Les CNIL européennes s'inquiètent de la publication automatique des coordonnées des titulaires de noms de domaine via le « whois ». Elles pointent l'urgence du futur règlement européen, qui renforcera les sanctions dans quelques mois. En réponse, l'ICANN prend des mesures d'urgence, dont nous discutons avec l'Afnic, Gandi et OVH.
Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) posera que toute collecte et traitement de données personnelles d'Européens suive un accord explicite et libre.
Ce chantier, qui mène nombre d'entreprises à une course contre la montre, pose un problème particulier au monde des noms de domaine. Le sujet est tel qu'il fait l'objet d'une importante correspondance entre les CNIL européennes (regroupées dans l'Article 29) et l'ICANN, l'organisme qui gère les ressources du Net au niveau mondial.
Dans une lettre du 6 décembre, Isabelle Falque-Pierrotin, présidente de la CNIL et du groupe européen, s'inquiète ainsi de la publication automatique et sans consentement explicite des coordonnées des titulaires de noms de domaine aux extensions génériques (gTLD). Soit celles maintenues par l'ICANN, comme les « .com », « .org » ou « .net ». Le 15 janvier, Göran Marby, le président de l'organisation, répond en faisant état des projets en cours pour réformer le « whois », le protocole historique qui sert d'annuaire des titulaires de noms de domaine.
Ces derniers mois, c'est le branle-bas de combat au sein de la communauté de l'ICANN, qui n'aurait mesuré que tardivement l'ampleur du sujet. Émancipée en octobre 2016 de la tutelle américaine, elle aurait encore des difficultés à concevoir qu'une législation européenne puisse l'affecter.
Le sujet n'est pourtant pas nouveau : depuis 2003, les CNIL européennes pointent les manquements du « whois » face au droit européen, qui impose un consentement explicite depuis une directive de 1995, tout comme la loi française depuis 1978.
« Ce qui change avec le RGPD, c'est le montant des sanctions » pointe Pierre Bonis, directeur général de l'Afnic, l'association qui gère le « .fr ». Face à une addition qui peut désormais atteindre 4 % du chiffre d'affaires mondial en Europe, l'industrie du nom de domaine prend désormais la question bien plus au sérieux.
Sur la légalité du « whois » public, CNIL européennes et ICANN en désaccord
Le « whois » contient donc les coordonnées du titulaire d'un nom de domaine, en principe pour le contact administratif et technique. Le registre du nom de domaine (comme l'Afnic pour le « .fr ») tient un annuaire, alimenté par les bureaux d'enregistrement (dits « registrars », comme OVH ou Gandi) auxquels les internautes louent leurs noms de domaine, comme nextinpact.com.
Tel qu'utilisé pour les extensions génériques, les plus répandues, le système mène à la publication par défaut de ces informations. Il y aurait plusieurs raisons à cela, selon Pierre Bonis, en premier lieu l'idéal historique de transparence d'Internet. « Ça convient quand nous sommes quatre sur le réseau, pas quatre milliards » estime-t-il.
Depuis, le « whois » est devenu un standard utilisé à la fois par les techniciens, par les forces de l'ordre dans le cadre d'enquêtes et par une industrie exploitant commercialement ces données... « au modèle économique pas forcément moral » selon le directeur général de l'Afnic. Cette dernière aurait bien voix au chapitre à l'ICANN, limitant les évolutions sur le sujet.
La question est donc de savoir si l'internaute livre un consentement explicite et libre à cette publication, voire à ses utilisations ultérieures. Le point d'accroche concerne l'obligation de livrer ces informations pour disposer d'un nom de domaine, sans que le titulaire d'un nom de domaine ne soit forcément informé.
Selon l'Article 29, dans sa lettre du 6 décembre, cette « publication illimitée des données personnelles de titulaires de noms de domaine soulève de sérieuses préoccupations légales ». Pour les CNIL européennes, le consentement à la publication n'est pas libre, vu qu'imposé pour obtenir le nom de domaine. Aussi, l'internaute ne signe aucun contrat direct avec l'ICANN (qui publie le « whois »), en principe nécessaire à l'exploitation des données. Enfin, il n'y aurait « pas d'intérêt légitime » à publier ces données, même dans le cas où elles peuvent servir aux forces de l'ordre, vu que ce n'est pas leur objet explicite.
Cette vision tranche avec celle de l'ICANN. Le 21 décembre, l'organisation a publié une analyse juridique du cabinet d'avocats européen Hamilton, qui estime que publier ces données contribue à l'intérêt général. Donc que le système actuel peut perdurer, en principe. Pourtant, il recommande de tenir compte de l'interprétation qu'en livreront les autorités de protection des données (les CNIL européennes). Pour le cabinet, il serait en pratique imprudent de laisser le système tel quel quand l'Article 29 le suppose déjà contraire au RGPD.
