Bruxelles réclame la réforme du « whois » pour protéger la vie privée des Européens
Vos papiers, s'il vous plaît
Le 30 janvier 2018 à 10h17
7 min
Internet
Internet
Trois commissaires européens soutiennent les travaux de l'ICANN, qui gère les ressources mondiales du Net, dans sa révision de l'annuaire des noms de domaine à extensions génériques. Ils prônent un accès contrôlé aux données de leurs titulaires, réclamé par les CNIL européennes depuis 15 ans, sans succès jusqu'à l'arrivée du RGPD.
L'Union européenne continue de s'inquiéter de l'annuaire des noms de domaine, le « whois », après le 25 mai. C'est à ce moment que s'appliquera le Règlement général sur la protection des données (RGPD), qui renforcera les obligations et sanctions dans le traitement des informations des Européens.
Dans une lettre datée du 29 janvier adressée à l'ICANN, Dimítris Avramópoulos (commissaire européen aux Affaires intérieures), Věra Jourová (commissaire européenne à la Justice) et Julian King (commissaire pour l'Union de la sécurité) s'inquiètent ouvertement du « whois » actuel des extensions génériques (« .com, » « .net », « .org »...). La missive suit un échange entre l'Article 29, qui regroupe les CNIL européennes, et le président de l'organisation, Göran Marby.
Comme nous l'expliquions, les cerbères européens des données personnelles demandent à rendre privées les informations actuellement fournies par le « whois » de ces noms de domaine. Ils estiment que leur publication systématique ne découle pas d'un consentement libre, étant obligatoire pour obtenir un des noms de domaine concernés.
Via leur lettre, les trois commissaires demandent une articulation entre la conformité au futur règlement européen et l'accès aux données par les forces de l'ordre. Bien entendu, ils ont quelques pistes en tête.
Les travaux de l'ICANN adoubés par la Commission européenne
Les représentants européens rappellent l'intérêt du « whois » pour les enquêtes, le respect du droit d'auteur ou la lutte contre les cyberattaques. Pour eux, ces utilisations doivent perdurer, mais pas de manière publique. Ils félicitent les travaux de ces derniers mois au sein de l'ICANN, qui promet aux registres une dérogation s'ils doivent respecter le RGPD.
Ils félicitent les trois propositions de modèles temporaires pour le « whois » destinées à restreindre la quantité de données publiques des noms de domaine à extension générique. Elles diffèrent sur les informations publiées et celles à l'accès restreint, délivrées soit par (auto-)certification, soit uniquement sur mandat. À plus long terme, le « whois » devra être remplacé dans quelques années.
Bruxelles rappelle également les six principes qui guident les traitements de données : le concept de données personnelles, la limitation du traitement aux fins nécessaires, une base légale solide, la minimisation des données, leur précision et la rétention limitée de ces informations. Autant de points qui ne seraient pas encore respectés via le « whois », comme le martèlent les CNIL européennes depuis déjà 2003.
La question de l'intérêt général est centrale, car c'est elle qui pourrait justifier de laisser publiques les coordonnées des titulaires de noms de domaine. Sur ce point, les CNIL européennes nient cet intérêt général pour le « whois » : même si ces données peuvent servir aux forces de l'ordre, ce n'est pas l'objet premier de leur publication.
Pire : le fait que ces informations soient à la vue de tous encourage leur falsification, pensent les autorités de protection des données personnelles. Un point de vue rejoint par celui de l'Afnic, l'association responsable du « .fr », et par une étude de l'ICANN en 2016.
Pourtant, une analyse juridique commandée par l'organisation américaine estimait que la publicité des informations personnelles du « whois » répond à l'intérêt général, donc peut perdurer ainsi. Malgré tout, le cabinet Hamilton notait qu'il vaut mieux suivre l'avis préliminaire des CNIL européennes, au risque d'une déconvenue le 25 mai prochain. D'où l'élaboration en urgence d'une réforme du « whois » à appliquer d'ici mai.
Bruxelles demande une approche « pragmatique » sur l'accès aux données
Pour réclamer le respect du RGPD, les commissaires déclarent que « les règles européennes de protection des données ne diffèrent pas d'autres obligations légales que les parties prenantes du « whois » doivent respecter dans l'UE ou ailleurs ». Les principes du RGPD existent déjà depuis une directive de 1996, soigneusement oubliée par l'ICANN malgré les nombreux rappels des CNIL, faute de pression politiques (et de sanctions) suffisantes sur le marché.
Pour Bruxelles, « le RGPD n'ajoute pas de poids supplémentaire pour les opérateurs commerciaux, mais facilite leur application en les harmonisant ».
