Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

« Whois » : un brouillon de loi américaine pour raboter la protection du RGPD

We value your privacy

« Whois » : un brouillon de loi américaine pour raboter la protection du RGPD

Le 30 août 2018 à 13h39

L'Internet Governance Project révèle le brouillon d'un projet de loi américain, poussé par des lobbies selon lui. Le texte obligerait l'Icann à collecter et publier les données des titulaires de noms de domaine. Or, le Règlement général sur la protection des données impose de les masquer par défaut lorsque le titulaire est résident européen.

Depuis la fin 2017, le RGPD met sens dessus-dessous l'Icann, l'organisation responsable des ressources mondiales du Net. Le « whois », l'annuaire public de certains noms de domaines (ceux liés aux gTLD, « .com », « .net » ou encore « .org ») enfreint le nouveau règlement, selon les Cnil européennes. En publiant par défaut les données des particuliers résidant en Europe, le « whois » n'obtient pas le consentement nécessaire à cette publication.

Avec des sanctions pouvant atteindre 4 % du chiffre d'affaires mondial, le coup de bâton peut être rude si des bureaux d'enregistrement diffusent les coordonnées de titulaires de noms de domaine sans leur accord explicite.

En urgence, l'Icann a proposé un modèle temporaire en janvier, finalisé en mai dans la précipitation (voir notre analyse). Il masque par défaut la plupart des données personnelles, adresse email comprise. Un choix qui déplait aux États, réunis au sein d'un comité consultatif (le Gac), qui tiennent à maintenir cette mine d'informations publique pour les forces de l'ordre ou les spécialistes du droit d'auteur ; que les internautes y consentent ou non.

Les États-Unis s'en étaient particulièrement offensés. Ils pourraient bien reprendre la main sur le dossier. L'Internet Governance Project, organe de l'université Georgia Tech, cité par Domain Incite, publie le brouillon d'une proposition de loi contredisant le RGPD, poussé par des « groupes d'intérêts ». Il imposerait aux bureaux d'enregistrement de reprendre la transmission des données à l'Icann, voire de les publier. Son nom : Transparent, Open and Secure Internet Act of 2018.

Deux pistes, dont une large

Le brouillon daté du 16 août présente deux pistes. Dans la première, considérée comme « large », « pour tout domaine qu'il administre, un bureau d'enregistrement, tout registre ou toute autorité doit publier dans un répertoire « whois » publiquement accessible » une longue liste d'informations... ressemblant à s'y méprendre aux données du « whois ». Coordonnées physiques et adresse email du titulaire comprises.

La seconde piste, qualifiée d'étroite, limite cette obligation de publication aux résidents américains ou aux acteurs visant une activité commerciale sur le marché américain.

Dans les deux cas, la loi autoriserait toujours ces acteurs à masquer ces données via des services dédiés (comme OwO d'OVH), avec quelques limites. L'offuscation serait seulement permise si le site ne concerne pas une activité commerciale, ne se finance pas via la publicité et n'envoie pas d'emails commerciaux.

Charge reviendrait à l'Agence de l'information et des télécommunications (NTIA), au sein du département du Commerce, de contrôler l'application du texte par les acteurs concernés, en priorité l'Icann. L'ensemble serait sous le contrôle de la Commission fédérale du commerce (FTC) et des États américains.

Si l'Icann s'est officiellement émancipée du contrôle américain en 2016, la NTIA dispose toujours d'un droit de regard sur son fonctionnement. L'indépendance de l'organisation californienne n'est valide que si le modèle multipartite (avec une responsabilité partagée entre États, secteur privé et société civile) est suffisamment bien appliqué aux yeux de l'agence.

Sujet chaud, chaud, chaud

Selon l'Internet Governance Project, le texte est poussé par des groupes d'intérêts. Sans les nommer, il les désigne comme « ceux qui tentent toujours de contrôler et réguler Internet, les maximalistes du droit d'auteur, big pharma et consorts ». L'IGP mentionne tout de même à deux reprises Domain Tools, une société de sécurité dont le modèle est fondé sur ces données publiques.

Le débat est, de toute manière, déjà vif au sein de l'Icann. Les défenseurs de la vie privée y affrontent des acteurs ayant intérêt à cette publicité des coordonnées d'internautes, des forces de l'ordre à des sociétés spécialisées dans la sécurité informatique.

L'avis des Cnil européennes (le G29) a fait pencher la balance du côté des premiers, avec la menace de sanctions. D'autant que le « whois » enfreindrait déjà une directive de 1996 sur la protection des données personnelles, ce que ces autorités avaient rappelé en 2003.

Ces derniers mois, l'Icann a repris par occasions le discours du Gac. L'organisation a même tenté de limiter les effets du règlement européen. En mai, elle a attaqué un registrar européen qui a cessé de lui livrer des données de clients, au titre du RGPD. Rapidement rembarrée par la justice allemande, elle cherche à obtenir l'avis de Cour de justice de l'Union européenne (CJUE), avec l'espoir d'une lecture plus favorable à la collecte de données.

