Bruxelles réclame la réforme du « whois » pour protéger la vie privée des Européens

Vos papiers, s'il vous plaît 17
Accès libre
image dediée
Crédits : code6d/iStock
Web
Guénaël Pépin

Trois commissaires européens soutiennent les travaux de l'ICANN, qui gère les ressources mondiales du Net, dans sa révision de l'annuaire des noms de domaine à extensions génériques. Ils prônent un accès contrôlé aux données de leurs titulaires, réclamé par les CNIL européennes depuis 15 ans, sans succès jusqu'à l'arrivée du RGPD.

L'Union européenne continue de s'inquiéter de l'annuaire des noms de domaine, le « whois », après le 25 mai. C'est à ce moment que s'appliquera le Règlement général sur la protection des données (RGPD), qui renforcera les obligations et sanctions dans le traitement des informations des Européens.

Dans une lettre datée du 29 janvier adressée à l'ICANN, Dimítris Avramópoulos (commissaire européen aux Affaires intérieures), Věra Jourová (commissaire européenne à la Justice) et Julian King (commissaire pour l'Union de la sécurité) s'inquiètent ouvertement du « whois » actuel des extensions génériques (« .com, » « .net », « .org »...). La missive suit un échange entre l'Article 29, qui regroupe les CNIL européennes, et le président de l'organisation, Göran Marby.

Comme nous l'expliquions, les cerbères européens des données personnelles demandent à rendre privées les informations actuellement fournies par le « whois » de ces noms de domaine. Ils estiment que leur publication systématique ne découle pas d'un consentement libre, étant obligatoire pour obtenir un des noms de domaine concernés.

Via leur lettre, les trois commissaires demandent une articulation entre la conformité au futur règlement européen et l'accès aux données par les forces de l'ordre. Bien entendu, ils ont quelques pistes en tête. 

Les travaux de l'ICANN adoubés par la Commission européenne

Les représentants européens rappellent l'intérêt du « whois » pour les enquêtes, le respect du droit d'auteur ou la lutte contre les cyberattaques. Pour eux, ces utilisations doivent perdurer, mais pas de manière publique. Ils félicitent les travaux de ces derniers mois au sein de l'ICANN, qui promet aux registres une dérogation s'ils doivent respecter le RGPD.

Ils félicitent les trois propositions de modèles temporaires pour le « whois » destinées à restreindre la quantité de données publiques des noms de domaine à extension générique. Elles diffèrent sur les informations publiées et celles à l'accès restreint, délivrées soit par (auto-)certification, soit uniquement sur mandat. À plus long terme, le « whois » devra être remplacé dans quelques années.

Bruxelles rappelle également les six principes qui guident les traitements de données : le concept de données personnelles, la limitation du traitement aux fins nécessaires, une base légale solide, la minimisation des données, leur précision et la rétention limitée de ces informations. Autant de points qui ne seraient pas encore respectés via le « whois », comme le martèlent les CNIL européennes depuis déjà 2003.

La question de l'intérêt général est centrale, car c'est elle qui pourrait justifier de laisser publiques les coordonnées des titulaires de noms de domaine. Sur ce point, les CNIL européennes nient cet intérêt général pour le « whois » : même si ces données peuvent servir aux forces de l'ordre, ce n'est pas l'objet premier de leur publication.

Pire : le fait que ces informations soient à la vue de tous encourage leur falsification, pensent les autorités de protection des données personnelles. Un point de vue rejoint par celui de l'Afnic, l'association responsable du « .fr », et par une étude de l'ICANN en 2016.

Pourtant, une analyse juridique commandée par l'organisation américaine estimait que la publicité des informations personnelles du « whois » répond à l'intérêt général, donc peut perdurer ainsi. Malgré tout, le cabinet Hamilton notait qu'il vaut mieux suivre l'avis préliminaire des CNIL européennes, au risque d'une déconvenue le 25 mai prochain. D'où l'élaboration en urgence d'une réforme du « whois » à appliquer d'ici mai.

Bruxelles demande une approche « pragmatique » sur l'accès aux données

Pour réclamer le respect du RGPD, les commissaires déclarent que « les règles européennes de protection des données ne diffèrent pas d'autres obligations légales que les parties prenantes du « whois » doivent respecter dans l'UE ou ailleurs ». Les principes du RGPD existent déjà depuis une directive de 1996, soigneusement oubliée par l'ICANN malgré les nombreux rappels des CNIL, faute de pression politiques (et de sanctions) suffisantes sur le marché.

Pour Bruxelles, « le RGPD n'ajoute pas de poids supplémentaire pour les opérateurs commerciaux, mais facilite leur application en les harmonisant ».

La lettre prône une approche « pragmatique » dans la livraison de ces données, en contraste avec un manichéisme consistant à les afficher ou les masquer pour tous. Elle invite aussi les entreprises concernées à adopter un code de conduite, pour prouver leur conformité avec le futur règlement.

Des pistes de travail offertes à l'ICANN

Selon la Commission, l'organisation responsable des ressources mondiales du Net doit se concentrer sur plusieurs critères pour décider de son futur modèle.

Elle est censée :

  • identifier précisément les « données personnelles » ;
  • déclarer de manière transparente les différents traitements de ces informations (y compris celles liées aux politiques publiques) et lister les données exactes requises pour les bureaux d'enregistrement ;
  • trier avec prudence les données à laisser publiques et celles dont l'accès doit être restreint ;
  • poser des garde-fous suffisants dans l'accès aux données restreintes, par exemple poser « une limite au nombre d'entrées consultables sur une période donnée », en tenant compte des besoins des forces de l'ordre ;
  • dans ce système « restreint », s'assurer que l'accréditation respecte le secret des correspondances et (encore) les besoins des forces de l'ordre ;
  • respecter les lois nationales en matière d'accès aux données par les forces de l'ordre, qui ne sont pas régies par le RGPD.

Si la tâche semble immense, elle n'est pas inédite. Des extensions de noms de domaine répondent déjà à ces obligations. La semaine dernière, Pierre Bonis de l'Afnic nous rappelait son fonctionnement depuis une décennie, à savoir des informations des particuliers masquées du public pour le « .fr », mais accessibles suite à toute demande jugée légitime.

L'EFF réclame un modèle d'accès contrôlé aux données « whois »

Le 26 janvier, c'était l'Electronic Frontier Foundation (EFF) qui se demandait si « le ciel nous tombe sur la tête » avec cette révision en profondeur du « whois ». L'organisation estime que les registres et bureaux d'enregistrements font partie des acteurs qui protègent aujourd'hui mal les données personnelles des internautes européens.

L'EFF alerte face aux velléités de représentants de forces de l'ordre au sein de la communauté composant l'ICANN, qui réclament le maintien de cet annuaire mondial aux yeux de tous. La fondation estime cette demande hypocrite, des extensions proposant déjà un modèle avec accès restreint à certaines coordonnées. La direction de l'organisation ne semble plus l'écouter pour le moment, en témoigne ses propositions de restreindre l'accès à certaines coordonnées.

« Il est meilleur pour nous tous de créer et soutenir des méthodes d'enquête acceptant ce modèle d'enregistrement privé de noms de domaine, que d'exposer l'ICANN ou ses contradicteurs à la responsabilité de décider ce qu'ils devraient faire si, par exemple, la branche de cybersécurité d'un État oppressif commence à chercher les données d'enregistrement de dissidents » lance-t-elle.


chargement
Chargement des commentaires...