Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

« Whois » : un brouillon de loi américaine pour raboter la protection du RGPD

We value your privacy
Internet 4 min
« Whois » : un brouillon de loi américaine pour raboter la protection du RGPD
Crédits : icannphotos (licence CC-BY-SA 2.0)

L'Internet Governance Project révèle le brouillon d'un projet de loi américain, poussé par des lobbies selon lui. Le texte obligerait l'Icann à collecter et publier les données des titulaires de noms de domaine. Or, le Règlement général sur la protection des données impose de les masquer par défaut lorsque le titulaire est résident européen.

Depuis la fin 2017, le RGPD met sens dessus-dessous l'Icann, l'organisation responsable des ressources mondiales du Net. Le « whois », l'annuaire public de certains noms de domaines (ceux liés aux gTLD, « .com », « .net » ou encore « .org ») enfreint le nouveau règlement, selon les Cnil européennes. En publiant par défaut les données des particuliers résidant en Europe, le « whois » n'obtient pas le consentement nécessaire à cette publication.

Avec des sanctions pouvant atteindre 4 % du chiffre d'affaires mondial, le coup de bâton peut être rude si des bureaux d'enregistrement diffusent les coordonnées de titulaires de noms de domaine sans leur accord explicite.

En urgence, l'Icann a proposé un modèle temporaire en janvier, finalisé en mai dans la précipitation (voir notre analyse). Il masque par défaut la plupart des données personnelles, adresse email comprise. Un choix qui déplait aux États, réunis au sein d'un comité consultatif (le Gac), qui tiennent à maintenir cette mine d'informations publique pour les forces de l'ordre ou les spécialistes du droit d'auteur ; que les internautes y consentent ou non.

Les États-Unis s'en étaient particulièrement offensés. Ils pourraient bien reprendre la main sur le dossier. L'Internet Governance Project, organe de l'université Georgia Tech, cité par Domain Incite, publie le brouillon d'une proposition de loi contredisant le RGPD, poussé par des « groupes d'intérêts ». Il imposerait aux bureaux d'enregistrement de reprendre la transmission des données à l'Icann, voire de les publier. Son nom : Transparent, Open and Secure Internet Act of 2018.

Deux pistes, dont une large

Le brouillon daté du 16 août présente deux pistes. Dans la première, considérée comme « large », « pour tout domaine qu'il administre, un bureau d'enregistrement, tout registre ou toute autorité doit publier dans un répertoire « whois » publiquement accessible » une longue liste d'informations... ressemblant à s'y méprendre aux données du « whois ». Coordonnées physiques et adresse email du titulaire comprises.

La seconde piste, qualifiée d'étroite, limite cette obligation de publication aux résidents américains ou aux acteurs visant une activité commerciale sur le marché américain.

Dans les deux cas, la loi autoriserait toujours ces acteurs à masquer ces données via des services dédiés (comme OwO d'OVH), avec quelques limites. L'offuscation serait seulement permise si le site ne concerne pas une activité commerciale, ne se finance pas via la publicité et n'envoie pas d'emails commerciaux.

Charge reviendrait à l'Agence de l'information et des télécommunications (NTIA), au sein du département du Commerce, de contrôler l'application du texte par les acteurs concernés, en priorité l'Icann. L'ensemble serait sous le contrôle de la Commission fédérale du commerce (FTC) et des États américains.

Si l'Icann s'est officiellement émancipée du contrôle américain en 2016, la NTIA dispose toujours d'un droit de regard sur son fonctionnement. L'indépendance de l'organisation californienne n'est valide que si le modèle multipartite (avec une responsabilité partagée entre États, secteur privé et société civile) est suffisamment bien appliqué aux yeux de l'agence.

Sujet chaud, chaud, chaud

Selon l'Internet Governance Project, le texte est poussé par des groupes d'intérêts. Sans les nommer, il les désigne comme « ceux qui tentent toujours de contrôler et réguler Internet, les maximalistes du droit d'auteur, big pharma et consorts ». L'IGP mentionne tout de même à deux reprises Domain Tools, une société de sécurité dont le modèle est fondé sur ces données publiques.

Le débat est, de toute manière, déjà vif au sein de l'Icann. Les défenseurs de la vie privée y affrontent des acteurs ayant intérêt à cette publicité des coordonnées d'internautes, des forces de l'ordre à des sociétés spécialisées dans la sécurité informatique.

L'avis des Cnil européennes (le G29) a fait pencher la balance du côté des premiers, avec la menace de sanctions. D'autant que le « whois » enfreindrait déjà une directive de 1996 sur la protection des données personnelles, ce que ces autorités avaient rappelé en 2003.

Ces derniers mois, l'Icann a repris par occasions le discours du Gac. L'organisation a même tenté de limiter les effets du règlement européen. En mai, elle a attaqué un registrar européen qui a cessé de lui livrer des données de clients, au titre du RGPD. Rapidement rembarrée par la justice allemande, elle cherche à obtenir l'avis de Cour de justice de l'Union européenne (CJUE), avec l'espoir d'une lecture plus favorable à la collecte de données.