Le 19 juillet, l'Icann a aussi lancé un processus de développement de politique accéléré (ePDP en anglais) pour obtenir un accord sur ces données d'enregistrement de noms de domaine en gTLD. La discussion est limitée aux représentants des principaux groupes de l'Icann (dont le GAC), sous la direction de la Generic Names Supporting Organization (GNSO).

Le but : aller vite, alors que le retard du secteur vis-à-vis du RGPD est criant. Peu avant l'entrée en application du règlement, certains des principaux bureaux d'enregistrement américains réclamaient six mois pour se mettre en conformité avec le modèle temporaire. En France, Gandi et OVH ont rapidement annoncé être dans les clous, en masquant les données liées aux gTLD et en limitant leur diffusion.

Commentaires (21)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

pas tout a fait vrai même si la finalité est bonne, les USA ont convaincu l’arabie saoudite de n’accepter que les dollars pour l’achat de son pétrole. (truman si ma mémoire ne me trompe pas)



petit a petit l’oiseaux a fait son nid.

votre avatar

pour l’instant les USA PEUVENT faire-ce-qu’ils-veulent…..pour l’instant !

qu’ils en profitent, mais ça NE durera pas éternellement (les autres Pays s’organisent) ! <img data-src=" />


“à trop tirer sur la Corde, elle fini par se casser” !

votre avatar







vizir67 a écrit :



pour l’instant les USA PEUVENT faire-ce-qu’ils-veulent…..pour l’instant !

qu’ils en profitent, mais ça NE durera pas éternellement (les autres Pays s’organisent) ! <img data-src=" />



“à trop tirer sur la Corde, elle fini par se casser” !



Les États-Unis ne tolèrent absolument rien qui, à leurs yeux, est en capacité de représenter une menace pour leurs intérêts, leur sécurité, leur pérennité et leur prédominance en tout ; quels que soient le degré et la réalité de cette menace prétendue. Et comme à leurs yeux, l’étranger est considéré par définition comme une menace permanente, ils préféreront largement éradiquer toute vie sur Terre plutôt que de céder leur place de n°1 où que ce soit (et ça tombe bien : ils tiennent à conserver les moyens d’y arriver et c’est déjà ce qu’ils font).


votre avatar

la GDPR a aussi une application extraterritoriale et c’est pas vraiment une nouveauté dans l’ordre juridique même si le développement d’internet a passablement exacerbé ces question. L’époque où le droit s’arrêtait là ou on pouvait envoyer les archers est finie. ça existe aussi par exemple dans le droit pénal avec les crimes très graves.



La justice française elle-même adopte régulièrement des positions plutôt extraterritoriales: Il suffit de voir la question du déréférencement sur les extensions autres que .fr de google, ou l’affaire Yahoo il y a longtemps.



Après, c’est aussi difficile de dire ce qui est extraterritorial: le fait que l’UE exige d’une association ou fondation US qu’elle respecte le droit de l’UE pour les données de citoyens de l’UE et pas le droit US, ou le fait que les US exigent d’une association ou fondation US qu’elle respecte le droit US mais pas le droit de l’UE?



&nbsp;

votre avatar







bloossom a écrit :



Après, c’est aussi difficile de dire ce qui est extraterritorial: le fait que l’UE exige d’une association ou fondation US qu’elle respecte le droit de l’UE pour les données de citoyens de l’UE et pas le droit US, ou le fait que les US exigent d’une association ou fondation US qu’elle respecte le droit US mais pas le droit de l’UE?





Nan c’est facile, mais il faut changer d’angle. L’idée à cette époque reculée, était de re-fonder le droit à partir de l’individu, en équité. Adonque nous abolissâmes les privilèges nobiliaires (et le Roi avec, dommage collatéral). <img data-src=" />

Depuis, on pourrait à peu près dire sans trop caricaturer que c’est l’individu qui est “source” du droit applicable. Ainsi l’assoce, la fondation, l’entreprise ou autre n’est que la création d’un ou plusieurs individus ; mais elle doit respecter le droit de l’individu.

Il n’y a pas d’extraterritorialité qui tienne, parce que le Net n’est pas un territoire : un internaute se trouve en plusieurs lieux virtuel à la fois, et cette ubiquité empêche la délimitation de territoires en Internet (ou du moins pas au sens géographique habituel).

Bref, la “méthode US” que tu décris, en espérant que tu la décrie aussi, reviens à donner à l’assoce ou fondation un privilège non plus nobiliaire mais “entrepreneurial” ; le privilège étant de faire passer le droit de la création de l’individu avant le droit de l’individu sans que cette priorité ne soit légitime au sens de l’intérêt général et commun, et je ne qualifierais pas vraiment cela d’équitable… d’où l’idée dans leur brouillon de mettre la sécurité publique comme motif, mais c’est foireux : pas besoin de divulguer publiquement des infos si l’objectif est que les forces de l’ordre y ait accès, non ? (je dirais qu’on sais déjà assez bien voire trop bien faire ça).

