L'article 5 du RGPD, qui est relatif au traitement des données à caractère personnel, stipule que les données à caractère personnel doivent être:- traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
- exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
- conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
- traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).
Il faut rappeler que l'EPAG, un bureau d'enregistrement accrédité par l'ICANN basé en Allemagne et faisant partie du groupe Tucows, a récemment informé l'ICANN que lorsqu'elle vendrait de nouveaux enregistrements de noms de domaine, elle ne collecterait plus d'informations de contact administratives et techniques, car elle estime que la collecte de ces données violerait les règles du RGPD. L'ICANN exige que ces informations soient collectées, via son contrat avec EPAG, qui l'autorise à vendre des enregistrements de noms de domaine génériques de premier niveau. L'ICANN a récemment adopté une nouvelle spécification temporaire concernant la manière dont les données WHOIS devraient être collectées et quelles parties pourraient être publiées, ce que l'ICANN estime être cohérent avec le RGPD.
L’ICANN a alors décidé de déposer une demande d'injonction à l'encontre d'EPAG. « Nous déposons une action en Allemagne pour protéger la collecte de données WHOIS et pour demander des précisions sur le fait que l'ICANN peut continuer à exiger sa collecte. C'est le rôle d'intérêt public de l'ICANN de coordonner un WHOIS mondial décentralisé pour le système de domaine de premier niveau générique. L'ICANN exige par contrat la collecte de données à plus de 2 500 bureaux d'enregistrement et registres qui aident l'ICANN à maintenir cette ressource d'information mondiale », a déclaré John Jeffrey, avocat général et secrétaire de l'ICANN. « Nous apprécions que l'EPAG ait partagé avec nous ses plans, afin que nous puissions rapidement demander des précisions à la Cour allemande sur cette question importante.Nous apprécions également que l'EPAG ait accepté de ne pas supprimer définitivement les données WHOIS collectées, sauf conformément à la politique de l'ICANN ».
L’ICANN a insisté que si les actions d'EPAG venaient à être maintenues, des parties ayant des finalités légitimes (chercheurs en sécurité pour prévenir d’une brèche, forces de l’ordre, organisme de droits de propriété intellectuelle, etc.) pourraient ne plus accéder aux enregistrements WHOIS complets.
Dans la première décision (disponible uniquement en allemand) appliquant le règlement général sur la protection des données, le tribunal allemand a jugé que la collecte de données excédant ce qui est nécessaire pour atteindre des objectifs commerciaux légitimes viole l'un des principes fondamentaux du RGPD.
Rejetant la demande de l'ICANN, le tribunal régional de Bonn a estimé que la collecte de données sur les contacts techniques et administratifs violerait la règle de minimisation des données. À l'appui de ses constatations, la Cour a noté que les personnes inscrites n'avaient pas auparavant été tenues de fournir des coordonnées techniques et administratives, et l'ICANN n'a pas fourni de preuve suffisante qu'une telle collecte de données était nécessaire.
L'ICANN a fait appel de la décision de la Cour de Bonn devant le tribunal régional supérieur de Cologne, en Allemagne. Les contestations des pratiques de confidentialité de Google et de Facebook au moment de l'entrée en vigueur du RGPD en mai continuent de progresser dans le système, mais cette affaire montre que les organisations à but lucratif et non lucratif doivent prendre en compte les obligations du RGPD. Cette première décision du RGPD rappelle que les entreprises doivent évaluer et documenter les raisons pour lesquelles les données personnelles collectées et traitées sont nécessaires à une finalité spécifique et légitime, et veiller à ce que les informations soient limitées à ce qui est nécessaire pour atteindre cet objectif.
Source : ICANN
Envoyé par tanaka59
