Avec le RGPD, la fin annoncée d'une partie de l'annuaire public des noms de domaine

Avec le RGPD, la fin annoncée d’une partie de l’annuaire public des noms de domaine

Coucou c'est la CNIL

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

18/01/2018 12 minutes
34

Avec le RGPD, la fin annoncée d'une partie de l'annuaire public des noms de domaine

Les CNIL européennes s'inquiètent de la publication automatique des coordonnées des titulaires de noms de domaine via le « whois ». Elles pointent l'urgence du futur règlement européen, qui renforcera les sanctions dans quelques mois. En réponse, l'ICANN prend des mesures d'urgence, dont nous discutons avec l'Afnic, Gandi et OVH.

Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) posera que toute collecte et traitement de données personnelles d'Européens suive un accord explicite et libre.

Ce chantier, qui mène nombre d'entreprises à une course contre la montre, pose un problème particulier au monde des noms de domaine. Le sujet est tel qu'il fait l'objet d'une importante correspondance entre les CNIL européennes (regroupées dans l'Article 29) et l'ICANN, l'organisme qui gère les ressources du Net au niveau mondial.

Dans une lettre du 6 décembre, Isabelle Falque-Pierrotin, présidente de la CNIL et du groupe européen, s'inquiète ainsi de la publication automatique et sans consentement explicite des coordonnées des titulaires de noms de domaine aux extensions génériques (gTLD). Soit celles maintenues par l'ICANN, comme les « .com », « .org » ou « .net ». Le 15 janvier, Göran Marby, le président de l'organisation, répond en faisant état des projets en cours pour réformer le « whois », le protocole historique qui sert d'annuaire des titulaires de noms de domaine.

Ces derniers mois, c'est le branle-bas de combat au sein de la communauté de l'ICANN, qui n'aurait mesuré que tardivement l'ampleur du sujet. Émancipée en octobre 2016 de la tutelle américaine, elle aurait encore des difficultés à concevoir qu'une législation européenne puisse l'affecter.

Le sujet n'est pourtant pas nouveau : depuis 2003, les CNIL européennes pointent les manquements du « whois » face au droit européen, qui impose un consentement explicite depuis une directive de 1995, tout comme la loi française depuis 1978.

« Ce qui change avec le RGPD, c'est le montant des sanctions » pointe Pierre Bonis, directeur général de l'Afnic, l'association qui gère le « .fr ». Face à une addition qui peut désormais atteindre 4 % du chiffre d'affaires mondial en Europe, l'industrie du nom de domaine prend désormais la question bien plus au sérieux.

Sur la légalité du « whois » public, CNIL européennes et ICANN en désaccord

Le « whois » contient donc les coordonnées du titulaire d'un nom de domaine, en principe pour le contact administratif et technique. Le registre du nom de domaine (comme l'Afnic pour le « .fr ») tient un annuaire, alimenté par les bureaux d'enregistrement (dits « registrars », comme OVH ou Gandi) auxquels les internautes louent leurs noms de domaine, comme nextinpact.com.

Tel qu'utilisé pour les extensions génériques, les plus répandues, le système mène à la publication par défaut de ces informations. Il y aurait plusieurs raisons à cela, selon Pierre Bonis, en premier lieu l'idéal historique de transparence d'Internet. « Ça convient quand nous sommes quatre sur le réseau, pas quatre milliards » estime-t-il.

Depuis, le « whois » est devenu un standard utilisé à la fois par les techniciens, par les forces de l'ordre dans le cadre d'enquêtes et par une industrie exploitant commercialement ces données... « au modèle économique pas forcément moral » selon le directeur général de l'Afnic. Cette dernière aurait bien voix au chapitre à l'ICANN, limitant les évolutions sur le sujet.

La question est donc de savoir si l'internaute livre un consentement explicite et libre à cette publication, voire à ses utilisations ultérieures. Le point d'accroche concerne l'obligation de livrer ces informations pour disposer d'un nom de domaine, sans que le titulaire d'un nom de domaine ne soit forcément informé.