La lettre prône une approche « pragmatique » dans la livraison de ces données, en contraste avec un manichéisme consistant à les afficher ou les masquer pour tous. Elle invite aussi les entreprises concernées à adopter un code de conduite, pour prouver leur conformité avec le futur règlement.
Des pistes de travail offertes à l'ICANN
Selon la Commission, l'organisation responsable des ressources mondiales du Net doit se concentrer sur plusieurs critères pour décider de son futur modèle.
Elle est censée :
- identifier précisément les « données personnelles » ;
- déclarer de manière transparente les différents traitements de ces informations (y compris celles liées aux politiques publiques) et lister les données exactes requises pour les bureaux d'enregistrement ;
- trier avec prudence les données à laisser publiques et celles dont l'accès doit être restreint ;
- poser des garde-fous suffisants dans l'accès aux données restreintes, par exemple poser « une limite au nombre d'entrées consultables sur une période donnée », en tenant compte des besoins des forces de l'ordre ;
- dans ce système « restreint », s'assurer que l'accréditation respecte le secret des correspondances et (encore) les besoins des forces de l'ordre ;
- respecter les lois nationales en matière d'accès aux données par les forces de l'ordre, qui ne sont pas régies par le RGPD.
Si la tâche semble immense, elle n'est pas inédite. Des extensions de noms de domaine répondent déjà à ces obligations. La semaine dernière, Pierre Bonis de l'Afnic nous rappelait son fonctionnement depuis une décennie, à savoir des informations des particuliers masquées du public pour le « .fr », mais accessibles suite à toute demande jugée légitime.
L'EFF réclame un modèle d'accès contrôlé aux données « whois »
Le 26 janvier, c'était l'Electronic Frontier Foundation (EFF) qui se demandait si « le ciel nous tombe sur la tête » avec cette révision en profondeur du « whois ». L'organisation estime que les registres et bureaux d'enregistrements font partie des acteurs qui protègent aujourd'hui mal les données personnelles des internautes européens.
L'EFF alerte face aux velléités de représentants de forces de l'ordre au sein de la communauté composant l'ICANN, qui réclament le maintien de cet annuaire mondial aux yeux de tous. La fondation estime cette demande hypocrite, des extensions proposant déjà un modèle avec accès restreint à certaines coordonnées. La direction de l'organisation ne semble plus l'écouter pour le moment, en témoigne ses propositions de restreindre l'accès à certaines coordonnées.
« Il est meilleur pour nous tous de créer et soutenir des méthodes d'enquête acceptant ce modèle d'enregistrement privé de noms de domaine, que d'exposer l'ICANN ou ses contradicteurs à la responsabilité de décider ce qu'ils devraient faire si, par exemple, la branche de cybersécurité d'un État oppressif commence à chercher les données d'enregistrement de dissidents » lance-t-elle.
Bruxelles réclame la réforme du « whois » pour protéger la vie privée des Européens
-
Les travaux de l'ICANN adoubés par la Commission européenne
-
Bruxelles demande une approche « pragmatique » sur l'accès aux données
-
Des pistes de travail offertes à l'ICANN
-
L'EFF réclame un modèle d'accès contrôlé aux données « whois »
Commentaires (17)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 30/01/2018 à 10h26
C’est pas trop tôt….
Le 30/01/2018 à 10h50
Ça évitera les spams et arnaques aux renouvellement de noms de domaine
Le 30/01/2018 à 10h53
Et c’est pourquoi certains services s’occupent d’obfusquer ces informations. Par exemple, OVH permet d’utiliser leur adresse et numéro de téléphone, en plus d’utiliser une adresse email générée à la volée. Par contre, si la police vient frapper à leur porte, ils donneront mes coordonnées.
Le 30/01/2018 à 11h18
Tant mieux s’ils y arrivent. Certains font payer l’option de l’anonymisation, c’est délirant… Alors que c’est le seul moyen d’éviter le spam !
Le 30/01/2018 à 11h58
“les données d’enregistrement de dissidents” si elles sont apparentes c’est que le dissident il est déjà mal barré, on utilise le système de tiers de confiance dans un tel cas (ou on met des infos bidons comme dans les 3⁄4 des whois …).
Le 30/01/2018 à 12h22
Pareil, j’utilise un système d’anonymat (gratuit) pour mes domaines. C’est fou cet annuaire géant et gratuit.
Le 30/01/2018 à 12h30
les soluces d’anonymisation (que j’utilise avec Gandi pour un .fr) fonctionnent aussi pour les pros ou seulement quand c’est du pas pro ?
