À une semaine du RGPD, la réforme de l’annuaire public de noms de domaine toujours en travaux

Deux ans passent si vite

Le 18 mai 2018 à 11h10

6 min

Droit

Le 25 mai, la protection des données personnelles passera à un niveau supérieur en Europe. Pourtant, la mise en conformité du « whois », l'annuaire des titulaires de noms de domaine, piétine toujours. Derrière la volonté d'une issue rapide se cachent toujours d'importantes divergences entre États, organisations et autorités communautaires.

Depuis novembre, l'organisme en charge des ressources mondiales d'Internet, l'ICANN, prépare la réforme du « whois », la base de coordonnées des titulaires de noms de domaine (voir notre analyse).

Le problème est simple : le Règlement général sur la protection des données (RGPD), qui s'applique en UE le 25 mai, exige que toute collecte ou traitement d'informations personnelles soit consentie ou justifiée. Or, la publication par défaut des coordonnées des titulaires de noms de domaine à extension générique (« .com », « .net », « .org »...), de loin les plus nombreux, est imposée aux internautes. Il faut corriger le tir.

Ces deux dernières semaines, les échanges se sont intensifiés entre la direction de l'ICANN (via son président Göran Marby), le comité consultatif des gouvernements (GAC), où siègent les États, et certaines autorités européennes de protection des données (les homologues de la CNIL). À une semaine de l'application du RGPD, la panique transparaît toujours dans certains courriers.

Des sociétés (dont Cloudflare) demandent au moins six mois de délai

Depuis janvier, l'organisation tente de concilier la protection des données et les exigences de certains États, qui veulent maintenir ces informations publiques, officiellement pour les forces de l'ordre. L'ICANN doit aussi rassurer les bureaux d'enregistrement, qui peuvent être attaqués à partir du 25 mai sur la base du RGPD.

L'ICANN a ainsi réclamé un moratoire sur les sanctions des CNIL européennes, le temps de se conformer au règlement. Pour mémoire, le texte a été arrêté il y a deux ans, avec un important délai pour adapter les services en ligne. De nombreuses entreprises sont pourtant en plein « rush » pour se conformer. Concernant le « whois », les autorités européennes de protection des données alertent l'ICANN depuis 2003 : son système ne respecte pas le droit communautaire, depuis une directive de... 1996.

Pour apaiser les bureaux d'enregistrements, l'organisation mondiale a promis de ne pas sanctionner ceux qui devront déroger à leur contrat ICANN pour respecter le RGPD. Dans une lettre du 16 mai (PDF), huit sociétés (dont 1&1, Cloudflare et GoDaddy) demandent un délai d'au moins six mois pour respecter la réforme du « whois » qu'exige l'ICANN. « Toute spécification temporaire adoptée aujourd'hui déviant fortement des attentes et modèles prévus jusqu'ici arrivera bien trop tard pour être implémentée le 25 mai » estiment-elles.

De quoi parlent-elles ? Des spécifications pour la mise en conformité, publiées le 14 mai, à la peinture très fraiche et encore soumises à changements. Le terrain reste donc glissant pour ceux qui devront mettre en place la réforme du « whois », sur le modèle choisi par l'ICANN, dont l'optimisme le pousse à croire que les bureaux d'enregistrement pourraient être prêts le 25 mai.

Un accès aux données qui inquiète toujours

Justement, ce modèle pour faire rentrer au chausse-pied les exigences du RGPD dans le « whois » a mis beaucoup de temps à émerger. Après des alertes européennes en novembre, l'organisation a proposé trois modèles à la mi-janvier, avant de choisir le plus protecteur de la vie privée (et contraignant) début mars.

Ce « Cookbook » consiste à masquer la plupart des données personnelles quand un nom de domaine est enregistré par un particulier (voir notre analyse). Ce que pratiquent déjà certaines extensions, comme le « .fr ». Une adresse e-mail anonymisée restera en ligne, pour contacter le responsable du site. Pour accéder à ces données cachées, les requérants (comme les forces de l'ordre) devront obtenir une accréditation officielle, dont les modalités sont encore à trouver.