Le 19 juillet, l'Icann a aussi lancé un processus de développement de politique accéléré (ePDP en anglais) pour obtenir un accord sur ces données d'enregistrement de noms de domaine en gTLD. La discussion est limitée aux représentants des principaux groupes de l'Icann (dont le GAC), sous la direction de la Generic Names Supporting Organization (GNSO).

Le but : aller vite, alors que le retard du secteur vis-à-vis du RGPD est criant. Peu avant l'entrée en application du règlement, certains des principaux bureaux d'enregistrement américains réclamaient six mois pour se mettre en conformité avec le modèle temporaire. En France, Gandi et OVH ont rapidement annoncé être dans les clous, en masquant les données liées aux gTLD et en limitant leur diffusion.

21 commentaires
Avatar de vizir67 Abonné
Avatar de vizir67vizir67- 30/08/18 à 13:54:08

... que les internautes y consentent ou non. !

"tiens, quelque-chose de nouveau" ! :francais:

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 30/08/18 à 14:11:43

L’affrontement de 2 lois extra territoriales?:transpi: Fight.

Avatar de Exagone313 Abonné
Avatar de Exagone313Exagone313- 30/08/18 à 14:20:38

Si ça ne concerne que les personnes physiques et morales qui résident aux États-Unis, ça ne me pose aucun souci :D

Avatar de Sans intérêt Abonné
Avatar de Sans intérêtSans intérêt- 30/08/18 à 14:34:28

L'argument des ayants droits et des forces de l'ordre est étonnant, compte tenu du compromis (?) envisagé : quel criminel ayant un minimum de jugeote enregistrerait sciemment son activité illégale avec ses coordonnées en clair ?

Du coup, si je comprends bien, il s'agit de tromper les criminels les moins malins ou les plus distraits dans l'espoir qu'ils fournissent des données en accès public ? Et tant pis si cela a pour conséquence des escroqueries à grande échelle telles les arnaques au renouvellement des noms de domaines, pour ne citer que la plus courante ?

Je peine à croire que les autorités de police aient besoin que les coordonnées des propriétaires des domaines aient besoin d'être publiques. J'ai plutôt l'impression que ce sont des experts en sécurité privés qui ont pris l'habitude de compter sur l'accès sans restriction à ces données qui s'agacent d'avoir plus de mal à mener des enquêtes privées, hors tout cadre légal.

Avatar de anagrys Abonné
Avatar de anagrysanagrys- 30/08/18 à 14:36:49

ce n'est pas l'usage aux États-Unis, ça sera plutôt un truc du genre : "si les données transitent par un serveur US, étant attendu qu'un serveur US est soit un serveur localisé sur le territoire des États-Unis, soit un serveur appartenant à une entreprise américaine, soit un serveur appartenant à un citoyen américain, alors elles doivent être publiées".
Bref, comme dit plus haut, un bel affrontement de 2 législations extra-territoriales antagonistes.

Avatar de Nerg34 Abonné
Avatar de Nerg34Nerg34- 30/08/18 à 14:37:56

Vu la culture américaine pour l'accumulation de données personnelles, cela n'a rien d'étonnant. Surtout avec un Président sans scrupule et méprisant le reste du Monde.

Vu les temps qui courent, y'a intérêt à retrouver une U.E. forte ou alors on va morfler...

Avatar de Trit’ Abonné
Avatar de Trit’Trit’- 30/08/18 à 14:43:52

On morfle déjà et à chaque fois que l’UE se trouve en désaccord avec les États-Unis, ça se finit toujours de la même manière : l’UE râle et dit qu’elle cédera pas dans un premier temps, mais elle finit très rapidement par s’écraser et obéir bien gentiment parce que, hé, elle pourra jamais se permettre de se mettre les USA à dos. Le cas des contrats iraniens l’a suffisamment bien démontré, et il en sera de même, cette fois-ci encore.

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 30/08/18 à 14:46:47

Je me demande pourquoi l'Europe n'impose pas les transactions en euro pour celle résidant sur son territoire.

Avatar de vizir67 Abonné
Avatar de vizir67vizir67- 30/08/18 à 15:10:38

en 1945 "on" a décidé que les échanges internationaux se feraient en Dollar
mais c'est vrai, il SERAIT, p'te temps, que ça change !
"Loi extraterritoriale" = rien que CE mot, heu.......
belle trouvaille en-tout-cas, pour nous..... (aïe) !!!

Avatar de Leum Abonné
Avatar de LeumLeum- 30/08/18 à 17:34:02

Puisque les USA n'en ont rien a cirer des limites territoriales et appliquent leur Loi ou bon leur semble, il serait temps que l'Europe leur inflige la même médecine.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3