Le 30/01/2018 à 12h40
Le 30/01/2018 à 14h47
moi ct carément par courrier postale ! venant de jamaiques, a payer en angleterre !
truc de ouf, quand je me suis apercu, que tout été dispo sur le WHOIS ! et mon hebergeur les a mis a son noms !
Le 30/01/2018 à 16h53
Le 30/01/2018 à 20h50
Hum…
Question simple mais technique: en tant qu’IT je suis régulièrement amené à consulter ces whois de manière à connaitre qui est le proprio d’un domaine afin d’organiser par exemple sa migration chez le registrar de ma boite (EuroDNS pour info).
Si je lis bien, à part être dans les forces de l’ordre, je n’aurais plus accès aux noms/adresses mail des contacts techniques ou administratifs. Je fais comment pour bosser ?
Le 30/01/2018 à 21h11
J’ai du mal à comprendre, ton explication est peu explicite. Si le propriétaire du nom de domaine est votre client, ils suffit qu’il vous donne directement les données.
S’il n’est pas votre client, vous essayez de le contacter sans relation professionnelle préalable ? Dans ce cas, c’est du démarchage non solicité.
Le 30/01/2018 à 22h58
Théoriquement tu es dans le vrai mais le cas pratique type dans ce genre de cas c’est l’ancien prestataire du client à pris un nom de domaine chez un registrar inconnu de ce dernier.
Dans le meilleur des cas le client est encore en bonne relation avec son ancien prestataire et ce dernier est réactif et de bonne volonté.
Mais dans 3 cas sur 4 c’est un coup de whois pour savoir qui donc gère le domaine ou ce trouve les DNS et est ce qu’il y a au moins un contact sérieux dans les données disponible, en général ça donne un bon point de départ et ça permet de gagner beaucoup de temps.
J’espère qu’il laisseront la possibilité de laisser les données en clair quand il s’agit de société (pour lesquelles de toute façon il s’agit déjà d’info diffusé sur des dizaine de type d’annuaire différent).
L’idéal serait de rendre obligatoire pour les registrar de proposer une option d’anonymisation et que celle ci soit activé sans frais par défaut sans pour autant remettre en question le fonctionnement actuel.
PS: pour le spam avec un antispam convenable c’est vraiment anecdotique, sur une boite pro en clair sur plusieurs centaine de whois j’ai guère plus de 3 ou 4 messages qui arrive a passer par semaine
Le 31/01/2018 à 09h24
L’antispam protège peut-être ton adresse électronique, mais en aucun cas ton adresse physique " />
Pour moi, les coordonnées personnelles d’un particulier ne devraient pas être disponibles par défaut, mais cachées. Seules les sociétés devraient avoir leurs coordonnées visibles (ça devrait déjà être le cas sur leur site d’ailleurs, non ?). Si il doit y avoir une procédure pénale, l’hébergeur et/ou le registrar pourra de toute façon fournir les coordonnées aux autorités (ou au moins les informations qu’il a en sa possession).
Le 31/01/2018 à 10h52
Je sais bien mais dans ce cas les options d’anonymisation actuelle sont largement suffisante et fonctionne bien.
C’est aussi important que tout à chacune puisse continuer à contacter un propriétaire de domaine au moins par le biais de son registrar, en cas de litige ça permettra de continuer à proposer des règlement à l’amiable, si en cas de problème il faut en passer par un dépôts de plainte systématique ça risque d’être profitable à personne (procédure lourde pour les présumé victime et avec beaucoup plus de conséquence pour les présumé coupable).
Le 31/01/2018 à 12h27
Je ne sais pas comment ça marche avec les autres “anonymiseurs”, mais dans le cas d’OVH, ils masquent tes coordonnées mais tu restes joignable !
L’adresse postale devient quelque chose comme : office #1234567, c/o OwO, BP80157, Roubaix Cedex 1 (où #1234567 est unique à chaque domaine).
Je ne doute pas que cette adresse soit totalement valide et qu’ils redirigent le courrier chez toi, d’une façon ou d’une autre.
Idem pour l’adresse mail :
OVH vous fournit un compte email OWO qui remplace votre email personnel dans le whois. Protégé contre le spam, il redirige tous vos courriers sur votre adresse personnelle sans divulguer vos coordonnées à vos visiteurs. La redirection est invisible aussi longtemps que vous le souhaitez. Vous pouvez réafficher votre adresse personnelle à tout moment.
ÉDIT : oui, l’adresse postale est belle et bien redirigée :
Le champ adresse du contact est remplacé dans le Whois par une boîte postale OwO liée à OVH et nous renvoyons les courriers reçus vers le destinataire réel.
Le 31/01/2018 à 13h19
Oui c’est le fonctionnement actuel chez la majorité des registrar et j’espère que sur ce point là ça n’évoluera pas.