gdpr-article

La réforme du “Whois” à l’aune de l’application du RGPD

A l’approche de l’application du RGPD (« Règlement général sur la protection des données ») en mai 2018, le groupe de travail de l’Article 29 sur la protection des données, regroupant l’ensemble des autorités européennes de protection des données (« G29 »), a exprimé ses inquiétudes quant à la conformité de la publication automatique des informations contenues dans les bases Whois dans le cadre d’une lettre adressée à l’ICANN.

Le RGPD entre en application le 25 mai prochain. Ce texte a pour objet d’instaurer une règlementation uniforme pour les 28 Etats membres de l’Union européenne. En vertu du règlement, toute entreprise, établie en Union européenne (« UE ») ou non, qui traite des données personnelles de citoyens établis au sein de l’UE devra respecter les règles et obligations imposées par le RGPD.

 L’ensemble des entreprises ayant pour activité la création des bases de données de noms de domaine Whois devront ainsi se mettre en conformité avec le RGPD, qu’il s’agisse de l’Internet Corporation for Assigned Names and Numbers (« ICANN »), ou encore des Registres et des Bureaux d’enregistrement.

 L’ICANN est le coordinateur mondial de la gestion des noms de domaine. Dans ce cadre, un Registre ou Bureau d’enregistrement va s’engager contractuellement vis-à-vis de l’ICANN à tenir à jour une base de données dite « Whois » (relatives aux noms de domaine) et à la rendre accessible au public. Cette base contient diverses informations techniques, mais surtout des données à caractère personnel relatives notamment aux titulaires de noms de domaines, tels que nom, prénom, adresse postale et électronique, numéros de téléphone, permettant à n’importe qui de les identifier.

 Une telle publication illimitée des informations contenues dans les bases Whois fait l’objet d’une attention particulière du G29, celui-ci ayant régulièrement averti l’ICANN de la non-conformité des traitements mis en place en 2006 et 2014. Le 6 décembre 2017, le G29 a réitéré ces inquiétudes à l’aune de l’application du RGPD.

 1. Les préconisations du G29

 Le G29 a rappelé à l’ICANN sa potentielle qualité de responsable conjoint du traitement réalisé dans le cadre de la collecte des données aux fins de publication des informations contenues dans les bases Whois, aux côtés des Registres. Une telle qualité obligerait donc l’ICANN à se mettre en conformité avec les dispositions du RGPD.

 En outre, le G29 a mis en cause la base légale des traitements réalisés aux fins de publication illimitée des données Whois ainsi que la légitimité du traitement. Selon le G29, trois fondements légaux prévus à l’article 6 du RGPD pourraient être en théorie retenus pour la publication illimitée des données Whois :

  • le consentement de la personne concernée ;
  • l’exécution d’un contrat auquel la personne concernée est partie ; ou
  • les intérêts légitimes poursuivis par le responsable du traitement.

Cependant, de telles bases légales doivent être écartées selon le G29, dès lors que (i) le consentement donné par les personnes concernées par le traitement n’est pas libre, (ii) qu’elles ne sont pas signataires du contrat liant l’ICANN et le Registre et (iii) que la publication illimitée des données Whois ne permet pas d’invoquer un intérêt légitime poursuivi par le responsable de traitement.

 En conséquence, le G29 a invité l’ICANN à entamer un dialogue avec les autorités européennes de protection des données sur la conformité des bases Whois avec le RGPD, en préconisant in fine que la finalité originelle des bases Whois soit réalisée par un accès différencié par couches, selon la finalité poursuivie par le demandeur.

 2. Le processus de mise en conformité de l’ICANN au RGPD

 L’ICANN a répondu au G29, le 15 janvier, indiquant que la mise en conformité du système de la base Whois était en cours notamment par le biais d’une mission de réflexion visant à améliorer la précision et l’accès aux données génériques d’enregistrement de domaine de premier niveau, et à envisager des garanties pour protéger les données (« Registration Directory Service Review »).

 Elle a également indiqué qu’elle avait chargé un conseil juridique, le cabinet Hamilton, de l’accompagner durant son processus de mise en conformité avec les obligations du RGPD. A ce titre, le cabinet Hamilton a évoqué une réflexion sur une solution d’accès différencié par couches aux données de la base Whois, selon la finalité poursuivie par le demandeur, comme préconisé par le G29.

 La conformité au RGPD pose problème à l’ICANN, puisque les Registres pour se mettre en conformité avec le RGPD, sont obligés d’être en défaut vis-à-vis des obligations contractuelles imposées par l’ICANN. Ainsi, certains Registres ont pris l’initiative de se conformer au RGPD via l’adoption de modèle de conformité, sans se soucier des obligations leur incombant en vertu des contrats conclus avec l’ICANN. Face à ces initiatives, l’ICANN a pris la décision de ne pas engager de poursuites à l’encontre de ces Registres, dès lors que ceux-ci partagent avec elle, le modèle de conformité adopté.

