Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Avec le RGPD, la fin annoncée d'une partie de l'annuaire public des noms de domaine

Coucou c'est la CNIL
Internet 11 min
Avec le RGPD, la fin annoncée d'une partie de l'annuaire public des noms de domaine
Crédits : icannphotos (licence CC-BY-SA 2.0)

Les CNIL européennes s'inquiètent de la publication automatique des coordonnées des titulaires de noms de domaine via le « whois ». Elles pointent l'urgence du futur règlement européen, qui renforcera les sanctions dans quelques mois. En réponse, l'ICANN prend des mesures d'urgence, dont nous discutons avec l'Afnic, Gandi et OVH.

Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) posera que toute collecte et traitement de données personnelles d'Européens suive un accord explicite et libre.

Ce chantier, qui mène nombre d'entreprises à une course contre la montre, pose un problème particulier au monde des noms de domaine. Le sujet est tel qu'il fait l'objet d'une importante correspondance entre les CNIL européennes (regroupées dans l'Article 29) et l'ICANN, l'organisme qui gère les ressources du Net au niveau mondial.

Dans une lettre du 6 décembre, Isabelle Falque-Pierrotin, présidente de la CNIL et du groupe européen, s'inquiète ainsi de la publication automatique et sans consentement explicite des coordonnées des titulaires de noms de domaine aux extensions génériques (gTLD). Soit celles maintenues par l'ICANN, comme les « .com », « .org » ou « .net ». Le 15 janvier, Göran Marby, le président de l'organisation, répond en faisant état des projets en cours pour réformer le « whois », le protocole historique qui sert d'annuaire des titulaires de noms de domaine.

Ces derniers mois, c'est le branle-bas de combat au sein de la communauté de l'ICANN, qui n'aurait mesuré que tardivement l'ampleur du sujet. Émancipée en octobre 2016 de la tutelle américaine, elle aurait encore des difficultés à concevoir qu'une législation européenne puisse l'affecter.

Le sujet n'est pourtant pas nouveau : depuis 2003, les CNIL européennes pointent les manquements du « whois » face au droit européen, qui impose un consentement explicite depuis une directive de 1995, tout comme la loi française depuis 1978.

« Ce qui change avec le RGPD, c'est le montant des sanctions » pointe Pierre Bonis, directeur général de l'Afnic, l'association qui gère le « .fr ». Face à une addition qui peut désormais atteindre 4 % du chiffre d'affaires mondial en Europe, l'industrie du nom de domaine prend désormais la question bien plus au sérieux.

Sur la légalité du « whois » public, CNIL européennes et ICANN en désaccord

Le « whois » contient donc les coordonnées du titulaire d'un nom de domaine, en principe pour le contact administratif et technique. Le registre du nom de domaine (comme l'Afnic pour le « .fr ») tient un annuaire, alimenté par les bureaux d'enregistrement (dits « registrars », comme OVH ou Gandi) auxquels les internautes louent leurs noms de domaine, comme nextinpact.com.

Tel qu'utilisé pour les extensions génériques, les plus répandues, le système mène à la publication par défaut de ces informations. Il y aurait plusieurs raisons à cela, selon Pierre Bonis, en premier lieu l'idéal historique de transparence d'Internet. « Ça convient quand nous sommes quatre sur le réseau, pas quatre milliards » estime-t-il.

Depuis, le « whois » est devenu un standard utilisé à la fois par les techniciens, par les forces de l'ordre dans le cadre d'enquêtes et par une industrie exploitant commercialement ces données... « au modèle économique pas forcément moral » selon le directeur général de l'Afnic. Cette dernière aurait bien voix au chapitre à l'ICANN, limitant les évolutions sur le sujet.

La question est donc de savoir si l'internaute livre un consentement explicite et libre à cette publication, voire à ses utilisations ultérieures. Le point d'accroche concerne l'obligation de livrer ces informations pour disposer d'un nom de domaine, sans que le titulaire d'un nom de domaine ne soit forcément informé.

