Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s’applique à toute entreprise ou organisme traitant des données à caractère personnel relatives à des résidents européens. Cependant, le service WHOIS qui permet d’identifier le propriétaire d’un nom de domaine, semble entrer en conflit direct avec ce nouveau règlement européen. À l’heure où les abus sur Internet se multiplient, est-il encore possible d’identifier le contrevenant ? Pour y voir plus clair, nous avons demandé à Luc Seufer, Directeur juridique du groupe EBRAND, de répondre à nos questions.
Pouvez-vous nous dire si et comment EBRAND est impactée par l’entrée en vigueur du RGPD ?
EBRAND, de par sa clientèle et les services qu’elle propose, a une double casquette qui symbolise pleinement la problématique de l’application du RGPD dans l’industrie des noms de domaine. En tant que bureau d’enregistrement nous sommes très attachés à la protection des données personnelles de nos clients. Aussi, hormis l’anonymisation de nos bases de données Whois, nous n’avons pas eu à effectuer de changement majeur dans notre mode de fonctionnement. Nous respections déjà la législation en vigueur concernant la protection des données à caractère personnel.
La presse anglophone et les titulaires de droits de propriété intellectuelle ont publié de nombreux articles alarmant quant à la « mort du Whois » et de ces conséquences pour la sécurité des utilisateurs d’internet. Pouvez-vous nous dire ce qu’il en est ?
Je pense qu’il faut en préambule faire un bref historique afin de comprendre la situation actuelle. Depuis plusieurs années, les spécialistes de la protection des données personnelles ont averti l’ICANN que ses règlements enfreignaient le droit européen de protection des données personnelles. L’ancien Groupe de Travail de l’article 29, devenu depuis le Comité Européen de la Protection des Données, a d’ailleurs adressé de nombreuses lettres aux directeurs généraux successifs de l’ICANN. Malheureusement, aucun d’eux n’a pris réellement ces avertissements au sérieux et les réformes nécessaires n’ont jamais été faites. C’est donc dans l’urgence que le Directeur Général actuel de l’ICANN a dû faire voter un texte temporaire permettant aux bureaux d’enregistrement et registres de prendre les mesures qu’ils jugent adéquates pour ne plus enfreindre le RGPD. Ce texte étant assez vague tant quant à sa mise en œuvre que dans son champ d’application, chaque registre et bureau d’enregistrement a donc modifié sa gestion de ses bases de données comme il l’entend. Certains registres masquent toutes les coordonnées des bases données sans égard quant au lieu de résidence du titulaire et de sa qualité de personne physique ou morale. D’autres comme EBRAND publient une adresse email anonymisée qui permet de contacter les titulaires « personnes physiques » et laisse accessible les coordonnées des personnes morales. D’autres encore publient un formulaire de contact sur leur site web. En quelque mois, il est devenu assez compliqué d’avoir accès aux coordonnées relatives aux titulaires de noms de domaine.
Mais n’est-ce pas le rôle de l’ICANN d’imposer des standards à l’industrie ?
Lors de la réunion à Panama City à laquelle je participais, l’ICANN a annoncé que l’élaboration d’un nouveau règlement allait être initié rapidement afin qu’une solution pérenne et universelle soit mise en place. Ce règlement devrait être élaboré et promulgué avant la fin du mois d’avril 2019. Cela peut paraître assez long mais si ce processus aboutit, cela sera un record de rapidité pour l’ICANN. Pour mémoire, il a fallu plus de 10 années pour que le programme de lancement des nouvelles extensions aboutisse. L’un des volets de ce règlement devrait inclure la mise en place d’un système d’accès différencié aux bases de données Whois. Par exemple, les autorités gouvernementales et forces de l’ordre auront accès une base de données spécifiques. Les titulaires de droit de propriété intellectuelle lésés auront quant à eux accès à une base de données Whois dédiée. Mêmes dispositions pour les bureaux d’enregistrement, les chercheurs en sécurité et les autres acteurs concernés… Certains bureaux d’enregistrement ont déjà mis en place, de leur propre initiative, des systèmes d’accès gradués à leur base de données Whois, mais sans qu’aucun standard commun. Il faut donc obtenir l’accord de chaque prestataire concerné, seul juge de la pertinence de la demande pour accéder aux informations. Or, si les bureaux d’enregistrement sont pour la plus part des prestataires techniques très compétents, ils ne sont pas qualifiés pour juger de la validité d’une plainte d’un tiers à l’encontre d’un autre.
Cela veut-il dire que l’internet est devenu une zone de non droit ?
Non car, au delà de son droit local, chaque bureau d’enregistrement est tenu par son contrat avec l’ICANN. Celui-ci l’oblige à étudier et répondre à toutes les plaintes qu’il reçoit concernant l’utilisation faite des noms de domaines qu’il a en gestion. Il est donc toujours possible d’obtenir la suspension de noms de domaine au contenu litigieux – ce que font efficacement nos équipes pour nos clients. En revanche, il reste difficile de savoir qui procède à ces usages abusifs.
Dans ce cas, comment faites-vous pour identifier les contrevenants ?
Ici encore le problème tient au fait qu’il n’y a pas de procédure standard et chaque gestionnaire de bases de données Whois a une approche différente. Certains demandent impérativement à ce que leur soit fourni une décision de justice. D’autres se contentent d’une plainte répondant aux critères imposés par la Loi pour la confiance dans l’économie numérique du 21 juin 2004pour les plaintes relatives au contenu. D’autres ne savent que faire et restent malheureusement muet. Lorsque c’est le nom de domaine qui est litigieux, alors les procédures URS et UDRP permettent en autre d’initier une procédure d’arbitrage et de lever l’anonymat quant au titulaire du domaine en cause. Mais cette solution est pour le moins couteuse pour une simple levée d’anonymat ! Cependant, les titulaires de droit ont à leur disposition des solutions technologies innovantes développées par les experts EBRAND. Celles-ci permettent de détecter, agir et stopper les atteintes en ligne rapidement sans passer par des procédures juridiques longues et coûteuses.
Cf. article : https://ebrandservices.fr/confidentialite-des-donnees-la-question-enraye-le-processus-de-migration-du-whois/
Raphael TESSIER et Sophie AUDOUSSET pour EBRAND
