L'application imminente du RGPD pourra-t-elle mettre à mal le service WHOIS ? Oui, selon l'ICANN,

Qui demande un moratoire pour mieux se préparer

L'application imminente du RGPD pourra-t-elle mettre à mal le service WHOIS ? Oui, selon l'ICANN,
qui demande un moratoire au G29 pour mieux se préparer

Le service Whois est un service de recherche fourni par les registres Internet (par exemple les Registres Internet régionaux - RIR) - ou bien les registres de noms de domaine) permettant d'obtenir des informations sur une adresse IP ou un nom de domaine. En clair, Whois est un service qui vous permet de découvrir qui sont les propriétaires de noms de domaine.

Avec l’arrivée du RGPD (Règle Générale de Protection des Données) qui va entrer en vigueur le 25 mai de l’année en cours, ce service pourrait bien en être profondément affecté.

En effet, comme le suggère son nom, le RGPD a pour but de mieux sécuriser les données privées des internautes.

Le groupe de travail G29 (l’organe consultatif européen indépendant sur la protection des données et de la vie privée) a écrit à l'ICANN pour lui fournir des orientations sur son modèle provisoire proposé pour garantir que le traitement des données WHOIS est conforme au règlement général sur la protection des données. Tout en saluant les efforts de l'ICANN à ce jour, notamment pour son modèle provisoire proposé qui implique un accès par couches, ainsi qu'un « programme d'accréditation » pour l'accès aux données WHOIS non publiques, le G29 a soulevé un certain nombre de préoccupations concernant l'approche proposée et n'a pas répondu à la demande d'un moratoire sur l'exécution.

Notons au passage qu’à compter de l’entrée en vigueur du RGPD, le G29 sera remplacé par le Comité européen de la protection des données.


L’article 5(1) b du RGPD prévoit que les données à caractère personnel seront « collectées à des fins précises, explicites et légitimes ». Selon le G29, le modèle intérimaire de l'ICANN ne parvient pas à remplir cet objectif (le groupe de travail note que, par exemple, fournir un « accès légitime » à des « données d'enregistrement précises, fiables et uniformes » ne correspond pas à un objectif spécifique).

Le G29 recommande donc à l'ICANN de réexaminer sa liste actuelle d'objectifs (qui incluent actuellement « apporter un cadre pour traiter les problèmes d'enregistrement de noms de domaine, notamment, mais non limité à la protection des consommateurs, les enquêtes sur la cybercriminalité, l’utilisation abusive du DNS et la protection de la propriété intellectuelle ; et apporter un cadre pour répondre aux besoins appropriés des forces de l’ordre »).

Le G29 s’est réjoui de la réduction significative des types de données personnelles qui seront rendues publiques via le WHOIS, ainsi que de la possibilité d'un futur « programme d'accréditation » pour l'accès aux données WHOIS non publiques. Toutefois, il note que « des détails importants demeurent absents concernant les circonstances dans lesquelles l'accès sera fourni, dans quelle mesure et sous quelles conditions et garanties. »

Le G29 a donc souligné à l'ICANN qu’il y a encore du travail à faire pour développer des « politiques et procédures appropriées applicables aux demandes incidentes et systématiques d'accès aux données WHOIS, en particulier pour l'accès par les forces de l'ordre. »

En particulier, le G29 précise qu'il est nécessaire de clarifier « comment l'accès doit être limité afin de minimiser les risques d'accès et d'utilisation non autorisés (par exemple en permettant l'accès sur la base de requêtes spécifiques uniquement, par opposition aux transferts en masse et/ou recherches ou services d'annuaire inversé, ce qui comprend développer des mécanismes visant à restreindre l'accès aux champs à ce qui est nécessaire pour atteindre l'objectif légitime en question). »

En outre, le modèle intérimaire proposé par l'ICANN exigerait que les bureaux d'enregistrement conservent les données d'enregistrement pendant deux ans au-delà de la durée de l'enregistrement du nom de domaine, bien qu'une période de 60 jours ait déjà été évoquée. En tant que tel, le G29 s'interroge sur le délai de deux ans, exhortant l'ICANN à réévaluer la période de conservation proposée « et à justifier explicitement et documenter pourquoi il est nécessaire de conserver les données personnelles sur une telle période. »

L’ICANN a accepté une invitation à rencontrer le sous-groupe technologique du G29 à Bruxelles le 23 avril 2018 pour d'autres discussions. Göran Marby, président et chef de la direction de l'ICANN, a déploré le fait que le G29 n'ait pas répondu à la demande de l'ICANN de lui accorder un moratoire avant qu’un modèle ne soit appliqué afin de répondre au mieux aux exigences du RGPD.

« Sans un moratoire sur l'application de la loi, WHOIS sera fragmenté et nous devrons prendre des mesures pour atténuer ce problème. En tant que telles, nous étudions toutes les solutions à notre disposition, y compris les actions en justice en Europe pour clarifier notre capacité à continuer à coordonner correctement cette importante ressource d'information mondiale. Nous fournirons plus d'informations dans les prochains jours », a-t-il déclaré.

Source : ICANN

Et vous ?

Que pensez-vous des orientations proposées par le G29 ?
Le G29 devrait-il accorder un moratoire à l'ICANN ? Pourquoi ?
Êtes-vous déjà en conformité avec le RGPD dans votre entreprise ?

Voir aussi :

RGPD : Un guide pratique pour les développeurs, un article de Bozhidar Bozhanov
L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD, après un échec de la commission mixte paritaire la semaine passée