Le 25 mai, la protection des données personnelles passera à un niveau supérieur en Europe. Pourtant, la mise en conformité du « whois », l'annuaire des titulaires de noms de domaine, piétine toujours. Derrière la volonté d'une issue rapide se cachent toujours d'importantes divergences entre États, organisations et autorités communautaires.
Depuis novembre, l'organisme en charge des ressources mondiales d'Internet, l'ICANN, prépare la réforme du « whois », la base de coordonnées des titulaires de noms de domaine (voir notre analyse).
Le problème est simple : le Règlement général sur la protection des données (RGPD), qui s'applique en UE le 25 mai, exige que toute collecte ou traitement d'informations personnelles soit consentie ou justifiée. Or, la publication par défaut des coordonnées des titulaires de noms de domaine à extension générique (« .com », « .net », « .org »...), de loin les plus nombreux, est imposée aux internautes. Il faut corriger le tir.
Ces deux dernières semaines, les échanges se sont intensifiés entre la direction de l'ICANN (via son président Göran Marby), le comité consultatif des gouvernements (GAC), où siègent les États, et certaines autorités européennes de protection des données (les homologues de la CNIL). À une semaine de l'application du RGPD, la panique transparaît toujours dans certains courriers.
Des sociétés (dont Cloudflare) demandent au moins six mois de délai
Depuis janvier, l'organisation tente de concilier la protection des données et les exigences de certains États, qui veulent maintenir ces informations publiques, officiellement pour les forces de l'ordre. L'ICANN doit aussi rassurer les bureaux d'enregistrement, qui peuvent être attaqués à partir du 25 mai sur la base du RGPD.
L'ICANN a ainsi réclamé un moratoire sur les sanctions des CNIL européennes, le temps de se conformer au règlement. Pour mémoire, le texte a été arrêté il y a deux ans, avec un important délai pour adapter les services en ligne. De nombreuses entreprises sont pourtant en plein « rush » pour se conformer. Concernant le « whois », les autorités européennes de protection des données alertent l'ICANN depuis 2003 : son système ne respecte pas le droit communautaire, depuis une directive de... 1996.
Pour apaiser les bureaux d'enregistrements, l'organisation mondiale a promis de ne pas sanctionner ceux qui devront déroger à leur contrat ICANN pour respecter le RGPD. Dans une lettre du 16 mai (PDF), huit sociétés (dont 1&1, Cloudflare et GoDaddy) demandent un délai d'au moins six mois pour respecter la réforme du « whois » qu'exige l'ICANN. « Toute spécification temporaire adoptée aujourd'hui déviant fortement des attentes et modèles prévus jusqu'ici arrivera bien trop tard pour être implémentée le 25 mai » estiment-elles.
De quoi parlent-elles ? Des spécifications pour la mise en conformité, publiées le 14 mai, à la peinture très fraiche et encore soumises à changements. Le terrain reste donc glissant pour ceux qui devront mettre en place la réforme du « whois », sur le modèle choisi par l'ICANN, dont l'optimisme le pousse à croire que les bureaux d'enregistrement pourraient être prêts le 25 mai.
Un accès aux données qui inquiète toujours
Justement, ce modèle pour faire rentrer au chausse-pied les exigences du RGPD dans le « whois » a mis beaucoup de temps à émerger. Après des alertes européennes en novembre, l'organisation a proposé trois modèles à la mi-janvier, avant de choisir le plus protecteur de la vie privée (et contraignant) début mars.
Ce « Cookbook » consiste à masquer la plupart des données personnelles quand un nom de domaine est enregistré par un particulier (voir notre analyse). Ce que pratiquent déjà certaines extensions, comme le « .fr ». Une adresse e-mail anonymisée restera en ligne, pour contacter le responsable du site. Pour accéder à ces données cachées, les requérants (comme les forces de l'ordre) devront obtenir une accréditation officielle, dont les modalités sont encore à trouver.
Ce modèle est considéré comme une entrave aux enquêtes, selon la Commission européenne, qui l'estime bien trop lourd. Au sein du GAC, les États pestent contre cette décision, semble-t-il sous l'impulsion de leurs forces de l'ordre, vent debout contre la perte de cette base de données (aux données pourtant peu fiables).
La position des gouvernements est l'un des principaux nœuds de la réforme du « whois ». D'un côté, ils veulent une mise en conformité rapide avec le RGPD. De l'autre, ils réclament que l'adresse e-mail de chaque titulaire de nom de domaine à extension générique reste publique ; quand bien même l'information est sensible.
Cette position, défendue dans une longue réponse mi-mars, est au centre de désaccords récents avec la direction de l'ICANN. Le GAC demande le respect de ses volontés (maintenir tant que possible les coordonnées des particuliers publiques), en offrant une porte de sortie via un modèle « ultime » pour le « whois » prévu d'ici un an. Réponse de l'organisation, après plusieurs échanges : il n'est pas question de respecter neuf des dix « conseils » du GAC.
De la friture sur la ligne entre ICANN et CNIL européennes
Pourtant, dans un communiqué, l'ICANN avait lui-même repris l'argument de l'accès aux données par les forces de l'ordre, au grand dam du G29, qui regroupe les CNIL européennes. Celles-ci ont menacé à mots couverts l'ICANN, pour le décourager de reprendre si facilement le discours du GAC.
La communication passe mal entre les autorités de protection des données et l'organisme mondial. Ces derniers mois, de nombreux échanges ont montré des incompréhensions mutuelles, entre la rigueur des CNIL et l'urgence de l'ICANN pour rattraper le temps perdu. Quand cette dernière réclame un délai, le G29 l'a tancé pour le grand flou de son modèle, qui justifie à peine chaque traitement, ce qui est pourtant le cœur du RGPD.
Les spécifications publiées le 14 mai sont censées mettre tout le monde d'accord, mais rien n'est encore arrêté. À une semaine de l'application du RGPD, aucun document final n'a été mis en ligne.
Malgré les grands débats qu'elle cause, cette première réforme du « whois » n'est qu'une rustine temporaire. D'ici quelques années, ce système doit être remplacé par une autre plateforme technique et juridique. Selon plusieurs spécialistes, elle ne pourrait arriver qu'après une nouvelle vague d'extensions de noms de domaine, prévue pour 2020 ou 2021.