Selon l'Article 29, dans sa lettre du 6 décembre, cette « publication illimitée des données personnelles de titulaires de noms de domaine soulève de sérieuses préoccupations légales ». Pour les CNIL européennes, le consentement à la publication n'est pas libre, vu qu'imposé pour obtenir le nom de domaine. Aussi, l'internaute ne signe aucun contrat direct avec l'ICANN (qui publie le « whois »), en principe nécessaire à l'exploitation des données. Enfin, il n'y aurait « pas d'intérêt légitime » à publier ces données, même dans le cas où elles peuvent servir aux forces de l'ordre, vu que ce n'est pas leur objet explicite.

Cette vision tranche avec celle de l'ICANN. Le 21 décembre, l'organisation a publié une analyse juridique du cabinet d'avocats européen Hamilton, qui estime que publier ces données contribue à l'intérêt général. Donc que le système actuel peut perdurer, en principe. Pourtant, il recommande de tenir compte de l'interprétation qu'en livreront les autorités de protection des données (les CNIL européennes). Pour le cabinet, il serait en pratique imprudent de laisser le système tel quel quand l'Article 29 le suppose déjà contraire au RGPD.

CNIL bilan 2015 Isabelle Falque-Pierrotin
Isabelle Falque-Pierrotin, présidente de la CNIL et du groupe de l'Article 29

De la fiabilité des informations du « whois »

Depuis 2006, les autorités européennes réclament une évolution du protocole. En 2012, elles détaillaient une raison dans un courrier au vitriol (PDF) : « la conception du système incite fortement les particuliers à fournir de fausses coordonnées. Malheureusement, l'ICANN a décidé de ne pas travailler sur des modèles d'accès stratifié, comme le modèle OPoC proposé à plusieurs reprises par [l'Article 29] ».

Le modèle OPoC, soit « point de contact opérationnel », était discuté officiellement au sein de l'ICANN depuis 2005 (PDF). L'idée : supprimer l'adresse personnelle et celle administrative, pour les remplacer par une adresse de contact, qui ne révélerait pas ces coordonnées au tout venant. Le concept a été effectivement abandonnée en 2012, suite à des craintes de fournisseurs d'accès.

Depuis, l'ICANN a elle-même constaté le problème de véracité du « whois ». En 2016, une étude officielle de l'organisation suggérait que plus d'un tiers des coordonnées fournies dans les « whois » étaient injoignables. « Des forces de l'ordre déclarent qu'elles ont besoin d'informations whois publiques pour traquer les criminels. Mais les personnes derrière des sites frauduleux ne mettront pas leurs informations ! » lance Pierre Bonis de l'Afnic.

Surtout, cacher au public les informations n'empêcherait pas leur partage. Depuis 2006, le « .fr » est ouvert aux particuliers, et l'Afnic masque les coordonnées des titulaires. Elles sont pourtant bien fournies aux forces de l'ordre, aux ayants droit ou à une personne avec une demande légitime (comme l'usurpation d'identité ou la diffamation).

Depuis plusieurs années, OVH fournit le service gratuit OWO, qui permet de masquer les données personnelles du titulaire d'un nom de domaine, pour de nombreuses extensions. L'entreprise a aussi ouvert une brèche auprès de l'ICANN. 

« Fin 2013, et au risque de ne pas pouvoir commercialiser de nouvelles extensions, OVH avait fait état à l’ICANN de l’incompatibilité entre ses contrats d’accréditation et les règles européennes en matière de protection des données à caractère personnel » nous déclare Florent Gastaud, le responsable des données personnelles (DPO) d'OVH.

Le sujet : la durée de rétention des données « whois », sur laquelle les CNIL européennes sont particulièrement chatouilleuses. En 2012, elles ont taclé l'ICANN pour une obligation de rétention des coordonnées après la mort d'un nom de domaine, sur demande des forces de l'ordre. Pour l'Article 29, une telle décision n'appartient pas à un organisme privé, mais à un État.

