Le règlement général sur la protection des données, dit RGPD (ou GDPR pour General Data Protection Regulation), de l’Union Européenne offre une meilleure protection aux citoyens, mais crée des problèmes aux registres gestionnaires de noms de domaine. Le règlement ICANN n’a pas été conçu, en effet, pour préserver la confidentialité des données des titulaires de noms de domaine. Luc Seufer, directeur juridique du groupe EBRAND, nous rapporte de l’ICANN 60 ce que l’autorité de régulation met en œuvre pour parvenir à un consensus entre les parties concernées.
Le RGPD, une nécessité mais aussi un casse-tête
Quel que soit le lieu où vous résidez, vous devez vous familiariser avec ces quatre lettres qui plongent toutes les entreprises en Europe dans un état voisin de la panique et font apparaître sur le visage de nombreux avocats un grand sourire de satisfaction.
Nous évoquons ici, bien sûr, le RGPD de l’Union Européenne, c’est-à-dire le règlement général sur la protection des données.
Le RGPD, adopté depuis avril 2016, sera mis en œuvre le 25 mai 2018, après une période de transition de deux ans. Applicable à tous les États membres de l’UE, ce règlement vise à renforcer et harmoniser les procédures permettant d’assurer la protection des données des résidents européens.
L’intention est certes louable et, sans doute le croyez-vous vraiment, nécessaire dans un monde où les données personnelles deviennent plus précieuses que l’or (les prix d’acquisition d’Instagram, WhatsApp et Waze étaient tous basés sur le nombre d’utilisateurs, pas sur le montant du chiffre d’affaires). Or, cette fois, il se pourrait que le législateur ait agi trop rapidement. Il semble en effet que les agences de protection des données, chargées simultanément de veiller au respect du RGPD et de sanctionner les cas de manquements à ce règlement, ont été prises au dépourvu. Elles tentent donc toujours de trouver quelles seraient les meilleures conditions de mise en œuvre de ce nouveau règlement.
Ce qu’est le RGPD, deux vidéos en anglais :
- https://youtu.be/ZfGrp9rhWew
- https://www.youtube.com/watch?v=n5WJOncaHt4
Les enjeux du RGPD
Pour mieux comprendre les problèmes associés au RGPD, il faut savoir ceci :
Tout service en ligne, y compris pour l’enregistrement d’un nom de domaine, exige que vous fournissiez certaines données personnelles. Sans ces données, le système de noms de domaine serait instable et anarchique.
Ainsi, lorsqu’EBRAND enregistre un nom de domaine en votre nom, nous devons savoir qui vous êtes afin de vous facturer mais aussi afin de nous assurer que le nom de domaine considéré vous appartient. Cet enregistrement est intégré et géré dans une base de données appelée WHOIS qui permet à toute partie intéressée de vérifier « qui est » (who is) le
titulaire d’un nom de domaine donné. Or, le fait que cette base de données soit accessible au public sans aucune restriction est le problème majeur que l’industrie des noms de domaine doit résoudre avant de pouvoir respecter le RGPD.
Il convient de noter ici qu’EBRAND propose une option de confidentialité qui permet de remplacer les données personnelles par des informations de contact dites proxy (le proxy étant le mandataire) dans la base de données WHOIS. Toutefois, les déclarants ne sont pas tenus d’utiliser ce service qui, actuellement, n’est pas proposé par tous les bureaux d’enregistrement. Dans ces deux cas, il y a incompatibilité avec un principe fondamental du RGPD : la confidentialité doit être un paramètre par défaut plutôt qu’une option.
Comment travaille l’ICANN pour améliorer la compatibilité WHOIS et RGPD
La communauté de l’ICANN était consciente de ce problème de confidentialité avant l’adoption du RGPD, mais comme toujours avec le modèle multipartite, le processus d’élaboration des politiques progresse au rythme de l’escargot. Un groupe de travail a été constitué en janvier 2016, avec pour objectif la création d’un RDS (Registration Directory Service) de nouvelle génération pour remplacer le WHOIS. Cependant, il n’y a aucune chance qu’il puisse produire quoi que ce soit susceptible d’être mis en œuvre par l’industrie des noms de domaine d’ici mai 2018.
Lors de l’ICANN 60, ce groupe de travail a rapporté que le nombre de membres participant à cette démarche était si grand (plus de 130) que plusieurs équipes de rédaction, plus petites et plus fonctionnelles, ont été constituées, chacune d’entre elles étant chargée de travailler sur des questions spécifiques.
Naturellement, pour progresser, l’enjeu numéro un du groupe travail consistera à définir ce qu’est aujourd’hui la finalité légitime de la base de données WHOIS et ce qu’elle sera à l’avenir.
Ping-pong néerlandais
Comme Kevin Murphy l’explique plus en détail dans son excellent blog*, les registres néerlandais derrière les .Amsterdam et .FRL ont choisi de se conformer strictement au RGPD. Ils ont anonymisé les informations relatives à chaque « registrant » dans leur base de données WHOIS, comme nous l’avons déjà vu faire par les registres .CAT et .TEL. Cependant, contrairement à ces registres, qui ont tous deux demandé l’approbation préalable de l’ICANN, les deux registres néerlandais ont agi sans le consentement de cette dernière.
Ceci, bien sûr, a provoqué la colère du service de la conformité de l’ICANN qui a envoyé un avis de violation aux registres néerlandais.
Au cours de l’ICANN 60, une lettre de l’Agence néerlandaise de protection des données est opportunément arrivée pour confirmer que la politique WHOIS actuelle n’est pas conforme au RGPD car elle ne fixe pas de limitations à la publication de données personnelles.
Cela a conduit le service juridique de l’ICANN à envoyer sa propre réponse, déclarant qu’aucun des deux registres n’était considéré en infraction, mais cherchait plutôt à trouver une solution avec l’ICANN.
L’Europe ouvre la voie à une meilleure protection de la vie privée
Il n’est pas facile d’équilibrer à la fois les besoins des organismes chargés de l’application des lois, des sociétés de cybersécurité, des chercheurs, des courtiers en noms de domaine, tout en garantissant le droit de chaque individu à la confidentialité. Notons cependant que de nombreux registres nationaux de premier niveau (dits ccTLDs), comme par exemple les .FR, .EU, et.IT, ont réussi à créer un système équilibré.
Pour parvenir à un semblable équilibre, les registres et les bureaux d’enregistrement doivent accepter de changer de culture et adopter le principe du respect « de la vie privée dès la conception » lorsqu’ils établiront des procédures propres à garantir la confidentialité.
Un dossier à suivre…
By Luc – 09.11.2017. Traduit et adapté par Sophie Audousset pour EBRAND France le 22.11.2017
*L’article de Kevin Murphy cité plus haut sur :
Amsterdam refuses to publish Whois records as GDPR row escalates
