L'Internet Governance Project révèle le brouillon d'un projet de loi américain, poussé par des lobbies selon lui. Le texte obligerait l'Icann à collecter et publier les données des titulaires de noms de domaine. Or, le Règlement général sur la protection des données impose de les masquer par défaut lorsque le titulaire est résident européen.
Depuis la fin 2017, le RGPD met sens dessus-dessous l'Icann, l'organisation responsable des ressources mondiales du Net. Le « whois », l'annuaire public de certains noms de domaines (ceux liés aux gTLD, « .com », « .net » ou encore « .org ») enfreint le nouveau règlement, selon les Cnil européennes. En publiant par défaut les données des particuliers résidant en Europe, le « whois » n'obtient pas le consentement nécessaire à cette publication.
Avec des sanctions pouvant atteindre 4 % du chiffre d'affaires mondial, le coup de bâton peut être rude si des bureaux d'enregistrement diffusent les coordonnées de titulaires de noms de domaine sans leur accord explicite.
En urgence, l'Icann a proposé un modèle temporaire en janvier, finalisé en mai dans la précipitation (voir notre analyse). Il masque par défaut la plupart des données personnelles, adresse email comprise. Un choix qui déplait aux États, réunis au sein d'un comité consultatif (le Gac), qui tiennent à maintenir cette mine d'informations publique pour les forces de l'ordre ou les spécialistes du droit d'auteur ; que les internautes y consentent ou non.
Les États-Unis s'en étaient particulièrement offensés. Ils pourraient bien reprendre la main sur le dossier. L'Internet Governance Project, organe de l'université Georgia Tech, cité par Domain Incite, publie le brouillon d'une proposition de loi contredisant le RGPD, poussé par des « groupes d'intérêts ». Il imposerait aux bureaux d'enregistrement de reprendre la transmission des données à l'Icann, voire de les publier. Son nom : Transparent, Open and Secure Internet Act of 2018.
Deux pistes, dont une large
Le brouillon daté du 16 août présente deux pistes. Dans la première, considérée comme « large », « pour tout domaine qu'il administre, un bureau d'enregistrement, tout registre ou toute autorité doit publier dans un répertoire « whois » publiquement accessible » une longue liste d'informations... ressemblant à s'y méprendre aux données du « whois ». Coordonnées physiques et adresse email du titulaire comprises.
La seconde piste, qualifiée d'étroite, limite cette obligation de publication aux résidents américains ou aux acteurs visant une activité commerciale sur le marché américain.
Dans les deux cas, la loi autoriserait toujours ces acteurs à masquer ces données via des services dédiés (comme OwO d'OVH), avec quelques limites. L'offuscation serait seulement permise si le site ne concerne pas une activité commerciale, ne se finance pas via la publicité et n'envoie pas d'emails commerciaux.
Charge reviendrait à l'Agence de l'information et des télécommunications (NTIA), au sein du département du Commerce, de contrôler l'application du texte par les acteurs concernés, en priorité l'Icann. L'ensemble serait sous le contrôle de la Commission fédérale du commerce (FTC) et des États américains.
Si l'Icann s'est officiellement émancipée du contrôle américain en 2016, la NTIA dispose toujours d'un droit de regard sur son fonctionnement. L'indépendance de l'organisation californienne n'est valide que si le modèle multipartite (avec une responsabilité partagée entre États, secteur privé et société civile) est suffisamment bien appliqué aux yeux de l'agence.
Sujet chaud, chaud, chaud
Selon l'Internet Governance Project, le texte est poussé par des groupes d'intérêts. Sans les nommer, il les désigne comme « ceux qui tentent toujours de contrôler et réguler Internet, les maximalistes du droit d'auteur, big pharma et consorts ». L'IGP mentionne tout de même à deux reprises Domain Tools, une société de sécurité dont le modèle est fondé sur ces données publiques.
Le débat est, de toute manière, déjà vif au sein de l'Icann. Les défenseurs de la vie privée y affrontent des acteurs ayant intérêt à cette publicité des coordonnées d'internautes, des forces de l'ordre à des sociétés spécialisées dans la sécurité informatique.
L'avis des Cnil européennes (le G29) a fait pencher la balance du côté des premiers, avec la menace de sanctions. D'autant que le « whois » enfreindrait déjà une directive de 1996 sur la protection des données personnelles, ce que ces autorités avaient rappelé en 2003.
Ces derniers mois, l'Icann a repris par occasions le discours du Gac. L'organisation a même tenté de limiter les effets du règlement européen. En mai, elle a attaqué un registrar européen qui a cessé de lui livrer des données de clients, au titre du RGPD. Rapidement rembarrée par la justice allemande, elle cherche à obtenir l'avis de Cour de justice de l'Union européenne (CJUE), avec l'espoir d'une lecture plus favorable à la collecte de données.
Le 19 juillet, l'Icann a aussi lancé un processus de développement de politique accéléré (ePDP en anglais) pour obtenir un accord sur ces données d'enregistrement de noms de domaine en gTLD. La discussion est limitée aux représentants des principaux groupes de l'Icann (dont le GAC), sous la direction de la Generic Names Supporting Organization (GNSO).
Le but : aller vite, alors que le retard du secteur vis-à-vis du RGPD est criant. Peu avant l'entrée en application du règlement, certains des principaux bureaux d'enregistrement américains réclamaient six mois pour se mettre en conformité avec le modèle temporaire. En France, Gandi et OVH ont rapidement annoncé être dans les clous, en masquant les données liées aux gTLD et en limitant leur diffusion.