Selon l'Article 29, dans sa lettre du 6 décembre, cette « publication illimitée des données personnelles de titulaires de noms de domaine soulève de sérieuses préoccupations légales ». Pour les CNIL européennes, le consentement à la publication n'est pas libre, vu qu'imposé pour obtenir le nom de domaine. Aussi, l'internaute ne signe aucun contrat direct avec l'ICANN (qui publie le « whois »), en principe nécessaire à l'exploitation des données. Enfin, il n'y aurait « pas d'intérêt légitime » à publier ces données, même dans le cas où elles peuvent servir aux forces de l'ordre, vu que ce n'est pas leur objet explicite.

Cette vision tranche avec celle de l'ICANN. Le 21 décembre, l'organisation a publié une analyse juridique du cabinet d'avocats européen Hamilton, qui estime que publier ces données contribue à l'intérêt général. Donc que le système actuel peut perdurer, en principe. Pourtant, il recommande de tenir compte de l'interprétation qu'en livreront les autorités de protection des données (les CNIL européennes). Pour le cabinet, il serait en pratique imprudent de laisser le système tel quel quand l'Article 29 le suppose déjà contraire au RGPD.

CNIL bilan 2015 Isabelle Falque-Pierrotin
Isabelle Falque-Pierrotin, présidente de la CNIL et du groupe de l'Article 29

De la fiabilité des informations du « whois »

Depuis 2006, les autorités européennes réclament une évolution du protocole. En 2012, elles détaillaient une raison dans un courrier au vitriol (PDF) : « la conception du système incite fortement les particuliers à fournir de fausses coordonnées. Malheureusement, l'ICANN a décidé de ne pas travailler sur des modèles d'accès stratifié, comme le modèle OPoC proposé à plusieurs reprises par [l'Article 29] ».

Le modèle OPoC, soit « point de contact opérationnel », était discuté officiellement au sein de l'ICANN depuis 2005 (PDF). L'idée : supprimer l'adresse personnelle et celle administrative, pour les remplacer par une adresse de contact, qui ne révélerait pas ces coordonnées au tout venant. Le concept a été effectivement abandonnée en 2012, suite à des craintes de fournisseurs d'accès.

Depuis, l'ICANN a elle-même constaté le problème de véracité du « whois ». En 2016, une étude officielle de l'organisation suggérait que plus d'un tiers des coordonnées fournies dans les « whois » étaient injoignables. « Des forces de l'ordre déclarent qu'elles ont besoin d'informations whois publiques pour traquer les criminels. Mais les personnes derrière des sites frauduleux ne mettront pas leurs informations ! » lance Pierre Bonis de l'Afnic.

Surtout, cacher au public les informations n'empêcherait pas leur partage. Depuis 2006, le « .fr » est ouvert aux particuliers, et l'Afnic masque les coordonnées des titulaires. Elles sont pourtant bien fournies aux forces de l'ordre, aux ayants droit ou à une personne avec une demande légitime (comme l'usurpation d'identité ou la diffamation).

Depuis plusieurs années, OVH fournit le service gratuit OWO, qui permet de masquer les données personnelles du titulaire d'un nom de domaine, pour de nombreuses extensions. L'entreprise a aussi ouvert une brèche auprès de l'ICANN. 

« Fin 2013, et au risque de ne pas pouvoir commercialiser de nouvelles extensions, OVH avait fait état à l’ICANN de l’incompatibilité entre ses contrats d’accréditation et les règles européennes en matière de protection des données à caractère personnel » nous déclare Florent Gastaud, le responsable des données personnelles (DPO) d'OVH.

Le sujet : la durée de rétention des données « whois », sur laquelle les CNIL européennes sont particulièrement chatouilleuses. En 2012, elles ont taclé l'ICANN pour une obligation de rétention des coordonnées après la mort d'un nom de domaine, sur demande des forces de l'ordre. Pour l'Article 29, une telle décision n'appartient pas à un organisme privé, mais à un État.

