Bruxelles pose ses conditions à la réforme de l’annuaire public de noms de domaine

La Commission européenne voit des problèmes dans les trois modèles proposés par l'ICANN pour conformer le « whois » au futur règlement européen sur les données personnelles. Bruxelles demande aussi à l'organisation de repousser sa décision à la mi-mars.

Dans une lettre, le directeur général de la DGConnect à la Commission européenne, Roberto Viola, demande à l'ICANN de clarifier ses plans pour réformer le « whois ». Depuis novembre, l'organisation qui gère les ressources mondiales du Net est sous pression, face à l'application du Règlement général sur la protection des données (RGPD) le 25 mai.

Comme nous l'expliquions, ce texte serre la vis sur les traitements de données personnelles des Européens, qui doivent être strictement justifiés. Or, la publication des coordonnées des titulaires de noms de domaine à extensions génériques (« .com », « .org »...) est imposée par l'ICANN, sans réel contrôle par les internautes. L'Article 29, l'organisation qui regroupe les CNIL européennes, s'en est émue début décembre, avant que trois commissaires européens ne lui emboitent le pas le mois dernier.

L'ICANN a proposé trois modèles de réforme du « whois », avant de remplacer le protocole par un nouveau système dans plusieurs années. Les trois modèles sont fondés sur le même principe : laisser une quantité minimale de coordonnées accessibles publiquement, en réservant le reste à ceux présentant une demande légitime, voire une assignation valide.

Trois brouillons de modèles... trop brouillons pour la Commission

Dans sa lettre, la Commission européenne livre son analyse juridique. Elle rappelle d'ailleurs que, « quand des questions de conformité se poseront, ce sera aux autorités de protection des données des États membres et, finalement, aux tribunaux nationaux et communautaires de clarifier l'application de ces règles ».

Tout traitement sera jugé à l'aune de sa légitimité, de sa base légale et de sa proportionnalité. De ce point de vue, elle perçoit nombre de « confusions », par exemple entre l'exécution d'un contrat et l'intérêt légitime d'un traitement de données.

C'est l'un des nœuds déjà pointés par les CNIL européennes. Actuellement, la littérature de l'ICANN sur le « whois » ne justifierait pas légalement la publication des coordonnées, encore moins leur utilisation par les forces de l'ordre. Or, c'est un des arguments d'une partie de la communauté de l'ICANN pour maintenir cet annuaire ouvert.

Le département américain du Commerce a d'ailleurs tancé les demandes européennes, en s'opposant à tout changement drastique du « whois » que pourrait amener le RGPD. Malheureusement pour l'administration américaine, ces changements « drastiques » sont bien ce que demande la Commission européenne.

« De telles finalités, qui incluent la poursuite d'objectifs d'intérêt général (comme la prévention, la détection et l'investigation du crime) dans l'intérêt légitime du contrôleur ou de tiers, devraient être clairement et explicitement décrites dans les règles et définies avec plus de granularité, en expliquant leur rapport avec chaque traitement spécifique » estime Bruxelles. Sur cette base, l'exécutif européen demande d'en informer directement les titulaires de noms de domaine.

Concernant la collecte de données, l'institution réclame que l'ICANN indique clairement si les registrars doivent récupérer ou non les informations des titulaires, au lieu du « peuvent » actuel. Il n'est pas, non plus, question de conserver les données plus longtemps que strictement nécessaire, sauf pour certaines missions spécifiques, qu'elles soient scientifiques ou historiques.

« Les modalités d'accès aux données doivent assurer que les forces de l'ordre peuvent les obtenir dans un laps de temps approprié à une enquête, via un portail unique pour les requêtes. Les entrées devraient aussi être recherchables d'une manière permettant les croisements d'informations, par exemple pour trouver des données utilisées pour enregistrer plusieurs sites » détaille l'exécutif européen. Il note d'ailleurs qu'aucune précision n'est fournie sur les recours à un refus.

Trois modèles, trois critiques

Les trois modèles diffèrent surtout sur le mode d'accès aux données « whois » cachées. Le premier demande uniquement une auto-certification de l'intérêt à accéder aux données, sans autre forme de procès. Pour la DGConnect, le problème est que le système pourrait rapidement s'engorger, en mêlant les demandes des forces de l'ordre aux autres. Selon l'institution européenne, des dizaines de milliers de demandes pourraient ainsi affluer chaque semaine.

Aussi, ce modèle ne dit pas si chaque registre doit concevoir son propre outil d'auto-certification. Une perspective qui pourrait « mener à d'importantes incohérences ».

Le deuxième modèle requiert une certification formelle du requérant, dont la liste serait arrêtée. Aucune indication n'est donnée sur ce processus de validation, ni sur son responsable. « Un mécanisme d'authentification devrait prendre en compte la fréquence des consultations attendues des utilisateurs autorisés et les obligations de confidentialité associées aux enquêteurs des forces de l'ordre » estime aussi Roberto Viola.

Les « acteurs accrédités nationalement » devraient aussi avoir un accès complet aux coordonnées du « whois ». Pour les autres, y compris les acteurs privés, des limites claires doivent être fixées, tout comme des obligations spécifiques de respect du RGPD. Les États en conservant des listes de l'ensemble de ces entités.

Le troisième modèle invite à fournir les données masquées dans les cas où la loi y oblige un registre ou un bureau d'enregistrement, comme la présentation d'une assignation ou tout ordre judiciaire valide. « Des trois modèles, celui-ci est le plus protecteur des données personnelles » constate Bruxelles. Les données ne sont stockées que pour 60 jours, au lieu d'un an ou deux.

Il n'a pourtant pas les faveurs de la DGConnect, pour qui ce modèle pourrait rendre le « whois » « inexploitable pour les enquêtes ».

Enfin, la Commission demande à l'ICANN de repousser sa décision à la mi-mars, alors que le système doit être prêt au 25 mai. Elle espère un débat et un choix à la prochaine réunion de l'organisation, l'ICANN61, du 10 au 15 mars.