Avec le RGPD, la fin annoncée d’une partie de l’annuaire public des noms de domaine
Coucou c'est la CNIL
Les CNIL européennes s'inquiètent de la publication automatique des coordonnées des titulaires de noms de domaine via le « whois ». Elles pointent l'urgence du futur règlement européen, qui renforcera les sanctions dans quelques mois. En réponse, l'ICANN prend des mesures d'urgence, dont nous discutons avec l'Afnic, Gandi et OVH.
Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) posera que toute collecte et traitement de données personnelles d'Européens suive un accord explicite et libre.
Ce chantier, qui mène nombre d'entreprises à une course contre la montre, pose un problème particulier au monde des noms de domaine. Le sujet est tel qu'il fait l'objet d'une importante correspondance entre les CNIL européennes (regroupées dans l'Article 29) et l'ICANN, l'organisme qui gère les ressources du Net au niveau mondial.
Dans une lettre du 6 décembre, Isabelle Falque-Pierrotin, présidente de la CNIL et du groupe européen, s'inquiète ainsi de la publication automatique et sans consentement explicite des coordonnées des titulaires de noms de domaine aux extensions génériques (gTLD). Soit celles maintenues par l'ICANN, comme les « .com », « .org » ou « .net ». Le 15 janvier, Göran Marby, le président de l'organisation, répond en faisant état des projets en cours pour réformer le « whois », le protocole historique qui sert d'annuaire des titulaires de noms de domaine.
Ces derniers mois, c'est le branle-bas de combat au sein de la communauté de l'ICANN, qui n'aurait mesuré que tardivement l'ampleur du sujet. Émancipée en octobre 2016 de la tutelle américaine, elle aurait encore des difficultés à concevoir qu'une législation européenne puisse l'affecter.
Le sujet n'est pourtant pas nouveau : depuis 2003, les CNIL européennes pointent les manquements du « whois » face au droit européen, qui impose un consentement explicite depuis une directive de 1995, tout comme la loi française depuis 1978.
« Ce qui change avec le RGPD, c'est le montant des sanctions » pointe Pierre Bonis, directeur général de l'Afnic, l'association qui gère le « .fr ». Face à une addition qui peut désormais atteindre 4 % du chiffre d'affaires mondial en Europe, l'industrie du nom de domaine prend désormais la question bien plus au sérieux.
Sur la légalité du « whois » public, CNIL européennes et ICANN en désaccord
Le « whois » contient donc les coordonnées du titulaire d'un nom de domaine, en principe pour le contact administratif et technique. Le registre du nom de domaine (comme l'Afnic pour le « .fr ») tient un annuaire, alimenté par les bureaux d'enregistrement (dits « registrars », comme OVH ou Gandi) auxquels les internautes louent leurs noms de domaine, comme nextinpact.com.
Tel qu'utilisé pour les extensions génériques, les plus répandues, le système mène à la publication par défaut de ces informations. Il y aurait plusieurs raisons à cela, selon Pierre Bonis, en premier lieu l'idéal historique de transparence d'Internet. « Ça convient quand nous sommes quatre sur le réseau, pas quatre milliards » estime-t-il.
Depuis, le « whois » est devenu un standard utilisé à la fois par les techniciens, par les forces de l'ordre dans le cadre d'enquêtes et par une industrie exploitant commercialement ces données... « au modèle économique pas forcément moral » selon le directeur général de l'Afnic. Cette dernière aurait bien voix au chapitre à l'ICANN, limitant les évolutions sur le sujet.
La question est donc de savoir si l'internaute livre un consentement explicite et libre à cette publication, voire à ses utilisations ultérieures. Le point d'accroche concerne l'obligation de livrer ces informations pour disposer d'un nom de domaine, sans que le titulaire d'un nom de domaine ne soit forcément informé.
Selon l'Article 29, dans sa lettre du 6 décembre, cette « publication illimitée des données personnelles de titulaires de noms de domaine soulève de sérieuses préoccupations légales ». Pour les CNIL européennes, le consentement à la publication n'est pas libre, vu qu'imposé pour obtenir le nom de domaine. Aussi, l'internaute ne signe aucun contrat direct avec l'ICANN (qui publie le « whois »), en principe nécessaire à l'exploitation des données. Enfin, il n'y aurait « pas d'intérêt légitime » à publier ces données, même dans le cas où elles peuvent servir aux forces de l'ordre, vu que ce n'est pas leur objet explicite.
