Le Whois, contraction de l’anglais « Who is », permet à n’importe quel internaute d’identifier le titulaire d’un domaine. L’existence de cet « annuaire public de l’Internet », dont les usages sont nombreux et parfois répréhensibles, est aujourd’hui remise en question par la nouvelle réglementation européenne relative aux données à caractère personnel (RGPD). Certains registres, à l’instar de l’Afnic qui gère entre autres le .fr, ont mis en place des mécanismes de diffusion restreinte des données des titulaires d’un domaine. Un modèle à généraliser ? La protection des données personnelles du titulaire (registrant) doit-elle devenir un des critères de choix d’une extension, au même titre que la mémorisation de l’URL ou son optimisation pour le SEO ? Ouvrons le débat.
Avec Yann Lequerler, juriste chez OVH spécialisé dans les domaines, et Marianne Georgelin, Responsable des Politiques de Registre de Afnic.
RGPD : pourquoi sommes-nous tous concernés ?
Le règlement général sur la protection des données (RGPD), paru au journal officiel de l’Union européenne en mai 2016, entrera en application le 25 mai 2018. Ce texte, qui prévaudra sur les législations nationales, harmonise le droit à l’échelon européen en matière de protection des données à caractère personnel. Dans le cadre du RGPD, et en application du code de conduite qu’il a co-rédigé au sein du CISPE, OVH a récemment fait évoluer ses conditions générales de service, renforçant ses engagements sur le sujet.
Si ce texte européen commence à faire parler de lui, et à figurer à l’ordre du jour des Comex des grandes entreprises, c’est qu’il constitue une révolution dans le traitement informatisé des données personnelles, en encadrant les pratiques de façon bien plus stricte que les directives nationales antérieures. Étude d’impact préalable aux opérations de traitement (1), portabilité des données, recueil et retrait du consentement ou encore profilage des utilisateurs : le RGPD conduit de nombreuses entreprises, petites à grandes, à mettre en conformité leurs process avec la nouvelle réglementation. Au-delà des pénalités encourues, bien qu’elles soient dissuasives (jusqu’à 4 % du chiffre d’affaires de la société mise en cause !), il s’agit aussi et surtout pour les entreprises d’apporter davantage de garanties à des utilisateurs de plus en plus concernés par la protection et l’utilisation de leurs données personnelles.
Le traitement des données personnelles dans le cadre de l’enregistrement des noms de domaine : point de friction entre les conceptions européenne et américaine de la protection de la vie privée
C’est dans ce contexte qu’il faut situer le débat juridique qui oppose les bureaux d’enregistrement et les registres européens, tels qu’OVH (1er registrar en France, 2nd au niveau européen) et l’Afnic, à l’ICANN. Principale autorité de régulation de l’Internet, l’ICANN gère l’attribution des domaines de premier niveau (gTLD). À ce titre, cet organisme de droit américain accrédite des registres, tels que VeriSign (.com, .net), Donuts (qui gère une partie des nouvelles extensions : .social, .media, .email, etc.), Affilias (.info, .pro…) ou encore la Ville de Paris (.paris..), ainsi que des bureaux d’enregistrement (OVH par exemple).
Parmi les obligations contractuelles à respecter pour être accrédité en tant que bureau d’enregistrement (registrar) auprès de l’ICANN, et commercialiser les extensions des registres (registry) en charge des gTLD et nouveaux gTLD, certaines dispositions apparaissent aujourd’hui comme non conformes au futur droit communautaire.
Il s’agit notamment de la diffusion des données personnelles (coordonnées) du propriétaire d’un nom de domaine dans le cadre du service Whois, que registres et registrars sont tenus de fournir (2). Mais pas seulement : le transfert de ces données, depuis le registrar jusqu’à l’ICANN, en passant par le registre et l’agent de séquestre, pose la question de l’exfiltration de données personnelles hors du territoire européen, de leur durée de conservation, et soulève la problématique de la responsabilité de chacun des acteurs : à qui revient le rôle de responsable du traitement, et comment se répartissent les responsabilités en cas de fuite de données par exemple ? Enfin, le RGPD instaure l’obligation d’une meilleure information des utilisateurs quant aux traitements subis par leurs données personnelles et leur finalité. Ceci avant que le registrar ne sollicite un consentement éclairé de leur part. Autant dire que le chantier est vaste pour aligner les pratiques actuelles sur les nouvelles obligations contenues dans le RGPD.
Pourquoi le Whois pose problème
Le Whois est un service en accès libre, permettant notamment d’obtenir des informations sur le détenteur d’un nom de domaine : nom, prénom, société (le cas échéant), adresses postale et électronique, et numéro de téléphone. Ce service historique du web, dont la création remonte à 1982, permettait alors de recenser et d’identifier quiconque transmettait des informations à travers le réseau Arpanet, l’ancêtre d’Internet. Il a depuis été maintenu, de façon conjointe par l’ensemble des registres sur la base de normes plus ou moins homogènes (RFC). À la fois dans une optique de transparence à laquelle les pionniers de l’Internet étaient attachés, mais aussi probablement en raison du consensus autour de la nécessité qu’un tel service existe, de la part des différentes parties prenantes du réseau : registrars, autorités judiciaires, organismes de lutte contre le spam, détenteurs de marques, créateurs d’œuvres protégées par la propriété intellectuelle, etc.
