L'application imminente du RGPD pourra-t-elle mettre à mal le service WHOIS ? Oui, selon l'ICANN,
Qui demande un moratoire pour mieux se préparer
Le 2018-04-16 18:09:10, par Stéphane le calme, Chroniqueur Actualités
Le service Whois est un service de recherche fourni par les registres Internet (par exemple les Registres Internet régionaux - RIR) - ou bien les registres de noms de domaine) permettant d'obtenir des informations sur une adresse IP ou un nom de domaine. En clair, Whois est un service qui vous permet de découvrir qui sont les propriétaires de noms de domaine.
Avec l’arrivée du RGPD (Règle Générale de Protection des Données) qui va entrer en vigueur le 25 mai de l’année en cours, ce service pourrait bien en être profondément affecté.
En effet, comme le suggère son nom, le RGPD a pour but de mieux sécuriser les données privées des internautes.
Le groupe de travail G29 (l’organe consultatif européen indépendant sur la protection des données et de la vie privée) a écrit à l'ICANN pour lui fournir des orientations sur son modèle provisoire proposé pour garantir que le traitement des données WHOIS est conforme au règlement général sur la protection des données. Tout en saluant les efforts de l'ICANN à ce jour, notamment pour son modèle provisoire proposé qui implique un accès par couches, ainsi qu'un « programme d'accréditation » pour l'accès aux données WHOIS non publiques, le G29 a soulevé un certain nombre de préoccupations concernant l'approche proposée et n'a pas répondu à la demande d'un moratoire sur l'exécution.
Notons au passage qu’à compter de l’entrée en vigueur du RGPD, le G29 sera remplacé par le Comité européen de la protection des données.
L’article 5(1) b du RGPD prévoit que les données à caractère personnel seront « collectées à des fins précises, explicites et légitimes ». Selon le G29, le modèle intérimaire de l'ICANN ne parvient pas à remplir cet objectif (le groupe de travail note que, par exemple, fournir un « accès légitime » à des « données d'enregistrement précises, fiables et uniformes » ne correspond pas à un objectif spécifique).
Le G29 recommande donc à l'ICANN de réexaminer sa liste actuelle d'objectifs (qui incluent actuellement « apporter un cadre pour traiter les problèmes d'enregistrement de noms de domaine, notamment, mais non limité à la protection des consommateurs, les enquêtes sur la cybercriminalité, l’utilisation abusive du DNS et la protection de la propriété intellectuelle ; et apporter un cadre pour répondre aux besoins appropriés des forces de l’ordre »).
Le G29 s’est réjoui de la réduction significative des types de données personnelles qui seront rendues publiques via le WHOIS, ainsi que de la possibilité d'un futur « programme d'accréditation » pour l'accès aux données WHOIS non publiques. Toutefois, il note que « des détails importants demeurent absents concernant les circonstances dans lesquelles l'accès sera fourni, dans quelle mesure et sous quelles conditions et garanties. »
Le G29 a donc souligné à l'ICANN qu’il y a encore du travail à faire pour développer des « politiques et procédures appropriées applicables aux demandes incidentes et systématiques d'accès aux données WHOIS, en particulier pour l'accès par les forces de l'ordre. »
En particulier, le G29 précise qu'il est nécessaire de clarifier « comment l'accès doit être limité afin de minimiser les risques d'accès et d'utilisation non autorisés (par exemple en permettant l'accès sur la base de requêtes spécifiques uniquement, par opposition aux transferts en masse et/ou recherches ou services d'annuaire inversé, ce qui comprend développer des mécanismes visant à restreindre l'accès aux champs à ce qui est nécessaire pour atteindre l'objectif légitime en question). »
En outre, le modèle intérimaire proposé par l'ICANN exigerait que les bureaux d'enregistrement conservent les données d'enregistrement pendant deux ans au-delà de la durée de l'enregistrement du nom de domaine, bien qu'une période de 60 jours ait déjà été évoquée. En tant que tel, le G29 s'interroge sur le délai de deux ans, exhortant l'ICANN à réévaluer la période de conservation proposée « et à justifier explicitement et documenter pourquoi il est nécessaire de conserver les données personnelles sur une telle période. »
L’ICANN a accepté une invitation à rencontrer le sous-groupe technologique du G29 à Bruxelles le 23 avril 2018 pour d'autres discussions. Göran Marby, président et chef de la direction de l'ICANN, a déploré le fait que le G29 n'ait pas répondu à la demande de l'ICANN de lui accorder un moratoire avant qu’un modèle ne soit appliqué afin de répondre au mieux aux exigences du RGPD.
