L’ICANN exige un délai pour conformer l’annuaire de noms de domaine au RGPD

À un mois de l'application du RGPD, le monde des noms de domaine est en pleine ébullition. L'annuaire des extensions génériques ne sera vraisemblablement pas conforme le 25 mai. La faute revient en partie aux États, qui tiennent à maintenir un « whois » public, qu'ils estiment précieux aux enquêtes, faisant fi de la vie privée des internautes.

Le Règlement général sur la protection des données (RGPD) s'appliquera dans moins de 40 jours, et l'annuaire public des noms de domaine n'est toujours pas prêt. C'est ce qui ressort des derniers échanges entre l'ICANN, responsable des ressources du Net au niveau mondial (adresses IP, noms de domaine...) et le G29, le groupement européen des autorités de protection des données, comme la CNIL en France.

Depuis la mi-janvier, l'ICANN cherche en urgence un modèle pour conformer le « whois » des noms de domaine à extension générique (comme les « .com », « .net » ou « .org ») au RGPD. L'enjeu est énorme, car ce sont les extensions les plus populaires (voir notre analyse).

Selon le texte européen, les coordonnées des particuliers titulaires de noms de domaine ne sauraient être publiées sans leur accord explicite. Aujourd'hui, l'acquisition de l'un de ces noms de domaine entraine la publication automatique des informations. Seuls certains bureaux d'enregistrement masquent ces données, via des services dédiés.

Le 8 mars, l'organisation mondiale a présenté un modèle temporaire pour l'annuaire, qui se veut conforme au RGPD, avant de remplacer le vénérable « whois » dans quelques années.

La situation est pourtant loin d'avancer. Dans deux lettres croisées, les 11 et 12 avril, les CNIL européennes et l'ICANN  réclament des précisions urgentes l'un de l'autre, sur des sujets très différents. D'un côté, le G29 demande de nombreuses garanties sur la manipulation et la conservation des données. De l'autre, l'ICANN quémande un moratoire sur les sanctions que pourraient infliger les CNIL, ayant peu d'espoir que les registres (qui gèrent les noms de domaine) soient prêts à temps.

Les données personnelles (enfin) à cacher par défaut

Depuis novembre, les autorités européennes de protection des données alertent l'ICANN sur les problèmes du « whois » face au futur règlement. À la mi-janvier, l'organisation a publié trois propositions de modèles, avant de sélectionner l'un d'eux le 8 mars. Le plus contraignant.

Ce « Cookbook » (PDF) propose de cacher la plupart des coordonnées du titulaire du nom de domaine, en limitant leur accès à des acteurs enregistrés.

Doivent être masqués :

• l'identifiant du client ;
• son nom ;
• sa rue ;
• sa ville ;
• son code postal ;
• ses numéros de téléphone ;
• son adresse e-mail (anonymisée) ;
• les coordonnées de l'administrateur ;
• les coordonnées du contact technique.

Certaines informations devront toujours être publiées. En premier lieu, le nom du titulaire s'il s'agit d'une personne morale. Ensuite, celui des serveurs de nom, la date d'enregistrement du nom de domaine, sa date d'expiration, le pays ou l'État d'origine du titulaire. Des adresses e-mail doivent être présentées, mais anonymisées. Le bureau d'enregistrement doit tout de même laisser la possibilité au titulaire de publier ses informations.

Les données seront uniquement accessibles par des acteurs certifiés, via un programme adoubé par l'ICANN. Les forces de l'ordre et les avocats spécialistes de la propriété intellectuelle sont cités. L'organisation réclame un débat avec les CNIL européennes pour définir ce processus.

Trois circuits de certification seraient mis en place. Le premier, pour les entités publiques, tiendrait sur une accréditation officielle. Le second, pour des entités privées désignées par les États (registres, bureaux, dépôts ou régleurs de différends...), exigerait le suivi d'un code de conduite. Le troisième, pour des tiers privés, passerait par un organe de certification. La responsabilité juridique des entités certifiées sera engagée.

L'ICANN compte imposer l'application de ce modèle dans l'espace économique européen, et la permettre en dehors. L'organisation compte aussi imposer la protection de l'ensemble des données personnelles, que le nom de domaine soit enregistré par une personne physique ou morales. Son contrat avec les registres (qui gèrent les extensions) et les bureaux d'enregistrement (qui louent les noms de domaine aux internautes) ne différencie aucunement les deux.

Les objections européennes

Dans sa lettre du 11 avril, le groupe des CNIL européennes estime qu'il est « de la plus grande importance » d'obtenir des réponses rapides de l'ICANN. De nombreux points du modèle inquiètent toujours les autorités de protection des données, à un mois de l'application du RGPD.