Le Whois pose, du fait de sa conception même, un problème pour la protection de la vie privée des personnes. La diffusion publique de l’identité, voire d’autres informations relatives au détenteur d’un domaine, ouvre la porte à l’exploitation commerciale de ses données sans consentement préalable, et bien sûr au spam. Certaines sociétés se sont ainsi fait une spécialité d’extraire les données du Whois à intervalle régulier, pour en archiver le contenu, puis commercialiser cet historique ainsi que des fichiers basés sur l’activité probable du titulaire (registrant) en fonction des mots contenus dans le label du domaine (les mots figurant avant le point et l’extension).
Si le Whois trouve évidemment des applications légitimes, par exemple la protection des marques (via les services d’anti-cybersquatting ou typo squatting, ou encore par le biais de la Trademark Clearinghouse), certaines utilisations sont plus inattendues. Il est ainsi possible de souscrire à des alertes basées non pas sur les labels mais sur les titulaires. Auquel cas il devient possible pour vos concurrents d’être notifiés des nouveaux domaines que vous déposez. Sachez-le !
Ces services, qui exploitent les données du Whois, opèrent aujourd’hui dans une faille du droit, que le RGPD entend bien combler. Reste à convaincre les acteurs américains, au premier rang desquels figure l’ICANN, de l’intérêt qu’il y a à adopter un modèle plus protecteur. D’autant que, si l’anonymat permet à certains d’enregistrer des domaines sur lesquels ils publient des contenus litigieux, l’anonymat est en même temps une garantie pour la liberté d’expression. Le cyber-harcèlement, qui est déjà en soi une expérience désagréable, peut vite se transformer en harcèlement « in real life », ciblant par exemple le propriétaire d’un site qui revendique son appartenance à une communauté religieuse, sexuelle, politique, etc.
L’Afnic, précurseur dans la diffusion restreinte des informations du Whois
Les extensions nationales (ccTLD), tels que les .fr, .de, .be… ne sont pas contractuellement engagées avec l’ICANN de la même manière que les extensions génériques. Leur gestion incombe directement aux États concernés, et ce en toute indépendance. C’est ainsi qu’en France, l’Afnic, association à but non lucratif, a été désignée par l’État comme office d’enregistrement du .fr et des extensions géographiques d’outre-mer : .re, .tf, .yt, .pm et .wf.
N’étant liée à l’ICANN que par un simple engagement de reconnaissance mutuelle, l’Afnic a, mis en place, dès 2006, une procédure d’anonymisation des données du Whois, appliquée par défaut à tout particulier (personne physique) enregistrant un domaine en .fr, .re, .tf, .yt, .pm et .wf. Sur la fiche correspondant à votre domaine dans l’annuaire Whois, vos coordonnées personnelles (nom, adresse, téléphone, etc..) sont alors remplacées par la mention « diffusion restreinte ». Ces coordonnées sont accessibles, sur demande expresse et motivée, à la direction juridique de l’Afnic et sous conditions, dans le cadre de ce qu’on appelle une procédure de levée d’anonymat. Les coordonnées professionnelles fournies par le représentant d’une personne morale (propriétaire, contact administratif, contact technique et contact de facturation, lesquels peuvent être une seule et même personne), restent quant à elles librement accessibles au sein du Whois.
Ces pratiques de l’Afnic ont été confortées par la CNIL ainsi que par une décision de la cour d’appel de Paris en 2012. Elles se sont révélées précurseuses, car un certain nombre de registres ayant en charge des extensions nationales s’en sont inspirés. On retrouve ainsi ce mécanisme optionnel de diffusion restreinte des données personnelles lorsque l’on enregistre un .eu (géré par l’Eurid) ou encore un .cat (extension créée pour la Catalogne).
Attention toutefois : les .paris, .alsace, .bzh, .corsica… ou encore le .ovh, pour lesquels l’Afnic joue le rôle de prestataire technique (Registry Service Provider), ne sont pas des extensions nationales (ccTLD), mais des domaines de premier niveau générique (gTLD). À ce titre, ces extensions sont engagées contractuellement avec l’ICANN et les dispositions de ce contrat ne leur permettent pas aujourd’hui de proposer l’anonymat des informations figurant dans leur Whois. Les possibilités de diffusion restreintes de ces informations sont alors beaucoup moins protectrices, comme nous allons le voir.
Les limites des services d’anonymisation (privacy services) pour les gTLD
En ce qui concerne les gTLD (.com, .org, .net, .ovh, .top, .pro, .xyz, .paris, online, .mobi pour en citer quelques-uns parmi les plus vendus chez OVH), l’ICANN encadre précisément la gestion des registres. Et les règles du jeu ne sont plus tout à fait les mêmes. Si l’ICANN autorise (sans les encourager) les procédés de « privacy » du Whois, elle ne permet pas une anonymisation complète, même pour les personnes physiques. Leur(s) nom(s) et prénom(s) – au pluriel dans le cas où le propriétaire et les contacts administratifs, techniques et de facturation ne sont pas une seule et même personne – sont ainsi systématiquement exposés dans le Whois.