Un plan en trois étapes pour l'ICANN, d'abord une rustine

L'articulation du « whois » avec le droit européen a longtemps été une question secondaire à l'ICANN. En janvier 2016, un groupe de travail a été lancé pour remplacer le « whois ». Pourtant, la question ne serait prise au sérieux que depuis quelques mois, selon l'Afnic. Cela notamment à cause d'analyses d'autorités de protection des données, transmises au dernier trimestre 2017, puis de l'insistance de leur groupe (l'Article 29) en décembre. Pour Florent Gastaud, cet engagement collectif « a dû contribuer, parmi d’autres, à une certaine forme de prise de conscience », qui resterait encore floue.

Le problème du « whois » public pour les gTLD est avant tout juridique. La question première est celle des contrats entre l'ICANN et les registres, qui gèrent au quotidien les noms de domaine. Plusieurs clauses, principalement celle sur la publication des données du « whois », seraient sur la sellette. Mais le temps presse.

Comment donc un registre pourrait-il se conformer au RGPD, quand la révision du contrat avec l'ICANN peut prendre des mois ? Simple : en dérogeant au contrat en question. C'est la rustine que propose l'organisation, suite à sa dernière réunion mondiale, l'ICANN 60 à Abu Dhabi fin octobre... où le RGPD était sur toutes les lèvres, selon une spécialiste du domaine.

Dans un long communiqué du 2 novembre, l'organisation éteint les flammes apparues à la conférence. « Durant cette période d'incertitude [jusqu'au verdict des CNIL sur la légalité du « whois »], et sous conditions, l'ICANN reportera toute action contre un registre ou registrar qui ne se conformerait pas à ses obligations contractuelles en matière de données d'enregistrement », après lui avoir détaillé ses intentions, soumises à une analyse juridique. Les registres ont donc les mains plus libres face à elle.

Une bonne nouvelle, selon Pierre Bonis de l'Afnic : avant ces événements, des « juristes anglosaxons fous » au sein de l'ICANN réclamaient une preuve de condamnation au titre du RGPD avant de fournir une éventuelle dérogation au contrat.

Une révision juridique puis un nouveau système

Et après ? « Il semblerait que [l'organisation] s'oriente vers une publication beaucoup plus restreinte lorsqu'il s'agit de données de personnes physiques, ce qui est en accord avec l'éthique Gandi », nous répond le bureau d'enregistrement.

Le 12 janvier, l'ICANN a publié trois propositions de modèles temporaires pour la publication des données « whois ». Elles ont été élaborées suite à l'analyse juridique du cabinet d'avocats Hamilton, celle conclue le 21 décembre. Les trois répondent au même principe : restreindre l'accès à certaines informations (principalement l'adresse e-mail et le numéro de téléphone des particuliers), réservées à des tiers de confiance, soit auto-certifiés, validés formellement, ou en possession d'une assignation en bonne et due forme.

En somme, une forme de livraison stratifiée des données personnelles, dans la veine de celle réclamée depuis 12 ans par les CNIL européennes.

L'un de ces trois modèles, après consultation publique, est destiné à être appliqué dès le 25 mai. Son application sera-t-elle nécessaire pour obtenir une dérogation au contrat de l'ICANN ? « Si l'ICANN conditionne la signature d'un waiver à la mise en place d'un nouveau modèle, il y aura un problème » pense l'Afnic.

Dans sa réponse du 15 janvier aux CNIL, l'ICANN précise que ce modèle temporaire ne remplacera pas le travail sur un nouveau cadre juridique et technique, à plus long terme ; celui initié en janvier 2016. Il doit répondre de manière bien plus sûre aux questions juridiques que posent les lois sur la protection des données, tout en répondant à des problèmes plus larges, comme l'exactitude et l'utilisation de ces informations.

Ce RDS (pour Registration Directory Services) devrait à terme remplacer le « whois », mais le chemin est encore long. Pour l'Afnic, il ne devrait pas être mis en place avant la future fournée de nouvelles extensions de noms de domaine (nTLD), qui pourrait elle-même attendre 2020 ou 2021, selon l'association et OVH.

Cette révision se construit en parallèle d'autres projets, aussi destinés à revoir les « services d'annuaire de données d'enregistrement » (RDDS), correspondant aujourd'hui au « whois ». C'est par exemple le cas du RDAP, aussi candidat au remplacement du « whois », qui était censé être mis en place par les registres des nTLD en février 2017... même si cette obligation aurait été abandonnée depuis son annonce.