Isabelle Falque-Pierrotin, présidente de la CNIL et du groupe de l'Article 29
De la fiabilité des informations du « whois »
Depuis 2006, les autorités européennes réclament une évolution du protocole. En 2012, elles détaillaient une raison dans un courrier au vitriol (PDF) : « la conception du système incite fortement les particuliers à fournir de fausses coordonnées. Malheureusement, l'ICANN a décidé de ne pas travailler sur des modèles d'accès stratifié, comme le modèle OPoC proposé à plusieurs reprises par [l'Article 29] ».
Le modèle OPoC, soit « point de contact opérationnel », était discuté officiellement au sein de l'ICANN depuis 2005 (PDF). L'idée : supprimer l'adresse personnelle et celle administrative, pour les remplacer par une adresse de contact, qui ne révélerait pas ces coordonnées au tout venant. Le concept a été effectivement abandonnée en 2012, suite à des craintes de fournisseurs d'accès.
Depuis, l'ICANN a elle-même constaté le problème de véracité du « whois ». En 2016, une étude officielle de l'organisation suggérait que plus d'un tiers des coordonnées fournies dans les « whois » étaient injoignables. « Des forces de l'ordre déclarent qu'elles ont besoin d'informations whois publiques pour traquer les criminels. Mais les personnes derrière des sites frauduleux ne mettront pas leurs informations ! » lance Pierre Bonis de l'Afnic.
Surtout, cacher au public les informations n'empêcherait pas leur partage. Depuis 2006, le « .fr » est ouvert aux particuliers, et l'Afnic masque les coordonnées des titulaires. Elles sont pourtant bien fournies aux forces de l'ordre, aux ayants droit ou à une personne avec une demande légitime (comme l'usurpation d'identité ou la diffamation).
Depuis plusieurs années, OVH fournit le service gratuit OWO, qui permet de masquer les données personnelles du titulaire d'un nom de domaine, pour de nombreuses extensions. L'entreprise a aussi ouvert une brèche auprès de l'ICANN.
« Fin 2013, et au risque de ne pas pouvoir commercialiser de nouvelles extensions, OVH avait fait état à l’ICANN de l’incompatibilité entre ses contrats d’accréditation et les règles européennes en matière de protection des données à caractère personnel » nous déclare Florent Gastaud, le responsable des données personnelles (DPO) d'OVH.
Le sujet : la durée de rétention des données « whois », sur laquelle les CNIL européennes sont particulièrement chatouilleuses. En 2012, elles ont taclé l'ICANN pour une obligation de rétention des coordonnées après la mort d'un nom de domaine, sur demande des forces de l'ordre. Pour l'Article 29, une telle décision n'appartient pas à un organisme privé, mais à un État.
Un plan en trois étapes pour l'ICANN, d'abord une rustine
L'articulation du « whois » avec le droit européen a longtemps été une question secondaire à l'ICANN. En janvier 2016, un groupe de travail a été lancé pour remplacer le « whois ». Pourtant, la question ne serait prise au sérieux que depuis quelques mois, selon l'Afnic. Cela notamment à cause d'analyses d'autorités de protection des données, transmises au dernier trimestre 2017, puis de l'insistance de leur groupe (l'Article 29) en décembre. Pour Florent Gastaud, cet engagement collectif « a dû contribuer, parmi d’autres, à une certaine forme de prise de conscience », qui resterait encore floue.
Le problème du « whois » public pour les gTLD est avant tout juridique. La question première est celle des contrats entre l'ICANN et les registres, qui gèrent au quotidien les noms de domaine. Plusieurs clauses, principalement celle sur la publication des données du « whois », seraient sur la sellette. Mais le temps presse.
Comment donc un registre pourrait-il se conformer au RGPD, quand la révision du contrat avec l'ICANN peut prendre des mois ? Simple : en dérogeant au contrat en question. C'est la rustine que propose l'organisation, suite à sa dernière réunion mondiale, l'ICANN 60 à Abu Dhabi fin octobre... où le RGPD était sur toutes les lèvres, selon une spécialiste du domaine.
Dans un long communiqué du 2 novembre, l'organisation éteint les flammes apparues à la conférence. « Durant cette période d'incertitude [jusqu'au verdict des CNIL sur la légalité du « whois »], et sous conditions, l'ICANN reportera toute action contre un registre ou registrar qui ne se conformerait pas à ses obligations contractuelles en matière de données d'enregistrement », après lui avoir détaillé ses intentions, soumises à une analyse juridique. Les registres ont donc les mains plus libres face à elle.