Certains registres, sans recourir à la diffusion restreinte, ont adopté des procédures intermédiaires intéressantes, bien que pas totalement satisfaisantes. Il en va ainsi du registre du .amsterdam, qui filtre l’accès à son serveur Whois en réclamant aux requêtants la signature d’un contrat d’utilisation du service. Enfin, certains registres n’acceptent tout simplement pas la mise en place, par les registrars, de procédés d’anonymisation partielle des informations, quels qu’ils soient.
Lorsque cela est autorisé par le registre de l’extension, OVH propose donc un service optionnel gratuit d’anonymisation (privacy service) de certaines informations du Whois : adresse postale, e-mail et/ou numéro de téléphone (au choix pour les personnes physiques ; les personnes morales ne pouvant dissimuler que leur adresse e-mail). Dans le cadre du service OWO, OVH redirige vos courriers électroniques depuis une adresse e-mail spécifiquement créée pour cet usage et protégée contre le spam, et vous réexpédie d’éventuels courriers postaux (une mise en demeure par exemple). Ceci sans que vos coordonnées ne soient divulguées à aucun moment, ni revendues à qui que ce soit. Un service qui apporte une protection minimale, mais ne garantit ni l’anonymat du titulaire ni une protection totale contre le démarchage non sollicité. Car les recoupements de données par des tiers, effectués en toute illégalité, ne sont pas impossibles.
Avertissons ceux qui seraient tentés de renseigner de fausses informations lors de l’enregistrement d’un domaine : la ruse peut coûter cher. L’ICANN, qui procède régulièrement à des contrôles, peut solliciter via le bureau d’enregistrement la copie de pièces justifiant l’identité du titulaire… et a tout pouvoir pour demander la suspension du domaine en cas de fraude. C’est d’ailleurs pour garantir l’exactitude et la validité de ces informations que tout registrar est tenu d’envoyer chaque année un e-mail à chaque titulaire d’un domaine générique (gTLD), sollicitant la confirmation des données qu’il a renseignées lors de l’enregistrement. Notez également que renseigner de fausses informations vous mettrait en porte-à-faux avec les conditions particulières de service signées avec OVH lors de la souscription de vos services. Il en va de même pour les titulaires du .fr, dont les coordonnées font l’objet de plus de 25 000 vérifications par an de la part de l’Afnic et que les registrars ont aussi la responsabilité de tenir à jour.
Reste la solution du « proxy registration service », soit le fait de payer un tiers pour qu’il substitue ses informations personnelles aux vôtres au sein du Whois. Mais ce service est cher – à la mesure des risques juridiques encourus par celui qui endosse alors la responsabilité d’être le titulaire – et a déjà été attaqué en justice, notamment par les sociétés d’ayants droit pour qui ces procédés d’anonymisation des titulaires de domaines compliquent beaucoup la formalisation de recours.
Quel avenir pour le Whois ?
L’échéance de la mise en application du RGPD, dans moins d’un an, précipite un peu les choses. L’ICANN va ainsi devoir prendre en compte les recommandations des registres et bureaux d’enregistrement européens, constitués en groupe de travail. Ceux-ci, au sein desquels l’Afnic et OVH sont représentés, œuvrent aujourd’hui à dessiner un modèle acceptable pour les différentes parties prenantes, adaptant les pratiques de l’ICANN au droit communautaire. Les discussions, qui promettent d’être passionnantes, portent sur les procédés d’anonymisation des informations du Whois, mais aussi plus largement sur l’ensemble du cycle de vie des données recueillies dans le cadre des activités de registres et registrars. Où sont stockées ces données, combien de temps sont-elles conservées après l’échéance d’un contrat ? Autant de questions auxquelles, grâce au RGPD, les utilisateurs seront en droit d’avoir des réponses précises et satisfaisantes.
Cela pourrait bien aboutir à une clarification des différents niveaux de protection offerts par les registres aux données personnelles des registrants. De quoi complexifier un peu le choix de votre prochain nom de domaine… mais, vous en avez maintenant conscience, c’est pour la bonne cause ! Nous reviendrons en détails sur ces débats et leurs enjeux notamment à l’occasion du comité de concertation de l’Afnic qui se tiendra le 12 octobre prochain, et qui sera exceptionnellement ouvert à tous pour discuter du RGPD et de son impact sur nos métiers et sur nos clients respectifs. La suite au prochain épisode…
(1) L’étude d’impact est obligatoire en cas de transfert de données personnelles hors UE ou d’opérations présentant des risques.
(2) Pour certaines extensions, ce sont les Registrars qui ont la charge de publier le Whois. C’est la différence entre Thick et Thin Whois. Par exemple, actuellement le <.com> est un Thin Whois, c’est-à-dire que c’est au Registrar de publier le Whois. Ce système va changer. L’ICANN a publié une nouvelle politique qui va imposer à tous les Registres gérant des gTLD de passer sur le fonctionnement du Thick Whois. C’est-à-dire que c’est au Registre de publier le Whois.