Une prise de conscience du caractère mondial de l'ICANN

Pour Pierre Bonis de l'Afnic, le RGPD amène l'ICANN à se rendre compte qu'elle est désormais une organisation internationale. Selon lui, ce ne serait pas tant le conseil d'administration de l'ICANN que sa communauté (encore très anglosaxonne) qui aurait mis du temps à prendre au sérieux ce sujet européen. 

« Les choses sont en train d’évoluer, puisque l’ICANN est désormais pleinement mobilisée sur le sujet, note Florent Gastaud d'OVH. Seule ombre au tableau : l’échéance du 25 mai approche dangereusement vite ! »

Avec ces délais, n'est-il donc pas trop tard pour les registres ? « Ceux qui voudront être prêts le 25 mai le seront. Si vous n'êtes pas capables d'anonymiser des données whois d'ici là, il faut changer de métier » lance le directeur général de l'Afnic. Il note tout de même que des mises en conformité de registres pourraient n'arriver techniquement que quelques mois plus tard, pour des raisons de calendrier ou budget.

Dans tous les cas, les sanctions rehaussées par le futur règlement sur les données personnelles, ainsi que l'insistance de l'Article 29, semblent avoir constitué un électrochoc au sein de l'organisation. Dans ce dossier, le « whois » constituerait même la partie émergée de l'iceberg pour les registres et registrars, qui travaillent souvent avec des centaines de partenaires mondiaux, dont ils doivent désormais s'assurer qu'ils respectent bien le consentement des internautes.

Contactée pour cet article, la CNIL n'a pas répondu à nos sollicitations. Des précisions demandées à l'Afnic et Gandi ne nous sont pas parvenues à temps pour publication.

34

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Sur la légalité du « whois » public, CNIL européennes et ICANN en désaccord

De la fiabilité des informations du « whois »

Un plan en trois étapes pour l'ICANN, d'abord une rustine

Une révision juridique puis un nouveau système

Une prise de conscience du caractère mondial de l'ICANN

Commentaires (34)


Notre CNIL elle-même ne sera pas prête pour le 25 mai, cela dit. Il ne faudra pas s’attendre à des contrôles dès le lancement du RGPD.


Je ne vois pas trop pourquoi tout le monde s’affole. <img data-src=" />



Les coordonnées du titulaire sont actuellement visibles dans le whois (pour ceux qui ne passent pas un tiers/mandataire). Ca poserait soudainement problème car l’ICANN est indépendante ? Avant c’était ok ?


Euh, non, rien à voir avec l’« indépendance » de l’ICANN. Les mouvements actuels sont plutôt dûs au RGPD comme bien expliqué dans l’article. (Notons qu’une partie des obligations du RGPD étaient déjà dans les lois nationales et directives&nbsp; européennes précedentes. Le RGPD ne tombe pas du ciel !)


Déjà qu’on galère pour trouver des infos utiles (hébergement, responsable de publication) dans les mentions légales, si les whois sont purgés les bureaux d’enregistrement vont crouler sous les demandes d’identifications…


Ça poserait soudainement problème car les sanctions se durcissent. Quand on passe des gros yeux à 4% du CA, ça peut piquer un peu.


Les informations actuelles sont souvent incorrectes parce que c’est la seule façon dont l·e·a titulaire d’un domaine dans les TLD ICANN peut protéger sa vie privée. Si elle ne sont plus distribuées aussi largement, les titulaires seront peut-être plus motivé·e·s pour donner des renseignements exacts.








Stéphane Bortzmeyer a écrit :



Les informations actuelles sont souvent incorrectes parce que c’est la seule façon dont l·e·a titulaire d’un domaine dans les TLD ICANN peut protéger sa vie privée. Si elle ne sont plus distribuées aussi largement, les titulaires seront peut-être plus motivé·e·s pour donner des renseignements exacts.






Mouai. En pratique, je me rabats sur le whois lorsque je ne trouve aucune mention sur le site, généralement si le type en est là c'est qu'il souhaite empêcher l'identification.     