Ce modèle est considéré comme une entrave aux enquêtes, selon la Commission européenne, qui l'estime bien trop lourd. Au sein du GAC, les États pestent contre cette décision, semble-t-il sous l'impulsion de leurs forces de l'ordre, vent debout contre la perte de cette base de données (aux données pourtant peu fiables).

La position des gouvernements est l'un des principaux nœuds de la réforme du « whois ». D'un côté, ils veulent une mise en conformité rapide avec le RGPD. De l'autre, ils réclament que l'adresse e-mail de chaque titulaire de nom de domaine à extension générique reste publique ; quand bien même l'information est sensible.

Cette position, défendue dans une longue réponse mi-mars, est au centre de désaccords récents avec la direction de l'ICANN. Le GAC demande le respect de ses volontés (maintenir tant que possible les coordonnées des particuliers publiques), en offrant une porte de sortie via un modèle « ultime » pour le « whois » prévu d'ici un an. Réponse de l'organisation, après plusieurs échanges : il n'est pas question de respecter neuf des dix « conseils » du GAC.

De la friture sur la ligne entre ICANN et CNIL européennes

Pourtant, dans un communiqué, l'ICANN avait lui-même repris l'argument de l'accès aux données par les forces de l'ordre, au grand dam du G29, qui regroupe les CNIL européennes. Celles-ci ont menacé à mots couverts l'ICANN, pour le décourager de reprendre si facilement le discours du GAC.

La communication passe mal entre les autorités de protection des données et l'organisme mondial. Ces derniers mois, de nombreux échanges ont montré des incompréhensions mutuelles, entre la rigueur des CNIL et l'urgence de l'ICANN pour rattraper le temps perdu. Quand cette dernière réclame un délai, le G29 l'a tancé pour le grand flou de son modèle, qui justifie à peine chaque traitement, ce qui est pourtant le cœur du RGPD.

Les spécifications publiées le 14 mai sont censées mettre tout le monde d'accord, mais rien n'est encore arrêté. À une semaine de l'application du RGPD, aucun document final n'a été mis en ligne.

Malgré les grands débats qu'elle cause, cette première réforme du « whois » n'est qu'une rustine temporaire. D'ici quelques années, ce système doit être remplacé par une autre plateforme technique et juridique. Selon plusieurs spécialistes, elle ne pourrait arriver qu'après une nouvelle vague d'extensions de noms de domaine, prévue pour 2020 ou 2021.

Commentaires (13)

127.0.0.1

Le 18/05/2018 à 11h28

Les entreprises US demandent un moratoire sur les sanctions européennes concernant le RGPD.

Les entreprises UE demandent un moratoire sur les sanctions américaines concernant l’embargo iranien.

That’s negotiating !

crocodudule

Le 18/05/2018 à 13h35

Difficile de faire la grosse voix à l’égard de l’ICANN (pour rappel Société de droit californien) avec le RGPD;

. d’une part l’obligation de s’y soumettre pour l’ICANN n’est en rien acquise, elle tente de concilier la chèvre et le chou, mais fondamentalement pourrait très bien dire, ceci ne concerne que les prestataires qui pourraient tomber sous le coup du RGPD, nous on a nos règles c’est à prendre ou à laisser si les “CNILs” européennes sont pas contentes c’est la même.

. d’autre part, parce que le boulot n’a pas été fait en Europe sur l’essentiel du RGPD et sur des données autrement plus sensibles qu’un mail et une boite postale (bidons dans la majorité des cas) associés à un nom de domaine.

Pendant ce temps, on clame RGPD! RGPD! comme s’il s’agissait d’un texte révolutionnaire, là où les changements sont marginaux par rapport à la directive de 96 et surtout les garanties parfaitement insuffisantes.