« Sans un moratoire sur l'application de la loi, WHOIS sera fragmenté et nous devrons prendre des mesures pour atténuer ce problème. En tant que telles, nous étudions toutes les solutions à notre disposition, y compris les actions en justice en Europe pour clarifier notre capacité à continuer à coordonner correctement cette importante ressource d'information mondiale. Nous fournirons plus d'informations dans les prochains jours », a-t-il déclaré.
Source : ICANN
Et vous ?
Voir aussi :
Avec l’arrivée du RGPD (Règle Générale de Protection des Données) qui va entrer en vigueur le 25 mai de l’année en cours, ce service pourrait bien en être profondément affecté.
En effet, comme le suggère son nom, le RGPD a pour but de mieux sécuriser les données privées des internautes.
Le groupe de travail G29 (l’organe consultatif européen indépendant sur la protection des données et de la vie privée) a écrit à l'ICANN pour lui fournir des orientations sur son modèle provisoire proposé pour garantir que le traitement des données WHOIS est conforme au règlement général sur la protection des données. Tout en saluant les efforts de l'ICANN à ce jour, notamment pour son modèle provisoire proposé qui implique un accès par couches, ainsi qu'un « programme d'accréditation » pour l'accès aux données WHOIS non publiques, le G29 a soulevé un certain nombre de préoccupations concernant l'approche proposée et n'a pas répondu à la demande d'un moratoire sur l'exécution.
Notons au passage qu’à compter de l’entrée en vigueur du RGPD, le G29 sera remplacé par le Comité européen de la protection des données.
L’article 5(1) b du RGPD prévoit que les données à caractère personnel seront « collectées à des fins précises, explicites et légitimes ». Selon le G29, le modèle intérimaire de l'ICANN ne parvient pas à remplir cet objectif (le groupe de travail note que, par exemple, fournir un « accès légitime » à des « données d'enregistrement précises, fiables et uniformes » ne correspond pas à un objectif spécifique).
Le G29 recommande donc à l'ICANN de réexaminer sa liste actuelle d'objectifs (qui incluent actuellement « apporter un cadre pour traiter les problèmes d'enregistrement de noms de domaine, notamment, mais non limité à la protection des consommateurs, les enquêtes sur la cybercriminalité, l’utilisation abusive du DNS et la protection de la propriété intellectuelle ; et apporter un cadre pour répondre aux besoins appropriés des forces de l’ordre »).
Le G29 s’est réjoui de la réduction significative des types de données personnelles qui seront rendues publiques via le WHOIS, ainsi que de la possibilité d'un futur « programme d'accréditation » pour l'accès aux données WHOIS non publiques. Toutefois, il note que « des détails importants demeurent absents concernant les circonstances dans lesquelles l'accès sera fourni, dans quelle mesure et sous quelles conditions et garanties. »
Le G29 a donc souligné à l'ICANN qu’il y a encore du travail à faire pour développer des « politiques et procédures appropriées applicables aux demandes incidentes et systématiques d'accès aux données WHOIS, en particulier pour l'accès par les forces de l'ordre. »
En particulier, le G29 précise qu'il est nécessaire de clarifier « comment l'accès doit être limité afin de minimiser les risques d'accès et d'utilisation non autorisés (par exemple en permettant l'accès sur la base de requêtes spécifiques uniquement, par opposition aux transferts en masse et/ou recherches ou services d'annuaire inversé, ce qui comprend développer des mécanismes visant à restreindre l'accès aux champs à ce qui est nécessaire pour atteindre l'objectif légitime en question). »
En outre, le modèle intérimaire proposé par l'ICANN exigerait que les bureaux d'enregistrement conservent les données d'enregistrement pendant deux ans au-delà de la durée de l'enregistrement du nom de domaine, bien qu'une période de 60 jours ait déjà été évoquée. En tant que tel, le G29 s'interroge sur le délai de deux ans, exhortant l'ICANN à réévaluer la période de conservation proposée « et à justifier explicitement et documenter pourquoi il est nécessaire de conserver les données personnelles sur une telle période. »
L’ICANN a accepté une invitation à rencontrer le sous-groupe technologique du G29 à Bruxelles le 23 avril 2018 pour d'autres discussions. Göran Marby, président et chef de la direction de l'ICANN, a déploré le fait que le G29 n'ait pas répondu à la demande de l'ICANN de lui accorder un moratoire avant qu’un modèle ne soit appliqué afin de répondre au mieux aux exigences du RGPD.