Après ca va pas changer grand chose, juste donner plus de boulot aux bureaux d’enregistrement, lesquels vont en revanche plus exposer leur responsabilité.



Cependant, je trouve qu’on se trompe de raisonnement: si quelqu’un entend monter un site c’est qu’il souhaite s’adresser au public, dans ce cas et comme l’exige la Loi de 1881 (et avec elle la LCEN), on doit pouvoir immédiatement identifier, l’intérêt d’empêcher un tel traitement de données s’il n’est pas croisé avec d’autres infos m’échappe totalement.



Après avoir avec le système du tiers de confiance. De mon expérience, le tiers de confiance canadien attend toujours de bien vouloir répondre à la Juge d’instruction depuis 2 ans ^^



La dernière que j’ai eu le malheur de laisser mes coordonnées réelles danse whois, je me suis retrouvé spammer d’appels et emails publicitaires afin d’améliorer mon SEO et autres. Obligé d’utiliser l’option payante évidemment pour cacher ces données du publique.


Pour info, j’ai révisé la partie sur le remplacement à long terme du “whois”, après un retour de Pierre Bonis. L’échéance officielle de février 2017 aurait été abandonnée, ce qui est désormais écrit, et l’articulation entre les projets a été clarifiée. Le passage sur le rôle de l’Article 29 dans la prise de conscience de l’ICANN a aussi été nuancée.&nbsp;<img data-src=" />


Voir le commentaire #8

Mettre de vrai info à dispo en publique, c’est s’exposer au spam.



Pourquoi as tu personnellement besoin d’identifier l’“éditeur” d’un site?

Le fait que les infos ne soient plus publiques n’empechera pas la police par exemple d’identifier l’éditeur


@Stéphane Bortzmeyer, @Quiproquo



Mon commentaire n’était pas clair. mea culpa.

J’ai bien compris les raisons pécuniaires de l’affolement des registars. $$ <img data-src=" />

Ce qui m’a interpelé c’est l’affolement autour de la confidentialité d’information qui sont déjà publiques.



Bref, pourquoi le RGPD ne fait pas une exception pour ces informations qui sont assez assimilables aux mentions obligatoires sur les publications. (après tout un site web ressemble beaucoup à une publication)


Est-ce que les registars suisses sont concernés par le RGPD ?


S’ils ont des clients citoyens de l’Union européenne, oui. :)








crocodudule a écrit :



Déjà qu’on galère pour trouver des infos utiles (hébergement, responsable de publication) dans les mentions légales, si les whois sont purgés les bureaux d’enregistrement vont crouler sous les demandes d’identifications…









crocodudule a écrit :



Après ca va pas changer grand chose, juste donner plus de boulot aux bureaux d’enregistrement, lesquels vont en revanche plus exposer leur responsabilité.





Toutes les informations privées sur les domaines gérés par l’AFNIC, genre les .fr .re .yt .pm .wf .tf, sont déjà anonymisées par défaut depuis… toujours?

Et je ne vois pas en quoi ça pose souci.

https://www.afnic.fr/medias/documents/Cadre_legal/Charte_de_Nommage_Afnic_du_121… (voir article 8.4)







crocodudule a écrit :



Mouai. En pratique, je me rabats sur le whois lorsque je ne trouve aucune mention sur le site, généralement si le type en est là c’est qu’il souhaite empêcher l’identification.





C’est ce que je fais sur mon site. Mon nom, prénom, téléphone, adresse de courriel et postale personnelle ne te concerne en rien. Tout comme si je m’adresse à toi dans la rue pour te demander l’heure, hors de question de te filer l’ensemble de mes coordonnées personnelles.







crocodudule a écrit :



Cependant, je trouve qu’on se trompe de raisonnement: si quelqu’un entend monter un site c’est qu’il souhaite s’adresser au public, dans ce cas et comme l’exige la Loi de 1881 (et avec elle la LCEN), on doit pouvoir immédiatement identifier, l’intérêt d’empêcher un tel traitement de données s’il n’est pas croisé avec d’autres infos m’échappe totalement.





