L’ICANN, organisme international dont l’objectif est de piloter la gestion internationale de l’attribution des noms de domaine et des adresses, vient de partager ses inquiétudes concernant sa base de données. D’après les explications apportées par Akram Atallah à l’AFP, président de la Global Domains Division à l’ICANN, l’organisation internationale craint que les noms de domaine des utilisateurs ne soient confrontés au droit à l’oubli numérique.
Grâce à une base de données baptisée « WHOIS » ou « Qui est-ce », l’ICANN conserve tous les noms de domaine et les renseignements liés à leurs propriétaires comme l’e-mail, les adresses et le téléphone par exemple. Les données WHOIS étant publiques, la mise à disposition de ces informations pose problème dans le cadre de l’application du RGPD.
En effet, au moment où le RGPD, Règlement général sur la protection des données, entrera en vigueur, le 25 mai 2018, les informations présentes dans les WHOIS ne devraient plus, en principe, apparaître ainsi et être conservées…
Des contraintes à prendre en compte
Seules les informations relatives à des individus sont concernées par le RGPD. Toutefois, le fait que des personnes puissent être identifiées d’une manière ou d’une autre dans la base peut poser un grand problème (de nombreuses extensions exigent à l’enregistrement un contact nominatif, quand bien même le titulaire du nom de domaine serait une entreprise).
Pourtant, en parallèle, la transparence sur Internet est de plus en plus sollicitée par les internautes, surtout afin de lutter efficacement contre ceux qui tentent d’influencer l’opinion publique.
D’après Monsieur Atallah, l’ICANN cherche à « trouver un équilibre » compte tenu des contraintes auxquels l’organisme est nouvellement confronté.
En quête d’une solution pour préserver la base de données de l’ICANN
Préoccupé par le fait que le format WHOIS et les informations associées puissent donc enfreindre le nouveau règlement européen, l’ICANN a organisé, lundi, une série de réunions dans le cadre du meeting ICANN 61 à San Juan, Porto Rico : trouver une solution pour préserver le WHOIS était à l’ordre du jour.
D’après les affirmations d’Akram Atallah : « Nous allons essayer de trouver une voie à suivre ». Il a d’ailleurs ajouté qu’ « il y a encore beaucoup de travail, mais nous travaillons le plus vite possible ».
L’ICANN cherche activement des arguments solides qui lui permettront de justifier largement que le WHOIS joue en la faveur de tout un chacun. Akram Atallah a de plus déclaré : « Nous proposons d’essayer de conserver au maximum nos règles actuelles, tout en restant respectueux de la législation ».
Il a indiqué qu’une base de données répartie sur deux niveaux pourrait être la solution. Le premier niveau gardera ses paramètres actuels notamment l’accès au public. Le deuxième niveau serait quant à lui gardé confidentiel, et l’accès uniquement autorisé aux chercheurs, à la police et toute autre organisation présentant une demande légitime : « Nous interrogeons les organismes de protection des données en Europe pour leur demander leur avis sur cette idée ».
Fais ce que tu veux de mon identité numérique. Voilà la phrase so 2017 et qui le restera. En ce début d’année 2018, c’est le branle-bas de combat du côté de l’application du RGPD, Règlement Général sur la Protection des Données. Ce texte, qui devra s’appliquer d’ici le 25 mai 2018 implique une meilleure protection de l’utilisateur final, une responsabilité pour les professionnels via la mise en conformité de leurs process.
Alors que le RGPD a été approuvé et publié au Journal Officiel de l’Union Européenne le 4 mai 2016, force est de constater que son application est loin d’être réelle. Dans le secteur des noms de domaine, où le monde anglo-saxon est prépondérant, ce texte a été sous-évalué et sous-estimé par des acteurs qui s’imaginaient que l’Union Européenne allait, comme d’habitude diront certains, se plier aux exigences de la grande Amérique. Dans les faits, l’ICANN réalise en ce moment que rien n’est réglé alors que la date butoir approche. Qui plus est, l’ICANN, qui baisse son budget pour les fellowships et autres programmes de vulgarisation, voit au même moment son professionnalisme critiqué.