« Sans un moratoire sur l'application de la loi, WHOIS sera fragmenté et nous devrons prendre des mesures pour atténuer ce problème. En tant que telles, nous étudions toutes les solutions à notre disposition, y compris les actions en justice en Europe pour clarifier notre capacité à continuer à coordonner correctement cette importante ressource d'information mondiale. Nous fournirons plus d'informations dans les prochains jours », a-t-il déclaré.
Source : ICANN
Et vous ?
Voir aussi :
-
JaroddMembre expérimentéLe RGPD a été définitivement adopté en avril 2016. Et L'ICANN se réveille 3 semaines avant son entrée en vigueur...le 26/04/2018 à 19:26
-
MichelMembre expérimentéBonjour,
j'utilise parfois Whois pur repérer l'origine des faux commentaires et des adresse mail de complaisance. Sera-ce encore possible ?le 18/04/2018 à 8:32 -
Max LothaireMembre confirméLe problème de whois et que n'importe qui peut accéder à ces informations.
Peut être qui faudrait rendre systématique le mécanisme qui permet de remplacer les coordonnées de propriétaire du domaine par celles du registar, comme c'est le cas il me semble pour les .fr.le 11/07/2018 à 19:18 -
NeckaraInactifLe WHOIS est encore assez utile pour se conformer à la loi pour la confiance numérique (?) qui impose notamment les sites à caractère professionnel à fournir un certain nombre d'informations (et qui ne sont pas à caractère personnel, donc pas dans le cadre du RGPD).le 17/04/2018 à 9:01
-
J'espère donc que le drapeau indiquant le pays de l'I.P. sera celui de l'Europe... Sinon, la passation de pouvoir continu et cela à tout les " étages "...le 18/04/2018 à 7:07
-
MadScratchyMembre actifCe RGPD est bien flou pour moi.
Le Whois est pour moi un peu comme les pages jaunes pour les sites web : ça m'a permis à plusieurs reprises de voir qu'un site était bidon (phishing).
Quelles sont les informations "sensibles" sur les sites web données par le whois ? Car on peut déjà masquer certains champs (OVH permet de le faire par exemple).le 27/04/2018 à 20:31 -
JaroddMembre expérimentéTout le monde n'est pas chez OVH.le 27/04/2018 à 20:47
-
tanaka59InactifLors de la création d'un site , je pense qu'il est tout de même nécessaire d'avoir au minimum une adresse physique pour le nom de domaine ou le site en question . Comme une société / institution / administration en somme .
La raison est simple , en cas de pépin le site doit être joignable (admin , webmaster , propriétaire du nom de domaine , hébergeur ... ) . Le RGPD est assez flou sur les infos obligatoires de contact pour les sites web.le 11/07/2018 à 11:37 -
redcurveMembre extrêmement actifICANN devrait simplement bloquer les utilisateurs européens un point c'est toutle 10/07/2018 à 15:23
-
abriotdeMembre chevronné
Une bonne raison pour fermer le service en Europe et le remettre entre les mains américaines qui lui garantissent plus de liberté.
Rappelons tous de même que Whois apporte une grande sécurité en donnant des référence sur un site pour savoir un peu à quoi il correspond. On rappel aussi qu'il ne donne pas des information sur un particulier, mais d'un site web, donc d'un espace public qui bien entendu peut-être rattaché a une personne comme une entreprise.le 26/04/2018 à 14:03