L’ICANN a déposé une action en justice contre l’EPAG, un bureau d’enregistrement de noms de domaine, qui a été rejetée.
RGPD et contrats d’accréditation : les registrars pris en tenaille
L’ICANN accusait en effet le bureau d’enregistrement de ne pas avoir respecté les termes de son contrat d’accréditation. En cause : le refus de l’EPAG de continuer de collecter les informations de contact administratif et technique relatives aux noms de domaine dont il a la gestion.
Le contrat d’accréditation qui lie chaque bureau d’enregistrement à l’ICANN prévoit en effet que ces derniers s’engagent à collecter notamment de nombreuses informations concernant les contacts relatifs aux noms de domaines enregistrés afin d’alimenter la base de données WHOIS.
Ces dispositions ont été remises en cause avec l’entrée en vigueur du RGPD (Règlement général sur la protection des données) (1) qui impose des règles strictes en matière de collecte et de traitement de données personnelles.
Afin de tenter de résoudre ce problème, l’ICANN a adopté un modèle provisoire (2) détaillant sa nouvelle politique concernant la manière dont les données des titulaires de noms de domaines doivent être collectées et lesquelles peuvent être publiées sur la base de données WHOIS (3).
Si l’ICANN estime que ce modèle est en conformité avec le RGPD, ce n’est pas l’opinion de tous les bureaux d’enregistrement, qui se trouvent dès lors confrontés à un dilemme : respecter les règles du RGPD ou celles imposées par l’ICANN.
Mise en garde de l’ICANN : l’action en justice contre l’EPAG
L’EPAG estimait pour sa part que la collecte des contacts administratifs et techniques relatifs aux noms de domaines imposés par l’ICANN est contraire aux dispositions du RGPD et que seules les coordonnées du titulaire du site doivent être collectées.
Cette position n’a pas satisfait l’ICANN qui a introduit une action en justice contre l’EPAG devant le Tribunal régional de Bonn.
Nous déposons une action en Allemagne pour protéger la collecte de données WHOIS et pour demander des précisions sur le fait que l’ICANN peut continuer à exiger sa collecte. C’est le rôle d’intérêt public de l’ICANN de coordonner un WHOIS mondial décentralisé pour le système de domaine de premier niveau générique. L’ICANN exige par contrat la collecte de données à plus de 2 500 bureaux d’enregistrement et registres qui aident l’ICANN à maintenir cette ressource d’information mondiale.
a déclaré l’avocat général de l’ICANN dans un communiqué.
L’ICANN a présenté cette action en justice comme une tentative de clarification. Elle ressemble également fort à une mise en garde à l’encontre des bureaux d’enregistrement qui ne respecteraient pas ses règles.
Le 30 mai dernier, le Tribunal a tranché (4) en donnant raison à l’EPAG, sans préciser pour autant si la collecte des données techniques et administratives est contraire au RGPD.
Anne-Sophie Cantreau
Claire Deramoudt
Lexing Département Marques et noms de domaines
(1) Règlement UE 2016/679 du Parlement Européen et du Conseil du 26 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(2) Proposed Temporary Specification for gTLD Registration Data – Working draft (Revised – as of 14 May 2018) prepared by ICANN organization.
(3) ICANN : urgence d’une mise en conformité du WHOIS au RGPD, post du 25-5-2018.
(4) LG Bonn: ICANN sammelt zu viele Daten bei der Domainanmeldung – Verstoß gegen die DS-GVO.