Le 25 mai 2018, le RGPD est entré en vigueur sans que le problème de la conformité du WHOIS au RGPD soit résolu.
La non-conformité du WHOIS au RGPD
L’ICANN (Société pour l’attribution des noms de domaine et des numéros sur Internet) est une société de droit californien dont l’une des principales missions est la gestion des noms de domaine de premier niveau génériques (comme .com, .org ou .net) .
L’ICANN délègue l’enregistrement de ces noms de domaine à différents registres et bureaux d’enregistrement qu’elle a au préalable accrédités. Dans ce cadre, ces derniers s’engagent contractuellement vis-à-vis de l’ICANN à tenir à jour une base de données WHOIS.
La base de données WHOIS fournit, en libre accès, de nombreuses informations concernant les noms de domaine enregistrés et notamment les coordonnées de leurs titulaires (nom, prénom, adresses postale et électronique, numéro de téléphone…).
Or, le RGPD (Règlement général sur la protection des données) (1), qui est entré en vigueur le 25 mai 2018, exige que toute entreprise, établie en Union européenne ou non, qui traite des données personnelles de citoyens européens, ne puisse le faire qu’avec le consentement de la personne concernée, soit dans le cadre de l’exécution d’un contrat, du respect d’une obligation légale, de la sauvegarde des intérêt vitaux de la personne concernée ou de l’exécution d’une mission d’intérêt public.
Dès lors, la diffusion en libre accès des coordonnées de citoyens européens titulaires de noms de domaine entre en conflit avec les règles du RDGP.
L’alerte des autorités européennes de protection des données
De nombreuses autorités européennes de protection des données dénoncent depuis longtemps l’incompatibilité du système WHOIS au regard du droit européen, qui impose depuis la Directive du 24 octobre 1995 (2) des règles strictes en matière de collecte et de traitement de données personnelles.
L’ICANN était jusqu’à présent restée sourde à ces revendications. Mais l’entrée en vigueur du RGPD qui vient renforcer les dispositions existantes, étendre leur applicabilité aux entreprises non européennes et alourdir les sanctions encourues en cas de non-respect, vient changer la donne.
L’insistance du G29, organe consultatif européen réunissant les autorités de contrôle des données en Union européenne a sans doute également participé à la prise de conscience de l’ICANN sur le sujet.
Dans une lettre en date du 11 décembre 2017 (3), le G29 incite en effet l’ICANN à réfléchir sur la nécessaire mise en conformité du WHOIS au RGPD.
En effet, l’article 6 du RGPD impose que toute collecte ou traitement de données à caractère personnel doit :
- soit faire l’objet d’un consentement de la personne concernée,
- soit être nécessaire à l’exécution d’un contrat auquel la personne concernée est partie,
- soit être justifiée par un intérêt légitime,
- soit être nécessaire au respect d’une obligation légale, à la sauvegarde des intérêts vitaux de la personne concernée ou à l’exécution d’une mission d’intérêt public.
Or, le G29 souligne que les cordonnées des titulaires sur WHOIS sont divulguées sans leur consentement, puisque ceux-ci sont obligés de fournir ces informations pour obtenir un nom de domaine et doivent ensuite, le plus souvent, s’acquitter d’un paiement supplémentaire pour pouvoir rendre une partie (seulement) de ces informations privées.
En outre, les titulaires des noms de domaine ne sont pas des parties signataires aux contrats d’accréditation liant l’ICANN aux différents registres et bureaux d’enregistrements.
Enfin, le G29 estime que l’ICANN n’a pas d’intérêt légitime à publier ces données, même dans le cas où elles peuvent servir aux forces de l’ordre pour combattre d’éventuelles fraudes, dès lors que ce n’est pas leur objet explicite.
L’inquiétude croissante des registres et bureaux d’enregistrement
Pris en tenaille entre le RGPD et les contrats d’accréditation imposés par l’ICANN, les différents registres et bureaux d’enregistrements tirent également la sonnette d’alarme sur ce sujet.
A compter du 25 mai 2018, ces derniers s’exposent en effet à de potentielles sanctions des autorités européennes de protection des données pour non-conformité avec le RGPD si elles continuent d’appliquer les dispositions des contrats d’accréditation.
Afin de soulager les craintes des registres et bureaux d’enregistrements, l’ICANN a donc annoncé récemment dans un communiqué (4) que «durant cette période d’incertitude, et sous conditions, l’ICANN reportera toute action contre un registre ou un bureau d’enregistrement qui ne se conformerait pas à ses obligations contractuelles en matière de données d’enregistrement».
La publication d’un modèle provisoire de conformité du WHOIS au RGPD
Afin d’organiser en urgence une conformité du WHOIS au RGPD, l’ICANN a publié il y a quelques jours un texte provisoire (5) détaillant sa nouvelle politique par rapport à ce service et destiné à être appliqué obligatoirement par les registres et bureaux d’enregistrement dès le 25 mai 2018.
Ce document prévoit notamment que seules certaines informations relatives aux titulaires des noms de domaines seront désormais rendues publiques (nom du nom de domaine, informations sur le bureau d’enregistrement, date d’enregistrement, etc.).
D’autres informations, notamment le nom du titulaire, son adresse postale et mail ou son numéro de téléphone seront rendues confidentielles par défaut, bien que les titulaires qui le souhaitent puissent rendre ces données publiques par le biais d’un système d’ « op-in ».
Seuls les utilisateurs accrédités par le biais d’un programme spécifique, ou en possession d’une assignation en bonne et due forme, pourront avoir accès à ces données confidentielles.
La réflexion de l’ICANN sur un modèle pérenne
En parallèle, l’ICANN travaille sur l’élaboration d’un nouveau cadre juridique définitif lui permettant de se conformer au RGPD de façon globale. L’élaboration d’un tel cadre devra sans doute passer par la mise en place d’avenants aux contrats d’accréditation existants.
L’enjeu pour l’ICANN sera ainsi de trouver un équilibre entre la protection des données personnelles et sa mission consistant à mettre à disposition des informations précises sur les titulaires de noms de domaines, dans le but notamment de lutter contre les fraudes.
Anne-Sophie Cantreau
Claire Deramoudt
Lexing Marques et noms de domaine
(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(2) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
(3) Lettre du G29 à l’ICANN du 11 décembre 2017 : Mise en conformité du WHOIS au RGPD
(4) Communiqué du 2-11-2017 : Statement from Contractual Compliance
(5) Proposed Temporary Specification for gTLD Registration Data – Working draft (Revised – as of 14 May 2018) prepared by ICANN organization