Cette vision tranche avec celle de l'ICANN. Le 21 décembre, l'organisation a publié une analyse juridique du cabinet d'avocats européen Hamilton, qui estime que publier ces données contribue à l'intérêt général. Donc que le système actuel peut perdurer, en principe. Pourtant, il recommande de tenir compte de l'interprétation qu'en livreront les autorités de protection des données (les CNIL européennes). Pour le cabinet, il serait en pratique imprudent de laisser le système tel quel quand l'Article 29 le suppose déjà contraire au RGPD.
Isabelle Falque-Pierrotin, présidente de la CNIL et du groupe de l'Article 29
De la fiabilité des informations du « whois »
Depuis 2006, les autorités européennes réclament une évolution du protocole. En 2012, elles détaillaient une raison dans un courrier au vitriol (PDF) : « la conception du système incite fortement les particuliers à fournir de fausses coordonnées. Malheureusement, l'ICANN a décidé de ne pas travailler sur des modèles d'accès stratifié, comme le modèle OPoC proposé à plusieurs reprises par [l'Article 29] ».
Le modèle OPoC, soit « point de contact opérationnel », était discuté officiellement au sein de l'ICANN depuis 2005 (PDF). L'idée : supprimer l'adresse personnelle et celle administrative, pour les remplacer par une adresse de contact, qui ne révélerait pas ces coordonnées au tout venant. Le concept a été effectivement abandonnée en 2012, suite à des craintes de fournisseurs d'accès.
Depuis, l'ICANN a elle-même constaté le problème de véracité du « whois ». En 2016, une étude officielle de l'organisation suggérait que plus d'un tiers des coordonnées fournies dans les « whois » étaient injoignables. « Des forces de l'ordre déclarent qu'elles ont besoin d'informations whois publiques pour traquer les criminels. Mais les personnes derrière des sites frauduleux ne mettront pas leurs informations ! » lance Pierre Bonis de l'Afnic.
Surtout, cacher au public les informations n'empêcherait pas leur partage. Depuis 2006, le « .fr » est ouvert aux particuliers, et l'Afnic masque les coordonnées des titulaires. Elles sont pourtant bien fournies aux forces de l'ordre, aux ayants droit ou à une personne avec une demande légitime (comme l'usurpation d'identité ou la diffamation).
Depuis plusieurs années, OVH fournit le service gratuit OWO, qui permet de masquer les données personnelles du titulaire d'un nom de domaine, pour de nombreuses extensions. L'entreprise a aussi ouvert une brèche auprès de l'ICANN.
« Fin 2013, et au risque de ne pas pouvoir commercialiser de nouvelles extensions, OVH avait fait état à l’ICANN de l’incompatibilité entre ses contrats d’accréditation et les règles européennes en matière de protection des données à caractère personnel » nous déclare Florent Gastaud, le responsable des données personnelles (DPO) d'OVH.
Le sujet : la durée de rétention des données « whois », sur laquelle les CNIL européennes sont particulièrement chatouilleuses. En 2012, elles ont taclé l'ICANN pour une obligation de rétention des coordonnées après la mort d'un nom de domaine, sur demande des forces de l'ordre. Pour l'Article 29, une telle décision n'appartient pas à un organisme privé, mais à un État.
Un plan en trois étapes pour l'ICANN, d'abord une rustine
L'articulation du « whois » avec le droit européen a longtemps été une question secondaire à l'ICANN. En janvier 2016, un groupe de travail a été lancé pour remplacer le « whois ». Pourtant, la question ne serait prise au sérieux que depuis quelques mois, selon l'Afnic. Cela notamment à cause d'analyses d'autorités de protection des données, transmises au dernier trimestre 2017, puis de l'insistance de leur groupe (l'Article 29) en décembre. Pour Florent Gastaud, cet engagement collectif « a dû contribuer, parmi d’autres, à une certaine forme de prise de conscience », qui resterait encore floue.
Le problème du « whois » public pour les gTLD est avant tout juridique. La question première est celle des contrats entre l'ICANN et les registres, qui gèrent au quotidien les noms de domaine. Plusieurs clauses, principalement celle sur la publication des données du « whois », seraient sur la sellette. Mais le temps presse.