Si tu as un souci avec ce que je dis sur mon site, tu vas voir la justice et eux auront accès à toutes ces données. Mais surtout pas le trou-du-cul d’à coté qui aura décidé de me pourrir la vie.



Prenons le cas d’un particulier qui loue un nom de domaine pour son adresse e-mail. Quelle est la justification d’exposer ses coordonnées (nom, prénom, numéro de téléphone, adresse du domicile) à tout vent ? Il n’y a pas de mentions obligatoires dans ce cas, il me semble.



Il est vrai qu’il suffit d’utiliser un tld qui permet le masquage de ces informations. J’ai acquis un .net à l’époque où c’était le parcours du combattant pour les tld gérés par l’AFNIC, et l’affichage du nom et du prénom reste obligatoire, même si les coordonnées sont masquables via Gandi. Depuis que les tld bien de chez nous sont en libre accès, j’ai progressivement basculé vers cette solution pour des raisons de vie privée.


Merci <img data-src=" />








127.0.0.1 a écrit :



Bref, pourquoi le RGPD ne fait pas une exception pour ces informations qui sont assez assimilables aux mentions obligatoires sur les publications. (après tout un site web ressemble beaucoup à une publication)





Je cite Gandi : “Notre contrat avec l’ICANN nous oblige à revendre notre base WHOIS à tout tiers qui le souhaite. Mais vous avez le droit de ne pas accepter que vos données fassent partie du lot.”



Les informations du WHOIS, outre l’aide à l’identification peuvent servir à des dérives tel l’usage commercial cité dans les commentaires précédents.



Heureusement que j’ai lu la news et fait un whois sur mon domaine, il expire dans moins de 24h <img data-src=" />









crocodudule a écrit :



Mouai. En pratique, je me rabats sur le whois lorsque je ne trouve aucune mention sur le site, généralement si le type en est là c’est qu’il souhaite empêcher l’identification.




Après ca va pas changer grand chose, juste donner plus de boulot aux bureaux d'enregistrement, lesquels vont en revanche plus exposer leur responsabilité.      






Cependant, je trouve qu'on se trompe de raisonnement: si quelqu'un entend monter un site c'est qu'il souhaite s'adresser au public, dans ce cas et comme l'exige la Loi de 1881 (et avec elle la LCEN), on doit pouvoir immédiatement identifier, l'intérêt d'empêcher un tel traitement de données s'il n'est pas croisé avec d'autres infos m'échappe totalement.    





Après avoir avec le système du tiers de confiance. De mon expérience, le tiers de confiance canadien attend toujours de bien vouloir répondre à la Juge d’instruction depuis 2 ans ^^





Ah parce qu’on ne devrait pas pouvoir monter un site sous pseudonymat ?



ça c’est le cas pour les entreprises /asso



Mais pour les sites perso a usage plus privé….



Moi le premier, j’ai un .fr mais je n’ai pas de site dessus. j’ai juste un cloud qui me sert à moi et quelques proches, plus un accès à mes services.

Et bien à cause du .fr j’ai des infos personnelles qui sont dans le whois. Et contractuellement pour le .fr on ne doit pas mettre de fausses infos….

Et je ne suis pas le seul à avoir un ndd pour des cas similaires.

&nbsp;

Avoir un mail de contact obligatoire, OK, le reste c’est à la volonté de l’exploitant du ndd. Ce n’est bien que mon avis.


inconsciemment je lis GCPD à chaque fois <img data-src=" />


pour le coup, merci OVH. Un whois sur mes domaines n’aidera pas grand monde pour me trouver ou pour commercialiser mes infos








scientifik_u a écrit :



Je cite Gandi : “Notre contrat avec l’ICANN nous oblige à revendre notre base WHOIS à tout tiers qui le souhaite. Mais vous avez le droit de ne pas accepter que vos données fassent partie du lot.”



Les informations du WHOIS, outre l’aide à l’identification peuvent servir à des dérives tel l’usage commercial cité dans les commentaires précédents.