Les registres des noms de domaine, ces structures gérant les gTLDs et ccTLDs, tels que l’AFNIC pour le .FR ou le DENIC pour le .DE, cherchent à se conformer sans avoir pour le moment de directive claire de la part de l’autorité américaine !
En parallèle, une alliance inédite, faite de sociétés relatives au traçage publicitaire, de FAI et d’unions de presse, a réalisé un communiqué s’opposant au règlement e-privacy. Un constat s’impose : le changement des mentalités prend du temps.
En attendant, l’application concrète du RGPD demeure complexe et le consommateur final prend son mal en patience.
Le Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais) entre en application le 25 mai prochain. Ce texte a pour objet d’instaurer une réglementation uniforme pour les 28 Etats membres de l’Union Européenne (UE). Le but affiché étant de responsabiliser les entreprises, puisque le régime déclaratif jusqu’à présent en vigueur laisse place à la gouvernance interne des données personnelles par les entreprises.
Internet a peu de frontières, le RGPD non plus !
Le Règlement met à jour la législation en matière de données personnelles, et prend ainsi en compte les nombreux échanges numériques liés à la généralisation d’internet. Ainsi, le texte ne limite pas les obligations aux seules entreprises européennes traitant des données à caractère personnel de citoyens établis dans l’UE. Ainsi, toute entreprise, établie en UE ou non, qui traite des données personnelles de citoyens établis au sein de l’UE devra respecter les règles et obligations imposées par le RGPD.
Ce principe d’extraterritorialité a pour conséquence d’imposer la mise en conformité au Règlement par un grand nombre d’entreprises établies hors UE offrant des services à des citoyens résidant en UE.
L’écosystème des noms de domaine n’est donc pas épargné. Qu’il s’agisse de l’ICANN, des Registres et des Bureaux d’enregistrement, tous les maillons de la chaîne des noms de domaine peuvent être amenés à traiter des données à caractère personnel de résidants européens, et doivent ainsi se conformer au RGPD pour les traitements concernés.
Le Whois, une base de données mondiale de données à caractère personnel
L’ICANN, en sa qualité de coordinateur de la gestion des noms de domaine, a construit un système d’accréditation des Registres et Bureaux d’enregistrement. En effet, parmi les obligations des contrats d’accréditation, les Registres et Bureaux d’enregistrement doivent publier un annuaire Whois permettant d’afficher publiquement la fiche d’identité d’un nom de domaine recherché. Cette obligation concerne les extensions génériques (.COM, .NET, .XYZ, etc). Les Registres d’extensions pays mettent également un annuaire Whois à disposition, mais ont une meilleure maîtrise du contenu proposé.
Ainsi, pour un nom générique, il est possible d’accéder librement à des données à caractère personnel, permettant d’identifier les nom et prénom de la personne titulaire, mais également son domicile, ou encore ses moyens de communication (numéro de téléphone et fax, adresse email).
Le groupe de travail réunissant les autorités de contrôle des données en UE, connu sous le nom G29, ne manque pas de suivre avec intérêt l’actualité de l’ICANN vis-à-vis du respect de la réglementation européenne.
G29 versus ICANN
Le G29 a ainsi adressé un courrier à l’ICANN le 6 décembre 2017 à propos de la publication des données Whois, afin de rappeler à l’ICANN son statut de responsable conjoint du traitement en ce qui concerne la publication illimitée des données Whois, mais également lui communiquer ses inquiétudes à ce sujet.
Les inquiétudes du G29 portent notamment sur la base légale des traitements réalisés dans le cadre de la publication illimitée des données Whois. Selon le G29, parmi les fondements légaux de l’article 6 du RGPD, peuvent être retenus les suivants : le consentement de la personne concernée, l’exécution d’un contrat auquel la personne concernée est partie, ou les intérêts légitimes poursuivis par le responsable du traitement. Mais la publication illimitée des données Whois ne permet pas aujourd’hui de satisfaire à l’un de ces fondements.