Comment donc un registre pourrait-il se conformer au RGPD, quand la révision du contrat avec l'ICANN peut prendre des mois ? Simple : en dérogeant au contrat en question. C'est la rustine que propose l'organisation, suite à sa dernière réunion mondiale, l'ICANN 60 à Abu Dhabi fin octobre... où le RGPD était sur toutes les lèvres, selon une spécialiste du domaine.
Dans un long communiqué du 2 novembre, l'organisation éteint les flammes apparues à la conférence. « Durant cette période d'incertitude [jusqu'au verdict des CNIL sur la légalité du « whois »], et sous conditions, l'ICANN reportera toute action contre un registre ou registrar qui ne se conformerait pas à ses obligations contractuelles en matière de données d'enregistrement », après lui avoir détaillé ses intentions, soumises à une analyse juridique. Les registres ont donc les mains plus libres face à elle.
Une bonne nouvelle, selon Pierre Bonis de l'Afnic : avant ces événements, des « juristes anglosaxons fous » au sein de l'ICANN réclamaient une preuve de condamnation au titre du RGPD avant de fournir une éventuelle dérogation au contrat.
Une révision juridique puis un nouveau système
Et après ? « Il semblerait que [l'organisation] s'oriente vers une publication beaucoup plus restreinte lorsqu'il s'agit de données de personnes physiques, ce qui est en accord avec l'éthique Gandi », nous répond le bureau d'enregistrement.
Le 12 janvier, l'ICANN a publié trois propositions de modèles temporaires pour la publication des données « whois ». Elles ont été élaborées suite à l'analyse juridique du cabinet d'avocats Hamilton, celle conclue le 21 décembre. Les trois répondent au même principe : restreindre l'accès à certaines informations (principalement l'adresse e-mail et le numéro de téléphone des particuliers), réservées à des tiers de confiance, soit auto-certifiés, validés formellement, ou en possession d'une assignation en bonne et due forme.
En somme, une forme de livraison stratifiée des données personnelles, dans la veine de celle réclamée depuis 12 ans par les CNIL européennes.
L'un de ces trois modèles, après consultation publique, est destiné à être appliqué dès le 25 mai. Son application sera-t-elle nécessaire pour obtenir une dérogation au contrat de l'ICANN ? « Si l'ICANN conditionne la signature d'un waiver à la mise en place d'un nouveau modèle, il y aura un problème » pense l'Afnic.
Dans sa réponse du 15 janvier aux CNIL, l'ICANN précise que ce modèle temporaire ne remplacera pas le travail sur un nouveau cadre juridique et technique, à plus long terme ; celui initié en janvier 2016. Il doit répondre de manière bien plus sûre aux questions juridiques que posent les lois sur la protection des données, tout en répondant à des problèmes plus larges, comme l'exactitude et l'utilisation de ces informations.
Ce RDS (pour Registration Directory Services) devrait à terme remplacer le « whois », mais le chemin est encore long. Pour l'Afnic, il ne devrait pas être mis en place avant la future fournée de nouvelles extensions de noms de domaine (nTLD), qui pourrait elle-même attendre 2020 ou 2021, selon l'association et OVH.
Cette révision se construit en parallèle d'autres projets, aussi destinés à revoir les « services d'annuaire de données d'enregistrement » (RDDS), correspondant aujourd'hui au « whois ». C'est par exemple le cas du RDAP, aussi candidat au remplacement du « whois », qui était censé être mis en place par les registres des nTLD en février 2017... même si cette obligation aurait été abandonnée depuis son annonce.
Une prise de conscience du caractère mondial de l'ICANN
Pour Pierre Bonis de l'Afnic, le RGPD amène l'ICANN à se rendre compte qu'elle est désormais une organisation internationale. Selon lui, ce ne serait pas tant le conseil d'administration de l'ICANN que sa communauté (encore très anglosaxonne) qui aurait mis du temps à prendre au sérieux ce sujet européen.
« Les choses sont en train d’évoluer, puisque l’ICANN est désormais pleinement mobilisée sur le sujet, note Florent Gastaud d'OVH. Seule ombre au tableau : l’échéance du 25 mai approche dangereusement vite ! »
Avec ces délais, n'est-il donc pas trop tard pour les registres ? « Ceux qui voudront être prêts le 25 mai le seront. Si vous n'êtes pas capables d'anonymiser des données whois d'ici là, il faut changer de métier » lance le directeur général de l'Afnic. Il note tout de même que des mises en conformité de registres pourraient n'arriver techniquement que quelques mois plus tard, pour des raisons de calendrier ou budget.