Une bonne nouvelle, selon Pierre Bonis de l'Afnic : avant ces événements, des « juristes anglosaxons fous » au sein de l'ICANN réclamaient une preuve de condamnation au titre du RGPD avant de fournir une éventuelle dérogation au contrat.
Une révision juridique puis un nouveau système
Et après ? « Il semblerait que [l'organisation] s'oriente vers une publication beaucoup plus restreinte lorsqu'il s'agit de données de personnes physiques, ce qui est en accord avec l'éthique Gandi », nous répond le bureau d'enregistrement.
Le 12 janvier, l'ICANN a publié trois propositions de modèles temporaires pour la publication des données « whois ». Elles ont été élaborées suite à l'analyse juridique du cabinet d'avocats Hamilton, celle conclue le 21 décembre. Les trois répondent au même principe : restreindre l'accès à certaines informations (principalement l'adresse e-mail et le numéro de téléphone des particuliers), réservées à des tiers de confiance, soit auto-certifiés, validés formellement, ou en possession d'une assignation en bonne et due forme.
En somme, une forme de livraison stratifiée des données personnelles, dans la veine de celle réclamée depuis 12 ans par les CNIL européennes.
L'un de ces trois modèles, après consultation publique, est destiné à être appliqué dès le 25 mai. Son application sera-t-elle nécessaire pour obtenir une dérogation au contrat de l'ICANN ? « Si l'ICANN conditionne la signature d'un waiver à la mise en place d'un nouveau modèle, il y aura un problème » pense l'Afnic.
Dans sa réponse du 15 janvier aux CNIL, l'ICANN précise que ce modèle temporaire ne remplacera pas le travail sur un nouveau cadre juridique et technique, à plus long terme ; celui initié en janvier 2016. Il doit répondre de manière bien plus sûre aux questions juridiques que posent les lois sur la protection des données, tout en répondant à des problèmes plus larges, comme l'exactitude et l'utilisation de ces informations.
Ce RDS (pour Registration Directory Services) devrait à terme remplacer le « whois », mais le chemin est encore long. Pour l'Afnic, il ne devrait pas être mis en place avant la future fournée de nouvelles extensions de noms de domaine (nTLD), qui pourrait elle-même attendre 2020 ou 2021, selon l'association et OVH.
Cette révision se construit en parallèle d'autres projets, aussi destinés à revoir les « services d'annuaire de données d'enregistrement » (RDDS), correspondant aujourd'hui au « whois ». C'est par exemple le cas du RDAP, aussi candidat au remplacement du « whois », qui était censé être mis en place par les registres des nTLD en février 2017... même si cette obligation aurait été abandonnée depuis son annonce.
Une prise de conscience du caractère mondial de l'ICANN
Pour Pierre Bonis de l'Afnic, le RGPD amène l'ICANN à se rendre compte qu'elle est désormais une organisation internationale. Selon lui, ce ne serait pas tant le conseil d'administration de l'ICANN que sa communauté (encore très anglosaxonne) qui aurait mis du temps à prendre au sérieux ce sujet européen.
« Les choses sont en train d’évoluer, puisque l’ICANN est désormais pleinement mobilisée sur le sujet, note Florent Gastaud d'OVH. Seule ombre au tableau : l’échéance du 25 mai approche dangereusement vite ! »
Avec ces délais, n'est-il donc pas trop tard pour les registres ? « Ceux qui voudront être prêts le 25 mai le seront. Si vous n'êtes pas capables d'anonymiser des données whois d'ici là, il faut changer de métier » lance le directeur général de l'Afnic. Il note tout de même que des mises en conformité de registres pourraient n'arriver techniquement que quelques mois plus tard, pour des raisons de calendrier ou budget.
Dans tous les cas, les sanctions rehaussées par le futur règlement sur les données personnelles, ainsi que l'insistance de l'Article 29, semblent avoir constitué un électrochoc au sein de l'organisation. Dans ce dossier, le « whois » constituerait même la partie émergée de l'iceberg pour les registres et registrars, qui travaillent souvent avec des centaines de partenaires mondiaux, dont ils doivent désormais s'assurer qu'ils respectent bien le consentement des internautes.
Contactée pour cet article, la CNIL n'a pas répondu à nos sollicitations. Des précisions demandées à l'Afnic et Gandi ne nous sont pas parvenues à temps pour publication.