De fait jusqu’à aujourd’hui le RGPD n’a servi qu’à faire du privacywaching…

Encore hier sur Facebook où ce dernier, malgré ses pratiques et sa réputation déplorable en terme de respect de la vie privée et des données persos, mais encore son dernier scandale, se permettait d’adresser une alerte (capture si nécessaire):

“Le RGPD entrera en vigueur le 25 mai 2018. Assurez-vous que votre entreprise Facebook est conforme aux nouvelles exigences de confidentialité de ce règlement”

 … dans le genre hôpital qui se fout de la charité… " />

Gnppn Abonné

Le 18/05/2018 à 13h50

Le RGPD apporte l’extraterritorialité, donc l’ICANN doit s’y plier en tant que responsable de ces extensions, qu’il soit californien ou non. ;)

crocodudule

Le 18/05/2018 à 13h59

Gnppn a écrit :

Le RGPD apporte l’extraterritorialité, donc l’ICANN doit s’y plier en tant que responsable de ces extensions, qu’il soit californien ou non. ;)

C’est chouïa plus compliqué que cela: le RGPD prévoit en s’inspirant de la théorie du public cible que tout européen (personne physique) dont les données persos sont traitées doit pouvoir bénéficier des règles du RGPD, et le maître de ce traitement, même extérieur à l’extérieur de l’UE, doit s’y conformer.

Le problème est qui est légitime pour imposer la sanction en cas de manquement… Personne. Le RGPD ne pouvant rien contre le principe international de souveraineté des Etats, tu as d’ailleurs probablement en mémoire l’affaire des objets nazis et yahoo, ben c’est la même ^^

Si l’organisme a de forts intérêts avec l’Europe, elle préférera probablement se soumettre d’elle-même au RGPD (ou trouver un compromis comme tente de le faire l’ICANN), mais si l’Europe représente rien pour elle, personne ne pourra rien y faire et elle pourra continuer comme bon lui semble.

127.0.0.1

Le 18/05/2018 à 14h42

Le RGPD ne pouvant rien contre le principe international de souveraineté des Etats, tu as d’ailleurs probablement en mémoire l’affaire des objets nazis et yahoo, ben c’est la même ^^

Si l’organisme a de forts intérêts avec l’Europe, elle préférera probablement se soumettre d’elle-même au RGPD (ou trouver un compromis comme tente de le faire l’ICANN), mais si l’Europe représente rien pour elle, personne ne pourra rien y faire et elle pourra continuer comme bon lui semble.

Exact. De même, si une entreprise n’a pas de relation avec les USA (par exemple une entreprise chinoise) alors cette entreprise pourra continuer a commercer avec l’Iran.

Mais il faut bien voir que traiter les données personnelles des européens n’a d’intérêt que si on cible le marché européen. Sauf si on est une agence de renseignement étrangère, mais là c’est un autre débat.

Gnppn Abonné

Le 18/05/2018 à 15h09

J’ai simplifié bien sûr. Après, l’ICANN ne négocie rien. Il essaie de se conformer sans casser le “whois” pour les forces de l’ordre et les cabinets de protection de la propriété intellectuelle, qui font leur beurre sur ces données.

crocodudule

Le 18/05/2018 à 15h21

Gnppn a écrit :

J’ai simplifié bien sûr. Après, l’ICANN ne négocie rien. Il essaie de se conformer sans casser le “whois” pour les forces de l’ordre et les cabinets de protection de la propriété intellectuelle, qui font leur beurre sur ces données.

Oui je suis bien d’accord.

crocodudule

Le 18/05/2018 à 15h39

127.0.0.1 a écrit :

Exact. De même, si une entreprise n’a pas de relation avec les USA (par exemple une entreprise chinoise) alors cette entreprise pourra continuer a commercer avec l’Iran.

Mais il faut bien voir que traiter les données personnelles des européens n’a d’intérêt que si on cible le marché européen. Sauf si on est une agence de renseignement étrangère, mais là c’est un autre débat.

Oui effectivement. D’ailleurs ce constat devrait conduire à se poser une question: est-ce que le RGPD bien applicable aux européens en Europe tout ça tout ça, est néanmoins pertinent ?

S’agissant de l’objectif de protéger les données persos, sans aucun doute, en revanche s’agissant des garanties prévues j’ai de sérieux doutes: par l’apparence, on donne le sentiment d’une protection “il faut faire le registre des traitements, et ca serait bien d’avoir un DPO, voire de faire une DPIA, au fait il faut copier/coller le modèle de clause type dans vos contrats avec vos sous-traitants, et puis on a harmonisé les sanctions au niveau européen alors on a un texte super protecteur etc…”

Mais sur le fond on a changé quoi?

