ICANN : l’avenir incertain du célèbre WHOIS au cœur du meeting 61 de Porto Rico

ICANN : l’avenir incertain du célèbre WHOIS au cœur du meeting 61 de Porto Rico
Source de l’image: Wokandapix via Pixabay

L’ICANN, organisme international dont l’objectif est de piloter la gestion internationale de l’attribution des noms de domaine et des adresses, vient de partager ses inquiétudes concernant sa base de données. D’après les explications apportées par Akram Atallah à l’AFP, président de la Global Domains Division à l’ICANN, l’organisation internationale craint que les noms de domaine des utilisateurs ne soient confrontés au droit à l’oubli numérique.

Grâce à une base de données baptisée « WHOIS » ou « Qui est-ce », l’ICANN conserve tous les noms de domaine et les renseignements liés à leurs propriétaires comme l’e-mail, les adresses et le téléphone par exemple. Les données WHOIS étant publiques, la mise à disposition de ces informations pose problème dans le cadre de l’application du RGPD.

En effet, au moment où le RGPD, Règlement général sur la protection des données, entrera en vigueur, le 25 mai 2018, les informations présentes dans les WHOIS ne devraient plus, en principe, apparaître ainsi et être conservées…

Des contraintes à prendre en compte

Seules les informations relatives à des individus sont concernées par le RGPD. Toutefois, le fait que des personnes puissent être identifiées d’une manière ou d’une autre dans la base peut poser un grand problème (de nombreuses extensions exigent à l’enregistrement un contact nominatif, quand bien même le titulaire du nom de domaine serait une entreprise).

Pourtant, en parallèle, la transparence sur Internet est de plus en plus sollicitée par les internautes, surtout afin de lutter efficacement contre ceux qui tentent d’influencer l’opinion publique.

D’après Monsieur Atallah, l’ICANN cherche à « trouver un équilibre » compte tenu des contraintes auxquels l’organisme est nouvellement confronté.

En quête d’une solution pour préserver la base de données de l’ICANN

Préoccupé par le fait que le format WHOIS et les informations associées puissent donc enfreindre le nouveau règlement européen, l’ICANN a organisé, lundi, une série de réunions dans le cadre du meeting ICANN 61 à San Juan, Porto Rico : trouver une solution pour préserver le WHOIS était à l’ordre du jour.

D’après les affirmations d’Akram Atallah : « Nous allons essayer de trouver une voie à suivre ». Il a d’ailleurs ajouté qu’ « il y a encore beaucoup de travail, mais nous travaillons le plus vite possible ».

L’ICANN cherche activement des arguments solides qui lui permettront de justifier largement que le WHOIS joue en la faveur de tout un chacun. Akram Atallah a de plus déclaré : « Nous proposons d’essayer de conserver au maximum nos règles actuelles, tout en restant respectueux de la législation ».

Il a indiqué qu’une base de données répartie sur deux niveaux pourrait être la solution. Le premier niveau gardera ses paramètres actuels notamment l’accès au public. Le deuxième niveau serait quant à lui gardé confidentiel, et l’accès uniquement autorisé aux chercheurs, à la police et toute autre organisation présentant une demande légitime : « Nous interrogeons les organismes de protection des données en Europe pour leur demander leur avis sur cette idée ».

Affaire à suivre, et de près.

 

Pour en savoir plus sur le RGPD, découvrez l’article de Maxime Benoist: Actualités de l’ICANN sous le prisme du RGPD.

RGPD, entre législation et réalité de l’application

RGPD, entre législation et réalité de l’application - Blog Nameshield

Fais ce que tu veux de mon identité numérique. Voilà la phrase so 2017 et qui le restera. En ce début d’année 2018, c’est le branle-bas de combat du côté de l’application du RGPD, Règlement Général sur la Protection des Données. Ce texte, qui devra s’appliquer d’ici le 25 mai 2018 implique une meilleure protection de l’utilisateur final, une responsabilité pour les professionnels via la mise en conformité de leurs process.