Et pour les lobby de la “sécurité” privée, tout ce que j’en pense c’est <img data-src=" />…


votre avatar

c’est un peu plus complèxe que cela quand même.

moi je pense que au niveau du web, si tu on veux que ca ne se sache pas USA ou pas, tu peux quand même faire ton taf.

plus le temps passe et plus je me dit, okay on va couler toute mon identité en ligne actuelle et ca va tout passer en crypté / anonyme / tor / etc parce que ça commence à faire flipper le manque de respect des libertés .

votre avatar

Petit gens, manquant quelque chose… ou les tripes! On peut toujours imposer aux sociétés localisées en Europe, de garder localement les données Européennes.

Ce qui posera certainement des problèmes de coût…

votre avatar

C’est ce qu’a fait un ancien président de ma région quand Dell, qui avait implanté une usine dans ma ville, voulait se barrer : il était prêt à les autoriser à partir… à condition qu’ils remboursent toutes les subventions qu’ils avaient obtenues jusque-là.



À ce jour, Dell est toujours ici.



Mais bon, c’est pas les politocards actuels qui sauront à ce point taper du poing sur la table, hélas…&nbsp;<img data-src=" />

votre avatar

L’europe n’est ni un pays ni une nation et surtout personne n’est d’accord sur rien en europe même pas sur la météo.

votre avatar

Voilà en résumé pourquoi l’Europe ne marche pas….

votre avatar

… que les internautes y consentent ou non. !



“tiens, quelque-chose de nouveau” ! <img data-src=" />

votre avatar

L’affrontement de 2 lois extra territoriales?<img data-src=" /> Fight.

votre avatar

Si ça ne concerne que les personnes physiques et morales qui résident aux États-Unis, ça ne me pose aucun souci <img data-src=" />

votre avatar

L’argument des ayants droits et des forces de l’ordre est étonnant, compte tenu du compromis (?) envisagé : quel criminel ayant un minimum de jugeote enregistrerait sciemment son activité illégale avec ses coordonnées en clair ?



Du coup, si je comprends bien, il s’agit de tromper les criminels les moins malins ou les plus distraits dans l’espoir qu’ils fournissent des données en accès public ? Et tant pis si cela a pour conséquence des escroqueries à grande échelle telles les arnaques au renouvellement des noms de domaines, pour ne citer que la plus courante ?



Je peine à croire que les autorités de police aient besoin que les coordonnées des propriétaires des domaines aient besoin d’être publiques. J’ai plutôt l’impression que ce sont des experts en sécurité privés qui ont pris l’habitude de compter sur l’accès sans restriction à ces données qui s’agacent d’avoir plus de mal à mener des enquêtes privées, hors tout cadre légal.

votre avatar

ce n’est pas l’usage aux États-Unis, ça sera plutôt un truc du genre : “si les données transitent par un serveur US, étant attendu qu’un serveur US est soit un serveur localisé sur le territoire des États-Unis, soit un serveur appartenant à une entreprise américaine, soit un serveur appartenant à un citoyen américain, alors elles doivent être publiées”.

Bref, comme dit plus haut, un bel affrontement de 2 législations extra-territoriales antagonistes.

votre avatar

Vu la culture américaine pour l’accumulation de données personnelles, cela n’a rien d’étonnant. Surtout avec un Président sans scrupule et méprisant le reste du Monde.



Vu les temps qui courent, y’a intérêt à retrouver une U.E. forte ou alors on va morfler…

votre avatar

On morfle déjà et à chaque fois que l’UE se trouve en désaccord avec les États-Unis, ça se finit toujours de la même manière : l’UE râle et dit qu’elle cédera pas dans un premier temps, mais elle finit très rapidement par s’écraser et obéir bien gentiment parce que, hé, elle pourra jamais se permettre de se mettre les USA à dos. Le cas des contrats iraniens l’a suffisamment bien démontré, et il en sera de même, cette fois-ci encore.

votre avatar

Je me demande pourquoi l’Europe n’impose pas les transactions en euro pour celle résidant sur son territoire.

votre avatar

en 1945 “on” a décidé que les échanges internationaux se feraient en Dollar

mais c’est vrai, il SERAIT, p’te temps, que ça change !

“Loi extraterritoriale” = rien que CE mot, heu…….

belle trouvaille en-tout-cas, pour nous….. (aïe) !!!

votre avatar

Puisque les USA n’en ont rien a cirer des limites territoriales et appliquent leur Loi ou bon leur semble, il serait temps que l’Europe leur inflige la même médecine.

votre avatar

Quant les Usa sont pas content des effets extra-terrioriaux d’une loi européenne. Perso je sors les popcorn !

« Whois » : un brouillon de loi américaine pour raboter la protection du RGPD

  • Deux pistes, dont une large

  • Sujet chaud, chaud, chaud

Fermer