. le principe des sanctions existent déjà chez nous et dans l’essentiel des pays européen depuis des lustres,

. la définition de traitement a été complétée par l’action de “limitation” les autres actions existaient déjà,

. on a créé le principe de la coresponsabilité du traitement qui vient compléter celui existant,

. on a ajouté le principe de la portabilité des données et légèrement étendues les obligations des sous-traitant.

. on a entériné le principe de l’application à tous les européens même si pas dans l’Europe (avec la limite énoncée plus haut).

Ca fait pas lourd, puisqu’au final on passe d’une obligation préalable de déclaration à la mise en œuvre du traitement (principe avec beaucoup de dérogations), à l’absence de déclaration en échange d’audits internes (registre, DPO, DPIA)… je trouve que ça fait très léger au regard de la mousse qu’on peut faire autour du RGPD.

127.0.0.1

Le 18/05/2018 à 16h52

crocodudule a écrit :

Ca fait pas lourd, puisqu’au final on passe d’une obligation préalable de déclaration à la mise en œuvre du traitement (principe avec beaucoup de dérogations), à l’absence de déclaration en échange d’audits internes (registre, DPO, DPIA)… je trouve que ça fait très léger au regard de la mousse qu’on peut faire autour du RGPD.

Habituellement une société contourne ses responsabilités en faisant signer un contrat à l’utilisateur (CLUF) qui autorise la collecte des données et décline toute responsabilité en cas de blablabla…

Là, la loi dit clairement que ce n’est pas possible. Ca oblige donc la mise en place de solutions techniques efficaces (car la sanction peut faire très mal).

D’où les remous car les sociétés ne peuvent pas contourner le problème avec du juridique, ni repousser à plus tard la mise en oeuvre à cause des sanctions.

Vachalay

Le 18/05/2018 à 19h13

127.0.0.1 a écrit :

Exact. De même, si une entreprise n’a pas de relation avec les USA (par exemple une entreprise chinoise) alors cette entreprise pourra continuer a commercer avec l’Iran.

Mais il faut bien voir que traiter les données personnelles des européens n’a d’intérêt que si on cible le marché européen. Sauf si on est une agence de renseignement étrangère, mais là c’est un autre débat.

Cela va surement encourager la création de plusieurs entités fédérées au sein d’une holding … Diviser pour mieux régner contourner les réglementations locales et ainsi cloisonner ses activités.

SebGF Abonné

Le 19/05/2018 à 08h33

Vachalay a écrit :

Cela va surement encourager la création de plusieurs entités fédérées au sein d’une holding … Diviser pour mieux régner contourner les réglementations locales et ainsi cloisonner ses activités.

Si je ne m’abuse, les sanctions en cas d’infraction au RGPD peuvent aller jusqu’à 4% du CA mondial du groupe.

Donc c’est la holding qui risque de prendre dans le cas présent.

Même si dans les faits je demande à voir les premières actions, car j’ai de sérieux doutes quand à la possibilité que ça puisse s’appliquer réellement au niveau de l’extra territorialité.

crocodudule

Le 20/05/2018 à 19h36

C’est là que le discours autour du RGPD est très fort, en réalité sur ce que tu peux faire ou non par rapport à notre législation (et en réalité depuis la directive de 96) le RGPD ne change pas les obligations.

Il en ajoute un peu (sur la limitation du traitement ou encore la portabilité), il apporte certaines précisions (autour du security by design), mais pour le reste tu ne pouvais déjà pas te décharger de tes obligations en qualité de maître du traitement par les CGU (contrat etc…).

D’où mon commentaire précédent; on fait beaucoup de mousse autour du RGPD, mais à mon avis on est loin du compte.

Sigma42

Le 21/05/2018 à 03h35

En ce qui concerne l’Iran, on peut tomber sous le coup des sanctions américaines sans être présent sur le marché américain :

Si on a utilisé le dollar dans une transaction (80% des transactions mondiales, et même la Chine n’arrive pas (encore ?) à imposer le yuan)

Si des mails ont transités par un serveur américain

Si on emploi au moins un américain

Si au moins 10% du matériel est considéré comme américain