Alors que le RGPD a été approuvé et publié au Journal Officiel de l’Union Européenne le 4 mai 2016, force est de constater que son application est loin d’être réelle. Dans le secteur des noms de domaine, où le monde anglo-saxon est prépondérant, ce texte a été sous-évalué et sous-estimé par des acteurs qui s’imaginaient que l’Union Européenne allait, comme d’habitude diront certains, se plier aux exigences de la grande Amérique. Dans les faits, l’ICANN réalise en ce moment que rien n’est réglé alors que la date butoir approche. Qui plus est, l’ICANN, qui baisse son budget pour les fellowships et autres programmes de vulgarisation, voit au même moment son professionnalisme critiqué.

Les registres des noms de domaine, ces structures gérant les gTLDs et ccTLDs, tels que l’AFNIC pour le .FR ou le DENIC pour le .DE, cherchent à se conformer sans avoir pour le moment de directive claire de la part de l’autorité américaine !

En parallèle, une alliance inédite, faite de sociétés relatives au traçage publicitaire, de FAI et d’unions de presse, a réalisé un communiqué s’opposant au règlement e-privacy. Un constat s’impose : le changement des mentalités prend du temps.

En attendant, l’application concrète du RGPD demeure complexe et le consommateur final prend son mal en patience.

 

Pour en savoir plus sur le RGPD, découvrez l’article de Maxime Benoist: Actualités de l’ICANN sous le prisme du RGPD.

Actualités de l’ICANN sous le prisme du RGPD

Actualités de l’ICANN sous le prisme du RGPD
Source de l’image: Wokandapix via Pixabay

Le Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais) entre en application le 25 mai prochain. Ce texte a pour objet d’instaurer une réglementation uniforme pour les 28 Etats membres de l’Union Européenne (UE). Le but affiché étant de responsabiliser les entreprises, puisque le régime déclaratif jusqu’à présent en vigueur laisse place à la gouvernance interne des données personnelles par les entreprises.

Internet a peu de frontières, le RGPD non plus !

Le Règlement met à jour la législation en matière de données personnelles, et prend ainsi en compte les nombreux échanges numériques liés à la généralisation d’internet. Ainsi, le texte ne limite pas les obligations aux seules entreprises européennes traitant des données à caractère personnel de citoyens établis dans l’UE. Ainsi, toute entreprise, établie en UE ou non, qui traite des données personnelles de citoyens établis au sein de l’UE devra respecter les règles et obligations imposées par le RGPD.

Ce principe d’extraterritorialité a pour conséquence d’imposer la mise en conformité au Règlement par un grand nombre d’entreprises établies hors UE offrant des services à des citoyens résidant en UE.

L’écosystème des noms de domaine n’est donc pas épargné. Qu’il s’agisse de l’ICANN, des Registres et des Bureaux d’enregistrement, tous les maillons de la chaîne des noms de domaine peuvent être amenés à traiter des données à caractère personnel de résidants européens, et doivent ainsi se conformer au RGPD pour les traitements concernés.

Le Whois, une base de données mondiale de données à caractère personnel

L’ICANN, en sa qualité de coordinateur de la gestion des noms de domaine, a construit un système d’accréditation des Registres et Bureaux d’enregistrement. En effet, parmi les obligations des contrats d’accréditation, les Registres et Bureaux d’enregistrement doivent publier un annuaire Whois permettant d’afficher publiquement la fiche d’identité d’un nom de domaine recherché. Cette obligation concerne les extensions génériques (.COM, .NET, .XYZ, etc). Les Registres d’extensions pays mettent également un annuaire Whois à disposition, mais ont une meilleure maîtrise du contenu proposé.

Ainsi, pour un nom générique, il est possible d’accéder librement à des données à caractère personnel, permettant d’identifier les nom et prénom de la personne titulaire, mais également son domicile, ou encore ses moyens de communication (numéro de téléphone et fax, adresse email).

