Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Bruxelles réclame la réforme du « whois » pour protéger la vie privée des Européens

Vos papiers, s'il vous plaît
Internet 6 min
Bruxelles réclame la réforme du « whois » pour protéger la vie privée des Européens
Crédits : code6d/iStock

Trois commissaires européens soutiennent les travaux de l'ICANN, qui gère les ressources mondiales du Net, dans sa révision de l'annuaire des noms de domaine à extensions génériques. Ils prônent un accès contrôlé aux données de leurs titulaires, réclamé par les CNIL européennes depuis 15 ans, sans succès jusqu'à l'arrivée du RGPD.

L'Union européenne continue de s'inquiéter de l'annuaire des noms de domaine, le « whois », après le 25 mai. C'est à ce moment que s'appliquera le Règlement général sur la protection des données (RGPD), qui renforcera les obligations et sanctions dans le traitement des informations des Européens.

Dans une lettre datée du 29 janvier adressée à l'ICANN, Dimítris Avramópoulos (commissaire européen aux Affaires intérieures), Věra Jourová (commissaire européenne à la Justice) et Julian King (commissaire pour l'Union de la sécurité) s'inquiètent ouvertement du « whois » actuel des extensions génériques (« .com, » « .net », « .org »...). La missive suit un échange entre l'Article 29, qui regroupe les CNIL européennes, et le président de l'organisation, Göran Marby.

Comme nous l'expliquions, les cerbères européens des données personnelles demandent à rendre privées les informations actuellement fournies par le « whois » de ces noms de domaine. Ils estiment que leur publication systématique ne découle pas d'un consentement libre, étant obligatoire pour obtenir un des noms de domaine concernés.

Via leur lettre, les trois commissaires demandent une articulation entre la conformité au futur règlement européen et l'accès aux données par les forces de l'ordre. Bien entendu, ils ont quelques pistes en tête. 

Les travaux de l'ICANN adoubés par la Commission européenne

Les représentants européens rappellent l'intérêt du « whois » pour les enquêtes, le respect du droit d'auteur ou la lutte contre les cyberattaques. Pour eux, ces utilisations doivent perdurer, mais pas de manière publique. Ils félicitent les travaux de ces derniers mois au sein de l'ICANN, qui promet aux registres une dérogation s'ils doivent respecter le RGPD.

Ils félicitent les trois propositions de modèles temporaires pour le « whois » destinées à restreindre la quantité de données publiques des noms de domaine à extension générique. Elles diffèrent sur les informations publiées et celles à l'accès restreint, délivrées soit par (auto-)certification, soit uniquement sur mandat. À plus long terme, le « whois » devra être remplacé dans quelques années.

Bruxelles rappelle également les six principes qui guident les traitements de données : le concept de données personnelles, la limitation du traitement aux fins nécessaires, une base légale solide, la minimisation des données, leur précision et la rétention limitée de ces informations. Autant de points qui ne seraient pas encore respectés via le « whois », comme le martèlent les CNIL européennes depuis déjà 2003.

La question de l'intérêt général est centrale, car c'est elle qui pourrait justifier de laisser publiques les coordonnées des titulaires de noms de domaine. Sur ce point, les CNIL européennes nient cet intérêt général pour le « whois » : même si ces données peuvent servir aux forces de l'ordre, ce n'est pas l'objet premier de leur publication.

Pire : le fait que ces informations soient à la vue de tous encourage leur falsification, pensent les autorités de protection des données personnelles. Un point de vue rejoint par celui de l'Afnic, l'association responsable du « .fr », et par une étude de l'ICANN en 2016.

Pourtant, une analyse juridique commandée par l'organisation américaine estimait que la publicité des informations personnelles du « whois » répond à l'intérêt général, donc peut perdurer ainsi. Malgré tout, le cabinet Hamilton notait qu'il vaut mieux suivre l'avis préliminaire des CNIL européennes, au risque d'une déconvenue le 25 mai prochain. D'où l'élaboration en urgence d'une réforme du « whois » à appliquer d'ici mai.

Bruxelles demande une approche « pragmatique » sur l'accès aux données

Pour réclamer le respect du RGPD, les commissaires déclarent que « les règles européennes de protection des données ne diffèrent pas d'autres obligations légales que les parties prenantes du « whois » doivent respecter dans l'UE ou ailleurs ». Les principes du RGPD existent déjà depuis une directive de 1996, soigneusement oubliée par l'ICANN malgré les nombreux rappels des CNIL, faute de pression politiques (et de sanctions) suffisantes sur le marché.

Pour Bruxelles, « le RGPD n'ajoute pas de poids supplémentaire pour les opérateurs commerciaux, mais facilite leur application en les harmonisant ».

La lettre prône une approche « pragmatique » dans la livraison de ces données, en contraste avec un manichéisme consistant à les afficher ou les masquer pour tous. Elle invite aussi les entreprises concernées à adopter un code de conduite, pour prouver leur conformité avec le futur règlement.

Des pistes de travail offertes à l'ICANN

Selon la Commission, l'organisation responsable des ressources mondiales du Net doit se concentrer sur plusieurs critères pour décider de son futur modèle.