Un plan en trois étapes pour l'ICANN, d'abord une rustine

L'articulation du « whois » avec le droit européen a longtemps été une question secondaire à l'ICANN. En janvier 2016, un groupe de travail a été lancé pour remplacer le « whois ». Pourtant, la question ne serait prise au sérieux que depuis quelques mois, selon l'Afnic. Cela notamment à cause d'analyses d'autorités de protection des données, transmises au dernier trimestre 2017, puis de l'insistance de leur groupe (l'Article 29) en décembre. Pour Florent Gastaud, cet engagement collectif « a dû contribuer, parmi d’autres, à une certaine forme de prise de conscience », qui resterait encore floue.

Le problème du « whois » public pour les gTLD est avant tout juridique. La question première est celle des contrats entre l'ICANN et les registres, qui gèrent au quotidien les noms de domaine. Plusieurs clauses, principalement celle sur la publication des données du « whois », seraient sur la sellette. Mais le temps presse.

Comment donc un registre pourrait-il se conformer au RGPD, quand la révision du contrat avec l'ICANN peut prendre des mois ? Simple : en dérogeant au contrat en question. C'est la rustine que propose l'organisation, suite à sa dernière réunion mondiale, l'ICANN 60 à Abu Dhabi fin octobre... où le RGPD était sur toutes les lèvres, selon une spécialiste du domaine.

Dans un long communiqué du 2 novembre, l'organisation éteint les flammes apparues à la conférence. « Durant cette période d'incertitude [jusqu'au verdict des CNIL sur la légalité du « whois »], et sous conditions, l'ICANN reportera toute action contre un registre ou registrar qui ne se conformerait pas à ses obligations contractuelles en matière de données d'enregistrement », après lui avoir détaillé ses intentions, soumises à une analyse juridique. Les registres ont donc les mains plus libres face à elle.

Une bonne nouvelle, selon Pierre Bonis de l'Afnic : avant ces événements, des « juristes anglosaxons fous » au sein de l'ICANN réclamaient une preuve de condamnation au titre du RGPD avant de fournir une éventuelle dérogation au contrat.

Une révision juridique puis un nouveau système

Et après ? « Il semblerait que [l'organisation] s'oriente vers une publication beaucoup plus restreinte lorsqu'il s'agit de données de personnes physiques, ce qui est en accord avec l'éthique Gandi », nous répond le bureau d'enregistrement.

Le 12 janvier, l'ICANN a publié trois propositions de modèles temporaires pour la publication des données « whois ». Elles ont été élaborées suite à l'analyse juridique du cabinet d'avocats Hamilton, celle conclue le 21 décembre. Les trois répondent au même principe : restreindre l'accès à certaines informations (principalement l'adresse e-mail et le numéro de téléphone des particuliers), réservées à des tiers de confiance, soit auto-certifiés, validés formellement, ou en possession d'une assignation en bonne et due forme.

En somme, une forme de livraison stratifiée des données personnelles, dans la veine de celle réclamée depuis 12 ans par les CNIL européennes.

L'un de ces trois modèles, après consultation publique, est destiné à être appliqué dès le 25 mai. Son application sera-t-elle nécessaire pour obtenir une dérogation au contrat de l'ICANN ? « Si l'ICANN conditionne la signature d'un waiver à la mise en place d'un nouveau modèle, il y aura un problème » pense l'Afnic.

Dans sa réponse du 15 janvier aux CNIL, l'ICANN précise que ce modèle temporaire ne remplacera pas le travail sur un nouveau cadre juridique et technique, à plus long terme ; celui initié en janvier 2016. Il doit répondre de manière bien plus sûre aux questions juridiques que posent les lois sur la protection des données, tout en répondant à des problèmes plus larges, comme l'exactitude et l'utilisation de ces informations.