Heureusement que j’ai lu la news et fait un whois sur mon domaine, il expire dans moins de 24h <img data-src=" />







Mytho…. Gandi est mort assassiné en 1948, bien avant la création de l’ICANN. <img data-src=" />









ben5757 a écrit :



Ah parce qu’on ne devrait pas pouvoir monter un site sous pseudonymat ?





On peut même monter des sites anonymes, avec hébergements payables en BtC avec un ndd en .tk par exemple.<img data-src=" />



Si c’est un .fr, et qu’il est enregistré par une personne physique, les données ne sont PAS distribuées, par défaut. Cf. le commentaire de Gats hier soir.&nbsp; .fr n’est pas un TLD ICANN et n’est donc pas concerné par leurs règles.


Je voudrais ajouter un petit mot à propos de RDAP. Ce n’est qu’un protocole, comme whois, et l’éventuel remplacement de whois par RDAP (ce qui n’est pas gagné, loin de là) ne changera pas forcément grand’chose au débat autour des données personnelles et du RGPD.



Les principales différences que je vois entre les deux protocoles, pour ce qui concerne la vie privée :





  • les données RDAP sont structurées, contrairement à celles de whois, donc peuvent faciliter la tâche de ceux qui veulent les récupérer en masse (on dit souvent que whois est un “semantic firewall” en raison de l’absense de format de sortie standard, encore que ce n’est plus vrai pour les TLD ICANN)



  • RDAP permet l’authentification et la confidentialité, donc peut permettre, potentiellement, d’avoir des accès différenciés (par exemple d’envoyer toutes les données à la police et seulement une partie au public anonyme).



    Aujurd’hui, les seuls TLD qui ont déployé RDAP en production sont des TLD non-ICANNhttp://data.iana.org/rdap/dns.json mais il y a un RDAP de test pour .com (sans les données personnelles, puisque .com est un registre mince)

    &nbsp;

    Plus de détails sur RDAP, et les RFC qui le normalisent enhttp://www.bortzmeyer.org/weirds-rdap.html

    &nbsp;








Ricard a écrit :



Mytho…. Gandi est mort assassiné en 1948, bien avant la création de l’ICANN. <img data-src=" />





quand je pense au nombre de fois où cet enfoiré m’a nucléarisé la face, cette nouvelle me ravit









ben5757 a écrit :



Ah parce qu’on ne devrait pas pouvoir monter un site sous pseudonymat ?





C’est une pratique souhaitée et soutenue par certains, notamment par la CNIL, mais qui est un parfait non sens au regard des obligations posées par la Loi de 1881 et la LCEN, puisque si un non professionnel peut ne pas indiquer ses coordonnées pour entrer en contact avec lui, mais celles de son hébergeur (par exemple ou tout tiers de confiance), ce dernier se retrouve en première ligne s’il n’est pas en mesure de fournir la véritable identité de responsable de publication et/ou éditeur (j’entre pas dans le détail de la responsabilité en cascade revisitée par la LCEN etc…).



Comme en pratique, l’hébergeur a souvent des infos bidons, et au mieux une transaction bancaire, il va charger au titre des infractions prévues par la LCEN notamment.



Au final, si on généralise la pratique de la pseudonisation des whois,&nbsp; les bureaux d’enregistrement vont crouler sur les demandes d’ID et bien souvent je le pense de condamnation, tout ça pour préserver l’anonymat d’une personne qui a décidé de s’adresser au public.



(Perso mes sites (pros et perso) sont sous mon nom, avec un email valide et je n’ai jamais été emmerdé).









PtiDidi a écrit :



Voir le commentaire #8

Mettre de vrai info à dispo en publique, c’est s’exposer au spam.



Pourquoi as tu personnellement besoin d’identifier l’“éditeur” d’un site?

Le fait que les infos ne soient plus publiques n’empechera pas la police par exemple d’identifier l’éditeur





Parce qu’une partie de mon boulot c’est de poursuivre des gens qui diffament, injurient, harcèlent etc… d’autres via le net.



Donc j’en ai besoin, ou plus exactement le Proc. ou le Juge d’instruction en a besoin, et qu’il est très courant qu’ils ne parviennent pas à identifier les responsables d’un site.