Elle est censée :

  • identifier précisément les « données personnelles » ;
  • déclarer de manière transparente les différents traitements de ces informations (y compris celles liées aux politiques publiques) et lister les données exactes requises pour les bureaux d'enregistrement ;
  • trier avec prudence les données à laisser publiques et celles dont l'accès doit être restreint ;
  • poser des garde-fous suffisants dans l'accès aux données restreintes, par exemple poser « une limite au nombre d'entrées consultables sur une période donnée », en tenant compte des besoins des forces de l'ordre ;
  • dans ce système « restreint », s'assurer que l'accréditation respecte le secret des correspondances et (encore) les besoins des forces de l'ordre ;
  • respecter les lois nationales en matière d'accès aux données par les forces de l'ordre, qui ne sont pas régies par le RGPD.

Si la tâche semble immense, elle n'est pas inédite. Des extensions de noms de domaine répondent déjà à ces obligations. La semaine dernière, Pierre Bonis de l'Afnic nous rappelait son fonctionnement depuis une décennie, à savoir des informations des particuliers masquées du public pour le « .fr », mais accessibles suite à toute demande jugée légitime.

L'EFF réclame un modèle d'accès contrôlé aux données « whois »

Le 26 janvier, c'était l'Electronic Frontier Foundation (EFF) qui se demandait si « le ciel nous tombe sur la tête » avec cette révision en profondeur du « whois ». L'organisation estime que les registres et bureaux d'enregistrements font partie des acteurs qui protègent aujourd'hui mal les données personnelles des internautes européens.

L'EFF alerte face aux velléités de représentants de forces de l'ordre au sein de la communauté composant l'ICANN, qui réclament le maintien de cet annuaire mondial aux yeux de tous. La fondation estime cette demande hypocrite, des extensions proposant déjà un modèle avec accès restreint à certaines coordonnées. La direction de l'organisation ne semble plus l'écouter pour le moment, en témoigne ses propositions de restreindre l'accès à certaines coordonnées.

« Il est meilleur pour nous tous de créer et soutenir des méthodes d'enquête acceptant ce modèle d'enregistrement privé de noms de domaine, que d'exposer l'ICANN ou ses contradicteurs à la responsabilité de décider ce qu'ils devraient faire si, par exemple, la branche de cybersécurité d'un État oppressif commence à chercher les données d'enregistrement de dissidents » lance-t-elle.

17 commentaires
Avatar de Stel INpactien
Avatar de StelStel- 30/01/18 à 10:26:38

C'est pas trop tôt....

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 30/01/18 à 10:50:31

Ça évitera les spams et arnaques aux renouvellement de noms de domaine

Avatar de Plastivore Abonné
Avatar de PlastivorePlastivore- 30/01/18 à 10:53:41

Et c'est pourquoi certains services s'occupent d'obfusquer ces informations. Par exemple, OVH permet d'utiliser leur adresse et numéro de téléphone, en plus d'utiliser une adresse email générée à la volée. Par contre, si la police vient frapper à leur porte, ils donneront mes coordonnées.

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 30/01/18 à 11:18:23

Tant mieux s'ils y arrivent. Certains font payer l'option de l'anonymisation, c'est délirant... Alors que c'est le seul moyen d'éviter le spam !

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 30/01/18 à 11:58:23

"les données d'enregistrement de dissidents" si elles sont apparentes c'est que le dissident il est déjà mal barré, on utilise le système de tiers de confiance dans un tel cas (ou on met des infos bidons comme dans les 3/4 des whois ...).

 

Avatar de jul INpactien
Avatar de juljul- 30/01/18 à 12:22:35

Pareil, j'utilise un système d'anonymat (gratuit) pour mes domaines. C'est fou cet annuaire géant et gratuit.

Avatar de Estya Abonné
Avatar de EstyaEstya- 30/01/18 à 12:30:32

les soluces d'anonymisation (que j'utilise avec Gandi pour un .fr) fonctionnent aussi pour les pros ou seulement quand c'est du pas pro ?

Avatar de Trog Abonné
Avatar de TrogTrog- 30/01/18 à 12:40:42

Estya a écrit :

les soluces d'anonymisation (que j'utilise avec Gandi pour un .fr) fonctionnent aussi pour les pros ou seulement quand c'est du pas pro ?

Les deux

Avatar de kervern INpactien
Avatar de kervernkervern- 30/01/18 à 14:47:17

moi ct carément par courrier postale ! venant de jamaiques, a payer en angleterre !
truc de ouf, quand je me suis apercu, que tout été dispo sur le WHOIS ! et mon hebergeur les a mis a son noms !

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 30/01/18 à 16:53:21

kervern a écrit :

moi ct carément par courrier postale ! venant de jamaiques, a payer en angleterre !
truc de ouf, quand je me suis apercu, que tout été dispo sur le WHOIS ! et mon hebergeur les a mis a son noms !

Oui, déjà reçu aussi…

 Pas plus tard qu'avant-hier, j'ai fait la boulette de prendre un NDD et de ne pas activer OwO de suite et je reçois plein de m****, déprimant…

Il n'est plus possible de commenter cette actualité.
Page 1 / 2