Ce RDS (pour Registration Directory Services) devrait à terme remplacer le « whois », mais le chemin est encore long. Pour l'Afnic, il ne devrait pas être mis en place avant la future fournée de nouvelles extensions de noms de domaine (nTLD), qui pourrait elle-même attendre 2020 ou 2021, selon l'association et OVH.

Cette révision se construit en parallèle d'autres projets, aussi destinés à revoir les « services d'annuaire de données d'enregistrement » (RDDS), correspondant aujourd'hui au « whois ». C'est par exemple le cas du RDAP, aussi candidat au remplacement du « whois », qui était censé être mis en place par les registres des nTLD en février 2017... même si cette obligation aurait été abandonnée depuis son annonce.

Une prise de conscience du caractère mondial de l'ICANN

Pour Pierre Bonis de l'Afnic, le RGPD amène l'ICANN à se rendre compte qu'elle est désormais une organisation internationale. Selon lui, ce ne serait pas tant le conseil d'administration de l'ICANN que sa communauté (encore très anglosaxonne) qui aurait mis du temps à prendre au sérieux ce sujet européen. 

« Les choses sont en train d’évoluer, puisque l’ICANN est désormais pleinement mobilisée sur le sujet, note Florent Gastaud d'OVH. Seule ombre au tableau : l’échéance du 25 mai approche dangereusement vite ! »

Avec ces délais, n'est-il donc pas trop tard pour les registres ? « Ceux qui voudront être prêts le 25 mai le seront. Si vous n'êtes pas capables d'anonymiser des données whois d'ici là, il faut changer de métier » lance le directeur général de l'Afnic. Il note tout de même que des mises en conformité de registres pourraient n'arriver techniquement que quelques mois plus tard, pour des raisons de calendrier ou budget.

Dans tous les cas, les sanctions rehaussées par le futur règlement sur les données personnelles, ainsi que l'insistance de l'Article 29, semblent avoir constitué un électrochoc au sein de l'organisation. Dans ce dossier, le « whois » constituerait même la partie émergée de l'iceberg pour les registres et registrars, qui travaillent souvent avec des centaines de partenaires mondiaux, dont ils doivent désormais s'assurer qu'ils respectent bien le consentement des internautes.

Contactée pour cet article, la CNIL n'a pas répondu à nos sollicitations. Des précisions demandées à l'Afnic et Gandi ne nous sont pas parvenues à temps pour publication.

34 commentaires
Avatar de Inny Abonné
Avatar de InnyInny- 18/01/18 à 17:24:54

Notre CNIL elle-même ne sera pas prête pour le 25 mai, cela dit. Il ne faudra pas s'attendre à des contrôles dès le lancement du RGPD.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 18/01/18 à 17:46:22

Je ne vois pas trop pourquoi tout le monde s'affole. :keskidit:

Les coordonnées du titulaire sont actuellement visibles dans le whois (pour ceux qui ne passent pas un tiers/mandataire). Ca poserait soudainement problème car l'ICANN est indépendante ? Avant c'était ok ?

Avatar de Stéphane Bortzmeyer Abonné
Avatar de Stéphane BortzmeyerStéphane Bortzmeyer- 18/01/18 à 17:49:20

Euh, non, rien à voir avec l'« indépendance » de l'ICANN. Les mouvements actuels sont plutôt dûs au RGPD comme bien expliqué dans l'article. (Notons qu'une partie des obligations du RGPD étaient déjà dans les lois nationales et directives  européennes précedentes. Le RGPD ne tombe pas du ciel !)

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 18/01/18 à 18:02:42

Déjà qu'on galère pour trouver des infos utiles (hébergement, responsable de publication) dans les mentions légales, si les whois sont purgés les bureaux d'enregistrement vont crouler sous les demandes d’identifications...