 Simultanément, l’ICANN a publié pour examen public, trois modèles à l’attention des Registres afin de remédier à cette situation et de permettre la conformité des Registres au RGPD dans le respect des obligations contractuelles de l’ICANN.

 Dans le cadre de ces modèles, l’ICANN indique que les Registres et Bureaux d’enregistrement ne seront pas obligés de publier toutes les données personnelles actuellement contenues dans la base Whois.

 Ces modèles proposent ainsi un accès différencié par couches aux données en fonction :

  • du consentement donné ou non par le titulaire du nom de domaine ;
  • de la situation géographique du Bureau d’Enregistrement et/ou du Registre;
  • de la qualité du titulaire (personne physique ou morale).

 En fonction de ces éléments, une liste plus ou moins exhaustive de données sera divulguée publiquement. Pour les données qui ne seront pas communiquées publiquement, en fonction du type de modèle proposé, plusieurs éléments devront être fournis pour avoir accès à ces données comme par exemple :

  • La mention du but poursuivi quant à l’accès à ces données et la démonstration d’un intérêt légitime du demandeur (modèle 1) ;
  • Une accréditation formelle délivrée par un programme de certification (modèle 2) ;
  • Une assignation ou toute décision de justice ayant pour objet l’accès aux données non publiques (modèle 3).

L’examen public des trois modèles s’est achevé le 29 janvier 2018, les résultats sont attendus très prochainement.

 3. Les recommandations de la Commission européenne

 Le 29 janvier 2018, trois commissaires européen, Dimitris Avramopoulos (commissaire aux Affaires intérieures), Vera Jourova (commissaire à la Justice) et Sir Julian King (commissaire pour l’Union de la sécurité) ont adressé une lettre à l’attention de l’ICANN aux fins de saluer les efforts mis en œuvre par celle-ci pour se conformer au RGPD.

 Dans le cadre de cette lettre, la Commission a formulé plusieurs recommandations à l’attention de l’ICANN quant aux actions pouvant être entreprises aux fins de conformité au RGPD :

      1. Distinguer les données devant être soumises au respect du règlement européen (données relatives aux personnes physiques) et celles qui ne le sont pas ;

  1. Spécifier les différentes finalités des traitements et fournir cette information et d’autres informations pertinentes sur le traitement des données sous une forme claire au moment de la collecte des données d’enregistrement, aux personnes concernées, en particulier, les titulaires des noms de domaine ;
  2. Examiner dans quelles mesures l’accès à certaines catégories de données peut continuer à être public et sans restriction ;
  3. Examiner dans quelles mesures certaines restrictions pourraient être mises en place afin d’assurer que les données accessibles soient adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées ;
  4. Etablir des procédures d’accès claires et pratiques aux données de la base Whois pour les autorités publiques, tout en assurant une conformité totale aux exigences du RGPD ;
  5. Mettre en œuvre des garanties contre les abus (comme par exemple, limiter l’accès aux fiches d’enregistrement en fonction de l’usage légitime pour une période donnée).

 Il ressort de cette lettre, l’importance portée au maintien d’un accès pour les forces de l’ordre aux données contenues dans la base Whois. Une telle préoccupation est partagée, outre-Atlantique par le directeur de l’Agence des télécommunications du département du Commerce américain : David Rehld, celui ayant indiqué qu’en dépit de la mise en conformité avec le RGPD, les données personnelles contenues dans les bases Whois devaient rester aisément accessibles aux forces de l’ordre.

  1. L’Afnic, exemple de conformité au RGPD

L’Afnic, office d’enregistrement du .fr, est un bon exemple de la mise en œuvre de procédure d’accès différencié aux données du Whois.

 En effet, l’Afnic a mis en place, dès 2006, une procédure d’anonymisation des données du Whois, appliquée par défaut à toute personne physique enregistrant un domaine en .fr. Sur la fiche correspondant au nom de domaine dans l’annuaire Whois, les informations personnelles sont remplacées par la mention « diffusion restreinte ». Les données contenues dans la fiche ne sont accessibles que sur demande expresse et motivée à l’attention de la direction juridique de l’Afnic, sous conditions de la procédure de levée d’anonymat. Les coordonnées professionnelles fournies par le représentant d’une personne morale restent quant à elles librement accessibles au sein du Whois.

 Une telle procédure démontre bien la possibilité pour les Registres de mettre en place des process permettant de respecter le RGPD. L’ICANN pourrait s’en inspirer.

 L’ICANN ainsi que les Registres et/ou Bureaux d’enregistrement ont donc jusqu’à mai 2018 pour se mettre en conformité vis-à-vis du RGPD et poser des barrières à l’accès illimitée des données personnelles contenues dans la base Whois.

Autres Articles

Prêt pour votre mise en conformité RGPD ?