WHOIS et RGPD : à l’approche de la date fatidique, les bureaux d’enregistrement s’inquiètent

La date fatidique d’entrée en vigueur du Règlement General sur la Protection des Données (RGPD) arrive à grands pas. Le 25 mai, les services qui traitent les données de citoyens européens devront montrer qu’ils sont en règle ou s’exposer aux importantes amendes que les autorités nationales de protection des données peuvent dorénavant infliger aux contrevenants.

 

Mais si de nombreuses entreprises et organisations s’activent pour intégrer les mesures prévues par le règlement, d’autres traînent des pieds, et ce depuis plusieurs mois. C’est notamment le cas de l’Icann, qui a mis beaucoup de temps à s’intéresser au projet de régulation européenne. Et pourtant, celle-ci était directement concernée : le service WHOIS que propose l’autorité de régulation d’internet expose les données personnelles des internautes qui s’offrent un nom de domaine dans un immense annuaire numérique, accessible depuis n’importe quelle machine connectée et connue sous le nom de service WHOIS.

L’Icann à la traîne

Dans une lettre datée de décembre 2017, Isabelle Falque Pierrotin, présidente de la CNIL et du groupe des autorités de protection des données européennes, s’inquiétait déjà du manque de réaction de l’Icann en la matière. La lettre a fait réagir outre-Atlantique : l’Icann a accéléré son rythme sur ces sujets et a depuis proposé un nouveau modèle de fonctionnement pour le WHOIS, afin que celui-ci soit en règle à l’égard des nouvelles mesures édictées par le RGPD.

L’Icann est un organisme américain, mais le RGPD ne s’embarrasse pas de ces détails : le texte couvre les données des citoyens européens, quel que soit le pays de résidence du traitement des données. Le service WHOIS doit donc prévoir de se reformer, la publication par défaut des adresses mails, noms et prénoms des titulaires de noms de domaine étant ici considéré comme une potentielle infraction aux directives du règlement européen.

Un nouveau modèle, plus respectueux de la vie privée, a donc été proposé. Mais c’est maintenant aux bureaux d’enregistrements (comme OVH ou Gandi) et registres de noms de domaines (à l’instar de l’Afnic, l’association qui gère le .fr) de tirer la sonnette d’alarme : dans une lettre, le groupe représentant ces acteurs au sein de l’Icann explique que les délais de mise en place de certaines modifications prévues dans le nouveau modèle pourraient prendre beaucoup de temps.

Opt-in, mais pas n’importe comment

Un exemple concret : la nouvelle proposition prévoit notamment que les données du service WHOIS seront privées par défaut, mais ajoute que les organisations ou individus qui souhaiteraient vouloir rendre ces informations publiques doivent pouvoir le faire via un formulaire ou une autre option d’opt-in. Un bon moyen de se mettre dans les clous du RGPD tout en offrant la possibilité de conserver les données publiques, pour les entreprises et organisations qui le souhaitent. La précédente version du WHOIS assumait par défaut la publicité de ces données, et il fallait bien souvent s’acquitter d’un paiement supplémentaire pour l’en empêcher.

Malheureusement, la mise en place d’un tel mécanisme n’est pas une mince affaire pour les bureaux d’enregistrement. Ceux-ci estiment le temps nécessaire à un minimum de 9 mois, voire plus selon la solution choisie. La lettre rappelle en effet que de nombreux aspects de la nouvelle proposition doivent encore être tranchés avant d’envisager une implémentation.

La situation est d’autant plus complexe que les bureaux d’enregistrement et registres de noms de domaines sont dans une relation contractuelle avec l’Icann, qui leur délègue une partie de son autorité sur la gestion des noms de domaines. Une modification des règles liées à la mise en place du WHOIS pourrait donc signifier une renégociation des contrats existants, ce que l’Icann ne voit pas d’un très bon œil. Comme l’explique The Register, l’Icann a promis de ne pas toucher aux contrats tant qu’une nouvelle solution n’a pas été trouvée. Certains registres Mais le temps presse.

La loi est dure, mais c’est la loi

 

Le problème n’a rien de très nouveau : dans un article consacré à ce sujet, NextInpact rappelait déjà que les CNIL européennes s’inquiétaient déjà de la non-conformité du service WHOIS en 2003. Depuis ces premiers coups de semonce, de l’eau a coulé sous les ponts sans que l’Icann ne daigne faire de ce projet un axe de développement prioritaire. Comme le rapporte NextInpact, la prise de conscience a été tardive du côté de l’Icann, qui ne s’est réveillée qu’au cours des mois passés suite à plusieurs analyses d’impact et à la lettre envoyée par Isabelle Falque Pierrotin au nom du G29.

En l’état actuel, les bureaux d’enregistrement qui ne seraient pas en règle à compter de la date du 25 mai s’exposeraient donc potentiellement à des amendes de la part des autorités de régulation européennes. Le 28 mars, le dirigeant de l’Icann a ainsi publié une lettre adressée à la directrice du bureau européen de protection des données personnelles lui expliquant les mesures entreprises par l’Icann.

Il demande également la clémence des autorités de régulations pour les contractants, afin que ceux-ci puissent avoir le temps d’implémenter les modifications. Il craint en effet qu’en l’absence de cadre clair, de nombreux bureaux d’enregistrement décident de ne pas honorer les clauses contractuelles les obligeant à fournir les données au service WHOIS, effrayés par le risque d’amende.

« Nous vous demandons donc d’aider l’Icann et les registres de noms de domaines à maintenir le système WHOIS dans sa forme actuelle, que ce soit par une clarification du RGPD, un moratoire sur son application ou d’autres actions nécessaires, en attendant qu’une nouvelle version des règles de mise en place du WHOIS juste et équitable soit mise en place » concluait ainsi Göran Marby, dirigeant de l’Icann, dans sa lettre du 26 mars.

Mais l’indifférence se paye cher, et le groupe du G29, qui regroupe les autorités de régulations des données européennes, pourrait bien faire à son tour la sourde oreille.

  • A lire, notre dossier

RGPD : tout pour être prêt le 25 mai 

Go to Source


bouton-devis