Dans tous les cas, les sanctions rehaussées par le futur règlement sur les données personnelles, ainsi que l'insistance de l'Article 29, semblent avoir constitué un électrochoc au sein de l'organisation. Dans ce dossier, le « whois » constituerait même la partie émergée de l'iceberg pour les registres et registrars, qui travaillent souvent avec des centaines de partenaires mondiaux, dont ils doivent désormais s'assurer qu'ils respectent bien le consentement des internautes.
Contactée pour cet article, la CNIL n'a pas répondu à nos sollicitations. Des précisions demandées à l'Afnic et Gandi ne nous sont pas parvenues à temps pour publication.
Commentaires (34)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/01/2018 à 19h14
Le 20/01/2018 à 13h44
1&1 ne m’a pas demandé mon avis en 2014, et au passage à Ghandi je n’ai pas pus changer non plus
" />
Le 20/01/2018 à 15h00
Si tes données personnelles apparaissent dans le whois de l’AFNIC, il faut configurer les contacts du domaine dans ton compte admin.gandi.net. Si le contact est un particulier, tu peux activer le masquage des informations.
Le 22/01/2018 à 12h14
Le 18/01/2018 à 17h24
Notre CNIL elle-même ne sera pas prête pour le 25 mai, cela dit. Il ne faudra pas s’attendre à des contrôles dès le lancement du RGPD.
Le 18/01/2018 à 17h46
Je ne vois pas trop pourquoi tout le monde s’affole.
" />
Les coordonnées du titulaire sont actuellement visibles dans le whois (pour ceux qui ne passent pas un tiers/mandataire). Ca poserait soudainement problème car l’ICANN est indépendante ? Avant c’était ok ?
Le 18/01/2018 à 17h49
Euh, non, rien à voir avec l’« indépendance » de l’ICANN. Les mouvements actuels sont plutôt dûs au RGPD comme bien expliqué dans l’article. (Notons qu’une partie des obligations du RGPD étaient déjà dans les lois nationales et directives européennes précedentes. Le RGPD ne tombe pas du ciel !)
Le 18/01/2018 à 18h02
Déjà qu’on galère pour trouver des infos utiles (hébergement, responsable de publication) dans les mentions légales, si les whois sont purgés les bureaux d’enregistrement vont crouler sous les demandes d’identifications…
Le 18/01/2018 à 18h03
Ça poserait soudainement problème car les sanctions se durcissent. Quand on passe des gros yeux à 4% du CA, ça peut piquer un peu.
Le 18/01/2018 à 18h15
Les informations actuelles sont souvent incorrectes parce que c’est la seule façon dont l·e·a titulaire d’un domaine dans les TLD ICANN peut protéger sa vie privée. Si elle ne sont plus distribuées aussi largement, les titulaires seront peut-être plus motivé·e·s pour donner des renseignements exacts.
Le 18/01/2018 à 18h23
Le 18/01/2018 à 18h33
La dernière que j’ai eu le malheur de laisser mes coordonnées réelles danse whois, je me suis retrouvé spammer d’appels et emails publicitaires afin d’améliorer mon SEO et autres. Obligé d’utiliser l’option payante évidemment pour cacher ces données du publique.
Le 18/01/2018 à 18h51
Pour info, j’ai révisé la partie sur le remplacement à long terme du “whois”, après un retour de Pierre Bonis. L’échéance officielle de février 2017 aurait été abandonnée, ce qui est désormais écrit, et l’articulation entre les projets a été clarifiée. Le passage sur le rôle de l’Article 29 dans la prise de conscience de l’ICANN a aussi été nuancée. 
" />
Le 18/01/2018 à 19h06
Voir le commentaire #8
Mettre de vrai info à dispo en publique, c’est s’exposer au spam.
Pourquoi as tu personnellement besoin d’identifier l’“éditeur” d’un site?
Le fait que les infos ne soient plus publiques n’empechera pas la police par exemple d’identifier l’éditeur
Le 18/01/2018 à 19h10
@Stéphane Bortzmeyer, @Quiproquo
" />
Mon commentaire n’était pas clair. mea culpa.