Le G29 s'interroge sur les buts déclarés pour la collecte des données, le modèle de l'ICANN ne détaillant pas assez les collectes et traitements effectués pour chaque finalité (contact du titulaire, lutte contre le crime...). De même, les bases légales des traitements ne sont pas clairement liées à chaque finalité.

Le groupe félicite l'ICANN pour son modèle, mais demande des détails sur l'accès aux données cachées. Il réclame « des politiques et procédures appropriées pour les demandes d'accès ponctuel et systématique aux données whois, en particulier pour les forces de l'ordre ».

Les CNIL s'inquiètent aussi de la sécurité des données, en particulier des procédures chez les registres et bureaux d'enregistrement pour l'accès et la rectification des informations par les titulaires de noms de domaine. Le modèle prévoit une rétention de deux ans pour ces données, qui ne serait pas suffisamment justifiée. Enfin, le G29 demande des clarifications sur les transferts de données whois à l'étranger et sur le système d'accréditation pour les données cachées.

Notons que le groupe n'est pas le seul à être sceptique. Début février, la DGConnect de la Commission européenne estimait que ce système d'accréditation est « inexploitable pour les enquêtes », tant il compliquerait l'accès aux données masquées.

L'ICANN réclame la clémence des CNIL

En réponse le 12 avril (PDF), le président de l'ICANN, Göran Marby, exige un moratoire sur les possibles sanctions des autorités de protection des données européennes. Autrement dit, selon l'ICANN, il est hors de question d'appliquer le RGPD aux responsables de noms de domaine à partir du 25 mai.

La conformité au RGPD serait trop lourde pour les 2 500 membres du monde des noms de domaine. Dans une lettre du 13 avril, adressée à l'ICANN, VeriSign (en charge du « .com ») réclame lui-même un an supplémentaire pour se conformer.

« Ce moratoire permettra aussi la réconciliation des conseils du Comité consultatif gouvernemental (GAC) et du G29. [...] Sans résolution de ces problèmes, le « whois » deviendra fragmenté jusqu'à l'implémentation du modèle temporaire [le Cookbook] et du système d'accréditation » écrit l'organisation dans un communiqué.

Les États opposés à un « whois » restrictif

Le GAC, où siègent les États au sein de l'ICANN, a un mot d'ordre : la fin du « whois » public rendra la vie impossible aux forces de l'ordre dans leurs enquêtes. Une critique déjà émise par les États-Unis et sociétés spécialisées dans le renseignement numérique. Des experts pleurent la « perte » de ces informations, mettant sur le même plan leur protection et leur disparition.

Selon les recommandations du GAC (PDF), l'adresse e-mail devrait rester visible, alors qu'elle est particulièrement sensible. « La publication de l'adresse e-mail du titulaire devrait être considérée selon le rôle important de cet élément dans la poursuite d'intérêts légitimes et la possibilité pour les titulaires de fournir une adresse e-mail ne contenant pas de données personnelles » écrivent les États membres de l'ICANN dans leur avis. Ils considèrent donc qu'une adresse e-mail peut être autre chose qu'une donnée personnelle.

C'est la principale opposition à la réforme du « whois ». Dans son « Cookbook », l'organisation désigne elle-même l'adresse e-mail comme l'information la plus précieuse. Les États jouent ici sur l'idée que masquer par défaut les coordonnées aiderait les criminels. Pourtant, il n'est pas dit que les criminels en question enregistrent les noms de domaine qu'ils utilisent sous leur propre nom.

Dans un entretien à la mi-janvier, le directeur général de l'Afnic (derrière le « .fr »), Pierre Bonis, estimait que les données « whois » des domaines malveillants étaient assez peu fiables. À fin 2016, l'ICANN rapportait elle-même que 35 % des informations de contact renseignées étaient injoignables (PDF).

Selon l'association française, toujours à la mi-janvier, « ceux qui voudront être prêts le 25 mai le seront. Si vous n'êtes pas capables d'anonymiser des données whois d'ici là, il faut changer de métier ».

Pour le moment, l'ICANN punit encore les registrars qui cachent certaines données de l'annuaire public. Il y a quelques jours, l'organisation a ouvert une procédure contre GoDaddy, l'un des principaux bureaux d'enregistrement américains. Il cache désormais l'adresse de contact de certains noms de domaine, officiellement pour lutter contre le spam. La mesure ne plait pas à l'ICANN, qui exige donc encore la publication complète de ces informations.

Malgré toutes ces craintes, la protection du « whois » par défaut n'entraine pas forcément la mort des enquêtes. Fin février, l'Afnic nous révélait avoir mené 400 levées d'anonymat en 2017, en majorité pour des acteurs privés, dans un délai d'une journée et demie en moyenne.

Concernant le « whois » des extensions génériques, les prochaines semaines risquent d'être encore chargées. Une réunion technique est prévue le 23 avril entre le G29 et l'ICANN à Bruxelles, avec l'espoir de dénouer cette situation si compliquée.