Whois et RGPD : quelle problématique ?
Le RGPD encadre le traitement de données à caractère personnel au regard de l’Union européenne de façon bien plus stricte que par le passé. Dans cette dynamique, le nouveau règlement européen oblige désormais les offices d’enregistrement (registry) et les bureaux d’enregistrement (registrar), ces intermédiaires entre l’ICANN et le réservataire gérant la réservation de noms de domaine, à obtenir le consentement des réservataires pour la collecte de leurs données à caractère personnel et interdit leur divulgation au public. En effet, le WHOIS soulevait un problème pour la protection de la vie privée des personnes. La diffusion publique de l’identité, voire d’autres informations relatives au détenteur d’un nom de domaine, ainsi que celles des contacts administratifs et techniques qui peuvent être des personnes physiques, ouvrait la porte à l’exploitation commerciale de ces données sans consentement préalable. Or, il s’agit précisément d’une des problématiques que le règlement entendait traiter. Des changements relatifs à l’accès aux données à caractère personnel des fiches Whois étaient dès lors essentiels pour une mise en conformité effective. Le modèle de Whois a également été remis en cause par le registrar allemand EPAG. Ce dernier qui fait une interprétation stricte du règlement a cessé de collecter les données des contacts administratif et technique pour les nouveaux enregistrements. L’ICANN a alors engagé une action judiciaire devant le tribunal régional de Bonn afin de requérir la continuation de la collecte de toutes les données WHOIS, et maintenir ainsi l’intégrité de la base de données WHOIS. Déboutée en première instance, l’ICANN a fait appel, action qui a conduit le tribunal de Bonn à se ressaisir de l’affaire.
La mise en conformité de l’ICANN
L’ICANN a donc été contrainte de faire évoluer sa politique de WHOIS. A cet effet, elle a modifié le 31 juillet 2017 ses contrats avec les registry concernant la collecte de données à caractère personnel (point 2.18 du contrat d’accréditation de Registry). La modification porte sur les relations entre regitry et registrar en imposant à ces derniers, lors de l’enregistrement de nom de domaine, d’obtenir le consentement des réservataires quant à la collecte et au traitementde leurs données pour inscription dans la base WHOIS et leur traitement conformément au contrat d’enregistrement des noms de domaine. Dans cette optique, l’ICANN a retenu le 28 février 20184un modèle provisoire de WHOIS nommé le « Calzone Model » réduit à son minimum et appliqué à tous les titulaires de noms de domaine, dans et hors de l’Union européenne. Son but est de mettre en conformité à court terme l’exploitation de la base WHOIS avec les dispositions du RGPD, préalablement à une révision totale du système afin de permettre un équilibre optimal entre la lutte contre la cybercriminalité et la protection des données à caractère personnel. Les informations mises à disposition du public seront notamment le nom de domaine lui-même, les informations administratives et techniques (dates, statuts, nom du bureau d’enregistrement, serveurs dns), l’état et le pays du titulaire, le nom de l’organisation s’il s’agit d’une société ainsi qu’un moyen de contacter le titulaire (email anonymisé ou formulaire). Dans le Calzone Model, les autres informations ne sont pas publiées et seuls des utilisateurs accrédités selon des critères non définis à ce jour pourront y avoir accès. Les utilisateurs accrédités envisagés seraient par exemple les autorités policières et judiciaires… et les titulaires de droits. Les propositions initiales de l’ICANN relatifs aux critères d’accréditation ont été rejetées par le Comité Européen de la Protection des Données (CEPD – anciennement G29). A ce jour, l’accès aux données complètes WHOIS est incertain et soumis à la seule appréciation des registrars.
Une application hétérogène par les registrars
En raison du rejet des propositions de l’ICANN par le CEPD et la mise en place dans la précipitation d’un modèle intérimaire, nous constatons une grande hétérogénéité dans les nouvelles politiques de confidentialité. Par exemple, certains registrars masquent toutes les données tandis que d’autres n’appliquent pas encore les règles fixées par l’ICANN. Afin de communiquer avec le titulaire du nom de domaine enregistré, il est possible d’utiliser un formulaire en ligne qui permet de contacter directement le déposant (GoDaddy, Etats-Unis). D’autres bureaux ont mis en place un service proxy permettant la confidentialité des données à caractère personnel des réservataires (Namecheap). A l’inverse, certains registrars chinois continuent pour l’instant de divulguer les informations des titulaires européens.
Quelle stratégie adopter ?
L’application des dispositions du RGPD au regard des noms de domaine est aujourd’hui disparate.
Le cabinet Dreyfus suit l’évolution de la situation et élabore de nouvelles stratégies de défense des marques sur Internet pour s’adapter aux dispositions transitoires mises en place parl’ICANN. Il est en effet nécessaire de voir comment avancera le dialogue des différents acteurs afin de finaliser un modèle de Whois conforme aux dispositions du RGPD et garantissant un accès aux données à des tiers autorisés. Pour l’heure, le seul changement notoire à noter est l’impossibilité d’identifier via les données Whois des cybersquatteurs « à répétition » et d’engager des actions visant plusieurs noms de domaine simultanément. Nous vous tiendrons informés des avancées concernant ces problématiques.
A ce stade, notre équipe se tient à votre entière disposition pour toute question ou information complémentaire.