Édité par crocodudule le 18/01/2018 à 18:02
Avatar de Quiproquo Abonné
Avatar de QuiproquoQuiproquo- 18/01/18 à 18:03:51

Ça poserait soudainement problème car les sanctions se durcissent. Quand on passe des gros yeux à 4% du CA, ça peut piquer un peu.

Avatar de Stéphane Bortzmeyer Abonné
Avatar de Stéphane BortzmeyerStéphane Bortzmeyer- 18/01/18 à 18:15:32

Les informations actuelles sont souvent incorrectes parce que c'est la seule façon dont l·e·a titulaire d'un domaine dans les TLD ICANN peut protéger sa vie privée. Si elle ne sont plus distribuées aussi largement, les titulaires seront peut-être plus motivé·e·s pour donner des renseignements exacts.

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 18/01/18 à 18:23:55

Stéphane Bortzmeyer a écrit :

Les informations actuelles sont souvent incorrectes parce que c'est la seule façon dont l·e·a titulaire d'un domaine dans les TLD ICANN peut protéger sa vie privée. Si elle ne sont plus distribuées aussi largement, les titulaires seront peut-être plus motivé·e·s pour donner des renseignements exacts.

Mouai. En pratique, je me rabats sur le whois lorsque je ne trouve aucune mention sur le site, généralement si le type en est là c'est qu'il souhaite empêcher l'identification.

Après ca va pas changer grand chose, juste donner plus de boulot aux bureaux d'enregistrement, lesquels vont en revanche plus exposer leur responsabilité.

Cependant, je trouve qu'on se trompe de raisonnement: si quelqu'un entend monter un site c'est qu'il souhaite s'adresser au public, dans ce cas et comme l'exige la Loi de 1881 (et avec elle la LCEN), on doit pouvoir immédiatement identifier, l'intérêt d'empêcher un tel traitement de données s'il n'est pas croisé avec d'autres infos m'échappe totalement.

Après avoir avec le système du tiers de confiance. De mon expérience, le tiers de confiance canadien attend toujours de bien vouloir répondre à la Juge d'instruction depuis 2 ans ^^

Édité par crocodudule le 18/01/2018 à 18:27
Avatar de Wype INpactien
Avatar de WypeWype- 18/01/18 à 18:33:23

La dernière que j'ai eu le malheur de laisser mes coordonnées réelles danse whois, je me suis retrouvé spammer d'appels et emails publicitaires afin d'améliorer mon SEO et autres. Obligé d'utiliser l'option payante évidemment pour cacher ces données du publique.

Avatar de Gnppn Abonné
Avatar de GnppnGnppn- 18/01/18 à 18:51:04

Pour info, j'ai révisé la partie sur le remplacement à long terme du "whois", après un retour de Pierre Bonis. L'échéance officielle de février 2017 aurait été abandonnée, ce qui est désormais écrit, et l'articulation entre les projets a été clarifiée. Le passage sur le rôle de l'Article 29 dans la prise de conscience de l'ICANN a aussi été nuancée. :chinois:

Édité par Gnppn le 18/01/2018 à 18:52
Avatar de PtiDidi Abonné
Avatar de PtiDidiPtiDidi- 18/01/18 à 19:06:43

Voir le commentaire #8
Mettre de vrai info à dispo en publique, c'est s'exposer au spam.

Pourquoi as tu personnellement besoin d'identifier l'"éditeur" d'un site?
Le fait que les infos ne soient plus publiques n'empechera pas la police par exemple d'identifier l'éditeur

Il n'est plus possible de commenter cette actualité.
Page 1 / 4
  • Introduction
  • Sur la légalité du « whois » public, CNIL européennes et ICANN en désaccord
  • De la fiabilité des informations du « whois »
  • Un plan en trois étapes pour l'ICANN, d'abord une rustine
  • Une révision juridique puis un nouveau système
  • Une prise de conscience du caractère mondial de l'ICANN
S'abonner à partir de 3,75 €