L'association française responsable de l'extension « .fr » nous livre les statistiques de levées d'anonymat pour les particuliers titulaires d'un nom de domaine. Sur 469 demandes, 416 ont été acceptées l'an dernier. Une donnée importante, en plein débat sur le respect de la vie privée par l'annuaire de certaines extensions.

Depuis novembre, l'ICANN, l'organisme responsable des ressources mondiales d'Internet (adresses IP, numéros de réseaux, noms de domaine...), est parcouru d'un vaste débat. L'annuaire des nombreux noms de domaine à extension générique (comme le « .com » ou le « .net ») affiche par défaut toutes les coordonnées du titulaire. Une obligation que les autorités européennes de protection de la vie privée goûtent peu (voir notre analyse).

Une réforme du « whois » de ces noms de domaine est donc programmée. Au sein de l'ICANN, l'opposition est pour partie représentée par les forces de l'ordre, qui craignent de perdre une mine d'informations en libre service. Cette peur est-elle justifiée ? Pour y répondre, l'Afnic nous a fourni des statistiques sur les levées d'anonymat du « .fr » et du « .re » (La Réunion), dont les données sont masquées par défaut pour les particuliers.

 469 demandes de levées d'anonymat l'an dernier

Depuis juin 2006, l'association qui gère le « .fr » permet aux particuliers de détenir un nom de domaine avec l'extension franco-française. L'anonymat par défaut est la règle depuis cette époque, avec possibilité de demander l'identité d'un titulaire par formulaire. Le « .fr » est-il donc une zone de non-droit numérique ? Les chiffres de ces trois dernières années permettent d'en douter.

L'association a donc reçu 390 demandes en 2015, 416 en 2016 et 469 en 2017, sur plus de trois millions de noms de domaine. Elles « concernent essentiellement du « .fr. » Une demande sur un « .re » (La Réunion) en 2015, deux en 2016 et trois en 2017 » nous précise Pierre Bonis, directeur général de l'Afnic. En 2015, 81 % des demandes ont émané d'ayants droit (des personnes physiques ou morales) et 19 % d'autorités administratives. En 2016 et 2017, ces parts sont passées à 85 % et 15 %.

L'immense majorité des demandes d'identification de titulaires de noms de domaine envoyées à l'Afnic ne proviennent pas de l'État lui-même, mais de particuliers en cas d'usurpation d'identité ou de professionnels pour de la contrefaçon, entre autres motifs.  L'Afnic n'est pas en mesure de fournir simplement des données plus précises, que ce soit sur les catégories exactes de demandeurs, les raisons des refus ou l'explosion des « autres » motifs de non-délivrance en 2016.

La rapide progression du nombre de demandes, chaque année, masque une grande disparité dans les réponses. Pour 2015, 80 % des demandes ont reçu une réponse positive, contre 70 % en 2016 et 89 % en 2017. À côté des refus net, les « autres » cas recouvrent l'absence de retour de justificatifs ou des données déjà publiques.

Dans tous les cas, l'Afnic assure répondre en moins de 48 heures : 1,58 jour en 2015, 1,7 jour en 2016 et 1,48 jour en 2017.

Un débat qui court depuis plusieurs mois

Dans une lettre datée de décembre, les CNIL européennes enjoignent l'ICANN à revoir le « whois » des noms de domaine à extension générique, pour le rendre compatible avec le futur Règlement général sur la protection des données (RGPD), qui s'appliquera le 25 mai (voir notre dossier).

À la mi-janvier, ce sont trois commissaires européens qui ont réclamé une réforme du fameux « whois ». Ils félicitent l'organisme mondial pour ses trois propositions de modèles temporaires, dont l'un sera appliqué en urgence d'ici le 25 mai. Comme nous l'expliquions, ils consistent à masquer certaines coordonnées, qui ne seront disponibles que sur demande (motivées plus ou moins sérieusement).

Début février, la Commission a posé ses conditions pour cette réforme, passant au crible chaque proposition (voir notre analyse). Elle s'inquiète à la fois d'un modèle où les informations seraient fournies à tout demandeur auto-certifié (avec le risque d'un engorgement) et d'un modèle où seule la justice permettrait d'accéder au contenu de l'annuaire (via une assignation ou un ordre judiciaire valide). Pour la DGConnect bruxelloise, le procédé serait inexploitable pour des enquêtes.

Pour leur part, les États-Unis s'alarment de tout changement drastique du « whois ». Selon le département du Commerce, cet annuaire public est nécessaire aux forces de l'ordre dans leur travail. Un argument que Pierre Bonis de l'Afnic avait battu en brèche dans nos colonnes.

Rappelons aussi que l'ICANN a déterminé que la grande majorité des informations déclarées dans le « whois » public sont falsifiées, ce qui limite leur intérêt pour la recherche.