Le groupe de travail réunissant les autorités de contrôle des données en UE, connu sous le nom G29, ne manque pas de suivre avec intérêt l’actualité de l’ICANN vis-à-vis du respect de la réglementation européenne.

G29 versus ICANN

Le G29 a ainsi adressé un courrier à l’ICANN le 6 décembre 2017 à propos de la publication des données Whois, afin de rappeler à l’ICANN son statut de responsable conjoint du traitement en ce qui concerne la publication illimitée des données Whois, mais également lui communiquer ses inquiétudes à ce sujet.

Les inquiétudes du G29 portent notamment sur la base légale des traitements réalisés dans le cadre de la publication illimitée des données Whois. Selon le G29, parmi les fondements légaux de l’article 6 du RGPD, peuvent être retenus les suivants : le consentement de la personne concernée, l’exécution d’un contrat auquel la personne concernée est partie, ou les intérêts légitimes poursuivis par le responsable du traitement. Mais la publication illimitée des données Whois ne permet pas aujourd’hui de satisfaire à l’un de ces fondements.

En effet, la personne concernée par le traitement ne donne par un consentement « libre », elle n’est pas non plus signataire du contrat liant l’ICANN et le Registre ou le Bureau d’enregistrement, ces derniers requérant la publication du Whois. Sur le 3ème fondement, le G29 considère que la publication illimitée des données Whois ne permet pas d’invoquer l’intérêt légitime poursuivi par le responsable de traitement. On retrouve ici le principe de minimisation des traitements, à savoir effectuer un traitement de manière spécifique et pour une finalité déterminée.

Le G29 incite donc fortement l’ICANN à réfléchir à la mise en conformité aux obligations RGPD.

Les démarches de l’ICANN pour se conformer au RGPD

L’ICANN est aujourd’hui conscient que le système de Whois actuel n’est plus viable. Poursuivant l’objectif de mise en conformité, l’ICANN a mandaté un cabinet de conseil juridique pour étudier les différentes notions du Règlement appliquées à l’écosystème des noms de domaine, et plus particulièrement au Whois.

En parallèle, l’ICANN a pris la décision de ne pas engager de poursuites contre les Registres et Bureaux d’enregistrement se positionnant en non-conformité vis-à-vis des contrats d’accréditation en raison du respect des obligations RGPD. Cette exemption est accordée sous conditions, notamment en partageant à l’ICANN le modèle de conformité adopté.

Une refonte du Whois en 2018 ?

Les premières propositions de modèle de Whois conforme au RGPD concordent vers un système d’accès différencié selon la qualité de la personne demanderesse. Ces propositions ne modifient pas tant la collecte des données, mais plus la manière dont elles sont affichées.

Les personnes physiques auraient la possibilité de masquer leurs données personnelles, selon un système d’opt-in au moment de l’enregistrement. Egalement, avant d’afficher la fiche Whois, une proposition de modèle envisage de cocher quelle est la finalité recherchée, telle que connaître la disponibilité du nom de domaine, ou lutter contre une fraude, ou contacter le titulaire pour lui signifier une atteinte à un droit de propriété intellectuelle. La fiche Whois afficherait ainsi les données personnelles nécessaires à la finalité poursuivie par le demandeur.

Le cabinet Hamilton, conseil juridique de l’ICANN sur le RGPD, conclut son étude en évoquant la nécessaire révision du Whois, et rejoint les propositions en conseillant de réfléchir à une solution temporaire permettant un accès différencié par couches aux données du Whois, selon la finalité poursuivie par le demandeur.

Cette hypothèse corrobore avec celle évoquée par le G29 dans son courrier du 7 décembre 2017. En effet, depuis 2003, le G29 évoque cette solution d’accès aux données Whois par couches.

Ces réflexions rejoignent enfin ce qui est d’ores et déjà en vigueur pour certaines extensions pays ou régionales, telles que .FR, ou .EU, nécessitant de justifier la finalité poursuivie afin de bénéficier de la levée de l’anonymat d’un titulaire personne physique.