Ma statistique personnelle sur l’année passée, c’est 50% non identifié, soit par non réponse du registrar et/ou hébergeur et/ou tiers de confiance (je n’ai jamais eu une réponse d’un tiers de confiance non européen), soit parce que les infos détenues par le registrar et/ou hébergeur sont fausses (ou non actualisées).



A ce jour je n’ai eu vraiment qu’un seul dossier où le type avait tout fait pour se protéger (proxy, adresse jetable, paiement par bitcoin etc…), pour tout le reste c’est simplement le non respect de la Loi par les intermédiaires qui plante tout. (A l’inverse, je n’ai jamais eu de difficulté avec les prestataires UE).



Il me semble qu’avoir au moins une adresse email valide et testée régulièrement (mon hébergeur le fait) devrait être obligatoire. Peu importe que l’adresse soit directement accessible où par un formulaire proposé par le prestataire.



Je ne comprends pas ce qui te déplait dans la solution utilisée par les bureaux d’enregistrements européens (masquage total des coordonnées auprès des registres le permettant, masquage partiel sinon), puisque tu dis toi-même qu’ils répondent aux requêtes. Ça me parait plus sain que d’inonder les registres de fausses informations.








Quiproquo a écrit :



Je ne comprends pas ce qui te déplait dans la solution utilisée par les bureaux d’enregistrements européens (masquage total des coordonnées auprès des registres le permettant, masquage partiel sinon), puisque tu dis toi-même qu’ils répondent aux requêtes. Ça me parait plus sain que d’inonder les registres de fausses informations.





C’est l’antinomie qu’il y a vouloir s’adresser au public en créant un site et à prétendre dans le même temps que si le lecteur/visiteur peut prendre connaissance par lui-même du nom et mail de contact du responsable il y a là une atteinte intolérable à protection des données à caractère perso. (ceci d’ailleurs sans considération d’un éventuel démarchage commercial ou encore de menace où dans ce dernier cas d’autres dispositifs existent comme en matière de presse classique).



Après comme indiqué, la modification envisagée ne change pas grand chose pour moi, par contre les bureaux d’enregistrement vont devoir faire le boulot. D’un autre coté après quelques condamnations, ça les poussera peut être à enfin s’assurer de l’identité de leurs clients et à réactualiser les infos régulièrement (Pour l’UE ils répondent mais parfois des infos erronées ou plus d’actualité, bien souvent c’est soit avec l’IP utilisée pour se loguer sur l’interface d’administration ou encore avec la transac bancaire qu’on retrouve la vraie identité).









crocodudule a écrit :



C’est l’antinomie qu’il y a vouloir s’adresser au public en créant un site et à prétendre dans le même temps que si le lecteur/visiteur peut prendre connaissance par lui-même du nom et mail de contact du responsable il y a là une atteinte intolérable à protection des données à caractère perso.







Tout le problème de cette phrase c’est le mot “responsable (du site)” à la place de “propriétaire/locataire” du domaine.



Je trouve normal qu’un propriétaire/locataire de site doit être identifiable par les autorités compétentes. Est-ce que son identité doit être publique (whois), je dirais que c’est un choix personnel au moment de l’inscription (=contrat passé avec le vendeur/loueur)



1&1 ne m’a pas demandé mon avis en 2014, et au passage à Ghandi je n’ai pas pus changer non plus <img data-src=" />


Si tes données personnelles apparaissent dans le whois de l’AFNIC, il faut configurer les contacts du domaine dans ton compte admin.gandi.net. Si le contact est un particulier, tu peux activer le masquage des informations.








127.0.0.1 a écrit :



Tout le problème de cette phrase c’est le mot “responsable (du site)” à la place de “propriétaire/locataire” du domaine.



Je trouve normal qu’un propriétaire/locataire de site doit être identifiable par les autorités compétentes. Est-ce que son identité doit être publique (whois), je dirais que c’est un choix personnel au moment de l’inscription (=contrat passé avec le vendeur/loueur)





C’est une nuance qui a du sens, car effectivement celui qui enregistre le nom de domaine n’est pas nécessairement le responsable du site. Dans ce cas, le whois pourrait indiquer le nom du mandant.