J’ai bien compris les raisons pécuniaires de l’affolement des registars. $$
Ce qui m’a interpelé c’est l’affolement autour de la confidentialité d’information qui sont déjà publiques.
Bref, pourquoi le RGPD ne fait pas une exception pour ces informations qui sont assez assimilables aux mentions obligatoires sur les publications. (après tout un site web ressemble beaucoup à une publication)
Le 18/01/2018 à 19h40
Est-ce que les registars suisses sont concernés par le RGPD ?
Le 18/01/2018 à 19h42
S’ils ont des clients citoyens de l’Union européenne, oui. :)
Le 18/01/2018 à 20h06
Le 18/01/2018 à 20h14
Prenons le cas d’un particulier qui loue un nom de domaine pour son adresse e-mail. Quelle est la justification d’exposer ses coordonnées (nom, prénom, numéro de téléphone, adresse du domicile) à tout vent ? Il n’y a pas de mentions obligatoires dans ce cas, il me semble.
Il est vrai qu’il suffit d’utiliser un tld qui permet le masquage de ces informations. J’ai acquis un .net à l’époque où c’était le parcours du combattant pour les tld gérés par l’AFNIC, et l’affichage du nom et du prénom reste obligatoire, même si les coordonnées sont masquables via Gandi. Depuis que les tld bien de chez nous sont en libre accès, j’ai progressivement basculé vers cette solution pour des raisons de vie privée.
Le 18/01/2018 à 21h09
Merci
" />
Le 18/01/2018 à 23h00
Le 19/01/2018 à 07h37
Le 19/01/2018 à 07h51
ça c’est le cas pour les entreprises /asso
Mais pour les sites perso a usage plus privé….
Moi le premier, j’ai un .fr mais je n’ai pas de site dessus. j’ai juste un cloud qui me sert à moi et quelques proches, plus un accès à mes services.
Et bien à cause du .fr j’ai des infos personnelles qui sont dans le whois. Et contractuellement pour le .fr on ne doit pas mettre de fausses infos….
Et je ne suis pas le seul à avoir un ndd pour des cas similaires.
Avoir un mail de contact obligatoire, OK, le reste c’est à la volonté de l’exploitant du ndd. Ce n’est bien que mon avis.
Le 19/01/2018 à 07h51
inconsciemment je lis GCPD à chaque fois
" />
Le 19/01/2018 à 08h20
pour le coup, merci OVH. Un whois sur mes domaines n’aidera pas grand monde pour me trouver ou pour commercialiser mes infos
Le 19/01/2018 à 08h22
Le 19/01/2018 à 08h25
Le 19/01/2018 à 09h10
Si c’est un .fr, et qu’il est enregistré par une personne physique, les données ne sont PAS distribuées, par défaut. Cf. le commentaire de Gats hier soir. .fr n’est pas un TLD ICANN et n’est donc pas concerné par leurs règles.
Le 19/01/2018 à 09h27
Je voudrais ajouter un petit mot à propos de RDAP. Ce n’est qu’un protocole, comme whois, et l’éventuel remplacement de whois par RDAP (ce qui n’est pas gagné, loin de là) ne changera pas forcément grand’chose au débat autour des données personnelles et du RGPD.
Les principales différences que je vois entre les deux protocoles, pour ce qui concerne la vie privée :
Aujurd’hui, les seuls TLD qui ont déployé RDAP en production sont des TLD non-ICANNhttp://data.iana.org/rdap/dns.json mais il y a un RDAP de test pour .com (sans les données personnelles, puisque .com est un registre mince)
Plus de détails sur RDAP, et les RFC qui le normalisent enhttp://www.bortzmeyer.org/weirds-rdap.html
Le 19/01/2018 à 14h06
Le 19/01/2018 à 15h50
Le 19/01/2018 à 16h31
Le 19/01/2018 à 17h30
Je ne comprends pas ce qui te déplait dans la solution utilisée par les bureaux d’enregistrements européens (masquage total des coordonnées auprès des registres le permettant, masquage partiel sinon), puisque tu dis toi-même qu’ils répondent aux requêtes. Ça me parait plus sain que d’inonder les registres de fausses informations.
Le 19/01/2018 à 18h43