organisation IANA, ni-même à l’ICANN. L’ENS est un système de nommage propre à la blockchain Ethereum.

L’enregistrement d’un nom de domaine utilisant le « .ETH » se réalise d’une manière différente que l’enregistrement d’un nom de domaine classique. Il s’agit d’un système d’enchères par le dépôt anonyme d’un nombre d’Ethers. En résumé, la demande d’un nom ouvre une période de 72 heures permettant à d’autres personnes d’enchérir. Une seconde période s’ouvre ensuite, d’une durée de 48 heures, durant laquelle chaque enchérisseur doit révéler son enchère. Le meilleur enchérisseur remporte l’enregistrement du nom et est remboursé de son enchère, moins la valeur correspondant à la différence de montants entre les deux meilleures enchères. Ces fonds sont conservés dans un contrat pendant au minimum un an, et peuvent être retirés à l’issue de ce délai, sous réserve de libérer le nom. Si un nom ne fait l’objet que d’une seule enchère, le gagnant de l’enchère se voit rembourser les Ethers investis, sauf 0,01 Ether, correspondant à l’enchère minimale. Ce système permettrait selon les développeurs de l’ENS d’éviter la spéculation sur l’enregistrement de noms de domaine.

Le système n’a donc plus besoin d’une autorité comme l’ICANN, puisque l’attribution des noms est automatisée grâce à un programme informatique distribué et sécurisé sur la blockchain.

Toutefois, si vous tapez un nom de domaine en « .ETH » dans la barre de recherche de votre navigateur Internet, tel Google Chrome, ou Mozilla Firefox, une page d’erreur s’affichera. En effet, les noms enregistrés en « .ETH » ne sont pas reconnus sur ces navigateurs, puisqu’ils ne font pas partie du réseau DNS, et ne sont donc pas reconnus comme un nom de domaine. Des extensions Google Chrome sont néanmoins proposées pour effectuer le pont entre le « web Ethereum » et l’Internet que nous connaissons.

Ainsi, de manière générale, les noms actuellement enregistrés en « .ETH »  sont utilisables uniquement sur la blockchain Ethereum, et donc ne touchent pas le grand public.

Enfin, l’usage premier de l’ENS est, comme l’est le DNS, de permettre à l’utilisateur de lire et retenir une adresse plus simplement en y donnant un sens. Le DNS permet de traduire une adresse IP en adresse lisible via le nom de domaine.

L’ENS permet ainsi de traduire une adresse d’un utilisateur Ethereum (un portefeuille utilisateur) de type « f14955b6f701a4bfd422dcc324cf1f4b5a466265 » en « monprenom.eth ».

Par exemple, lorsqu’un utilisateur souhaite envoyer de l’Ether à un autre utilisateur, il suffit de connaître son nom de domaine, et non plus son adresse utilisateur. Ces noms de domaine ont donc un usage assez limité, mais pourront par la suite être utilisés pour accéder à de futures applications Ethereum.

 

Les risques du « .ETH » pour les titulaires de marques

A ce jour, les navigateurs Internet courants ne supportent pas ces extensions, il semble dès lors que les titulaires de marques n’aient pas à avoir d’inquiétude.

Toutefois, de nombreuses marques françaises et internationales sont « cybersquattées ». C’est-à-dire que des utilisateurs d’Ethereum ont remporté des enchères sur des noms de marques comme « samsung.eth » ou encore « volkswagen.eth ». La titularité du nom leur revient pour une année. A l’issue de cette première année d’enregistrement, les titulaires pourront libérer ces noms pour récupérer le stock d’Ether associé au nom.

Les risques ne sont pour autant pas à exclure dans un avenir proche si les « .ETH » sont amenés à se démocratiser et à offrir des usages intéressants pour le grand public. Dans cette hypothèse, les navigateurs Internet courants pourraient intégrer nativement les «.ETH » au même titre que les « .COM » ou « .XYZ ».

Dès lors, les titulaires de « .ETH » reprenant des marques enregistrées pourraient par exemple chercher à tirer profit de cet enregistrement en utilisant la renommée ou l’identité de ces marques protégées, pour détourner le trafic vers leurs propres produits et services. Il se pourrait également qu’il s’agisse de concurrents cherchant à ternir la marque concurrente.

Dans le système de l’ICANN, les règles édictées notamment avec les principes UDRP, proposent de pallier ces risques a posteriori en permettant aux titulaires de marques de tenter de recouvrir un nom de domaine utilisant injustement leur marque. Le caractère contraignant de ces règles, acceptées et respectées par les bureaux d’enregistrement, facilite l’application des décisions d’experts des centres d’arbitrage, et donc le transfert d’un nom de domaine à son titulaire légitime.

Dans le système ENS, il n’existe pas d’autorité centrale pouvant édicter ces règles. De plus, les noms de domaine en « .ETH » n’ont pas de réelle fiche Whois. Pour enregistrer un tel nom de domaine, il suffit de détenir des Ethers, et de créer un portefeuille. L’identité est cachée derrière une suite de caractères, à savoir l’empreinte numérique d’une clé cryptographique. Il semble donc difficile de connaître la réelle identité d’un titulaire en « .ETH ».

De plus, à la différence du système actuel, il parait difficile de justifier une compétence territoriale pour le « .ETH ». La blockchain n’est rattachée à aucun territoire, elle est distribuée sur toutes les machines de ses membres, et donc partout dans le monde.

La solution pourrait éventuellement être développée par les utilisateurs d’Ethereum eux-mêmes. Il n’est pas à exclure qu’une application soit créée afin de vérifier la légitimité d’un titulaire d’un nom de domaine, sur la base de critères définis dans un programme, tels que par exemple le risque de confusion vis-à-vis d’une marque préexistante, et le critère de bonne foi dans l’usage qui en est fait. La constitution d’un « jury populaire » disposant de jetons de vote permettrait de trancher cette question suite à une plainte d’un autre membre.