En effet, la personne concernée par le traitement ne donne par un consentement « libre », elle n’est pas non plus signataire du contrat liant l’ICANN et le Registre ou le Bureau d’enregistrement, ces derniers requérant la publication du Whois. Sur le 3ème fondement, le G29 considère que la publication illimitée des données Whois ne permet pas d’invoquer l’intérêt légitime poursuivi par le responsable de traitement. On retrouve ici le principe de minimisation des traitements, à savoir effectuer un traitement de manière spécifique et pour une finalité déterminée.
Le G29 incite donc fortement l’ICANN à réfléchir à la mise en conformité aux obligations RGPD.
Les démarches de l’ICANN pour se conformer au RGPD
En parallèle, l’ICANN a pris la décision de ne pas engager de poursuites contre les Registres et Bureaux d’enregistrement se positionnant en non-conformité vis-à-vis des contrats d’accréditation en raison du respect des obligations RGPD. Cette exemption est accordée sous conditions, notamment en partageant à l’ICANN le modèle de conformité adopté.
Une refonte du Whois en 2018 ?
Les premières propositions de modèle de Whois conforme au RGPD concordent vers un système d’accès différencié selon la qualité de la personne demanderesse. Ces propositions ne modifient pas tant la collecte des données, mais plus la manière dont elles sont affichées.
Les personnes physiques auraient la possibilité de masquer leurs données personnelles, selon un système d’opt-in au moment de l’enregistrement. Egalement, avant d’afficher la fiche Whois, une proposition de modèle envisage de cocher quelle est la finalité recherchée, telle que connaître la disponibilité du nom de domaine, ou lutter contre une fraude, ou contacter le titulaire pour lui signifier une atteinte à un droit de propriété intellectuelle. La fiche Whois afficherait ainsi les données personnelles nécessaires à la finalité poursuivie par le demandeur.
Le cabinet Hamilton, conseil juridique de l’ICANN sur le RGPD, conclut son étude en évoquant la nécessaire révision du Whois, et rejoint les propositions en conseillant de réfléchir à une solution temporaire permettant un accès différencié par couches aux données du Whois, selon la finalité poursuivie par le demandeur.
Cette hypothèse corrobore avec celle évoquée par le G29 dans son courrier du 7 décembre 2017. En effet, depuis 2003, le G29 évoque cette solution d’accès aux données Whois par couches.
Ces réflexions rejoignent enfin ce qui est d’ores et déjà en vigueur pour certaines extensions pays ou régionales, telles que .FR, ou .EU, nécessitant de justifier la finalité poursuivie afin de bénéficier de la levée de l’anonymat d’un titulaire personne physique.
Nameshield utilise des cookies
Nameshield souhaite utiliser des cookies permettant d’assurer le bon fonctionnement du site et, avec nos partenaires, d’en mesurer son audience🍪.
Nameshield souhaite utiliser des cookies permettant d’assurer le bon fonctionnement du site et, avec nos partenaires, d’en mesurer son audience. Plus d'informations dans notre politique de cookies 🍪.
Ces cookies sont essentiels au bon fonctionnement du site web. Ils assurent les fonctionnalités de base et les fonctions de sécurité du site web, de manière anonyme.
Cookie
Durée
Description
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional
1 year
The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
Ces cookies aident à réaliser certaines fonctionnalités comme le partage du contenu du site web sur les plateformes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités de tiers.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Ces cookies sont utilisés pour comprendre comment vous arrivez sur notre Site et pour mesurer le nombre de visiteurs.
Cookie
Durée
Description
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14
1 minute
Set by Google to distinguish users.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT
2 years
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
Ces cookies sont utilisés pour vous proposer des offres et services personnalisés, plus adaptés à vos centres d’intérêts.
Cookie
Durée
Description
NID
6 months
NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE
5 months 27 days
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
session
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
