WHOIS : le Contrôleur européen de la protection des données estime que la proposition de l'ICANN

Ne respecte pas le RGPD

WHOIS : le Contrôleur européen de la protection des données estime que la proposition de l'ICANN
ne respecte pas le RGPD

Les régulateurs de données européens ont refusé la dernière proposition du superviseur Internet ICANN sur le service de données Whois. C’est la troisième fois qu’une proposition de l’ICANN sur la conformité du service au RGPD est refusée.

Dans une lettre adressée aux systèmes de nommage et d'adressage de l'Internet américain, le président du Contrôleur européen de la protection des données (CEPD) a d’abord rappelé le contexte :

« Le 25 mai, le Contrôleur européen de la protection des données (CEPD) a approuvé l’assertion du G29 concernant WHOIS. Cette assertion confirme les attentes du CEPD envers l’ICANN qui devrait développer un modèle d’utilisation de WHOIS par des parties pertinentes, comme les forces de l’ordre, des données de personnes inscrites qui soit conforme avec le RGPD, ceci sans conduire à la publication illimité de ces données.

« Le CEPD a également pris note de la spécification temporaire adoptée par l’ICANN le 17 mai 2018, dans laquelle le Bureau de l’ICANN, les opérateurs gTLD ainsi que les bureaux d’enregistrement continuent de se conformer aux obligations contractuelles existantes de l’ICANN et aux politiques communautaires à la lumière du RGPD ».

Par la suite, le CEPD a indiqué clairement que ce plan « intérimaire » de l'organisation est fondamentalement erroné.


Bien qu'existant uniquement pour développer des règles pour l'infrastructure sous-jacente d'Internet et disposant d'un budget annuel de 100 millions de dollars, l'ICANN s'est mise en position de sous-traiter efficacement le service Whois à un groupe de bureaucrates à Bruxelles.

Et sur plusieurs questions critiques, les bureaucrates de données sont allés directement contre les positions déclarées de l'ICANN et de ses membres les plus influents, y compris son secteur d'activité, son groupe de propriété intellectuelle, ainsi que des membres externes incluant le gouvernement américain et l'International Trademark Association. .

Dans ce qui est peut-être le plus grand coup porté à la crédibilité de l'ICANN, le CEPD a invalidé l'appel de l'ICANN suite à une décision de justice que l’ICANN a perdue le mois dernier devant un tribunal allemand, affirmant clairement que l’ICANN ne peut forcer les utilisateurs de WHOIS à renseigner des contacts administratifs et techniques supplémentaires pour un nom de domaine donné.

En outre, le CEPD a rejeté l'argument de l'ICANN selon lequel des règles différentes s'appliquent lorsqu'un nom de domaine est enregistré par un individu ou une entité juridique comme une société. Ce n'est pas le cas, a déclaré le CEPD, indiquant que si une adresse e-mail personnelle est donnée pour un site Web d'entreprise, elle relève encore de la législation sur la vie privée RGPD.

En plus de cela, la lettre pose un gros point d'interrogation sur l'affirmation de l'ICANN selon laquelle elle peut conserver les données de domaine bien plus longtemps que la limite de deux ans requise, disant que l'organisation devrait « justifier explicitement et documenter pourquoi il est nécessaire de conserver données personnelles pour cette période ».

Le CEPD s’est également attaqué aux efforts de transparence de l'ICANN qui a évoqué la création d’un modèle d'accès qui donnerait aux défenseurs de la propriété intellectuelle le droit de voir toutes les données Whois. Le CEPD a fait valoir que les codes de conduite et d'accréditation ne sont pas un modèle suffisamment solide pour accéder aux données personnelles et que l'ICANN et ses registres et bureaux d'enregistrement seront tenus légalement responsables de toute mauvaise utilisation ultérieure des données.

Toutefois, pour l'ICANN, en incluant des termes dans ses contrats qui forcent les signataires à dire qu'ils sont des contrôleurs de données, cela devrait imputer, d'une manière ou d'une autre, des obligations légales qui pourraient lui incomber. Mais la lettre du CEPD est claire et estime que ce n’est pas du tout le cas : l'ICANN pourrait donc être condamnée à payer des amendes de plusieurs millions de dollars si elle n'est pas conforme au RGPD.

En somme, pour la troisième fois consécutive, les efforts de l'ICANN pour conserver son système existant en s'appuyant sur des arguments juridiquement discutables ont échoué.

Source : lettre du CEPD (en pièce jointe)

Voir aussi :

RGPD : la version européenne de USA Today pèse 500 Ko contre 5,2 Mo pour la version originale, d'après les mesures d'un webmaster
RGPD : les achats programmatiques de publicités en Europe chutent de 25 à 40 % dans certains cas, quelques heures après l'entrée en vigueur de la loi
Google et Facebook sous le coup de 4 accusations dans 4 pays pour avoir enfreint le RGPD, quelques heures seulement après son entrée en vigueur
RGPD : Google met à jour sa politique de confidentialité et donne des explications sur sa collecte et son traitement des données utilisateur
Unroll.me met un terme à son activité en Europe, le service en ligne de gestion de courriels choisit de ne pas se conformer au RGPD