L'Internet Governance Project révèle le brouillon d'un projet de loi américain, poussé par des lobbies selon lui. Le texte obligerait l'Icann à collecter et publier les données des titulaires de noms de domaine. Or, le Règlement général sur la protection des données impose de les masquer par défaut lorsque le titulaire est résident européen.
Depuis la fin 2017, le RGPD met sens dessus-dessous l'Icann, l'organisation responsable des ressources mondiales du Net. Le « whois », l'annuaire public de certains noms de domaines (ceux liés aux gTLD, « .com », « .net » ou encore « .org ») enfreint le nouveau règlement, selon les Cnil européennes. En publiant par défaut les données des particuliers résidant en Europe, le « whois » n'obtient pas le consentement nécessaire à cette publication.
Avec des sanctions pouvant atteindre 4 % du chiffre d'affaires mondial, le coup de bâton peut être rude si des bureaux d'enregistrement diffusent les coordonnées de titulaires de noms de domaine sans leur accord explicite.
En urgence, l'Icann a proposé un modèle temporaire en janvier, finalisé en mai dans la précipitation (voir notre analyse). Il masque par défaut la plupart des données personnelles, adresse email comprise. Un choix qui déplait aux États, réunis au sein d'un comité consultatif (le Gac), qui tiennent à maintenir cette mine d'informations publique pour les forces de l'ordre ou les spécialistes du droit d'auteur ; que les internautes y consentent ou non.
Les États-Unis s'en étaient particulièrement offensés. Ils pourraient bien reprendre la main sur le dossier. L'Internet Governance Project, organe de l'université Georgia Tech, cité par Domain Incite, publie le brouillon d'une proposition de loi contredisant le RGPD, poussé par des « groupes d'intérêts ». Il imposerait aux bureaux d'enregistrement de reprendre la transmission des données à l'Icann, voire de les publier. Son nom : Transparent, Open and Secure Internet Act of 2018.
Deux pistes, dont une large
Le brouillon daté du 16 août présente deux pistes. Dans la première, considérée comme « large », « pour tout domaine qu'il administre, un bureau d'enregistrement, tout registre ou toute autorité doit publier dans un répertoire « whois » publiquement accessible » une longue liste d'informations... ressemblant à s'y méprendre aux données du « whois ». Coordonnées physiques et adresse email du titulaire comprises.
La seconde piste, qualifiée d'étroite, limite cette obligation de publication aux résidents américains ou aux acteurs visant une activité commerciale sur le marché américain.
Dans les deux cas, la loi autoriserait toujours ces acteurs à masquer ces données via des services dédiés (comme OwO d'OVH), avec quelques limites. L'offuscation serait seulement permise si le site ne concerne pas une activité commerciale, ne se finance pas via la publicité et n'envoie pas d'emails commerciaux.
Charge reviendrait à l'Agence de l'information et des télécommunications (NTIA), au sein du département du Commerce, de contrôler l'application du texte par les acteurs concernés, en priorité l'Icann. L'ensemble serait sous le contrôle de la Commission fédérale du commerce (FTC) et des États américains.
Si l'Icann s'est officiellement émancipée du contrôle américain en 2016, la NTIA dispose toujours d'un droit de regard sur son fonctionnement. L'indépendance de l'organisation californienne n'est valide que si le modèle multipartite (avec une responsabilité partagée entre États, secteur privé et société civile) est suffisamment bien appliqué aux yeux de l'agence.
Sujet chaud, chaud, chaud
Selon l'Internet Governance Project, le texte est poussé par des groupes d'intérêts. Sans les nommer, il les désigne comme « ceux qui tentent toujours de contrôler et réguler Internet, les maximalistes du droit d'auteur, big pharma et consorts ». L'IGP mentionne tout de même à deux reprises Domain Tools, une société de sécurité dont le modèle est fondé sur ces données publiques.
Le débat est, de toute manière, déjà vif au sein de l'Icann. Les défenseurs de la vie privée y affrontent des acteurs ayant intérêt à cette publicité des coordonnées d'internautes, des forces de l'ordre à des sociétés spécialisées dans la sécurité informatique.
L'avis des Cnil européennes (le G29) a fait pencher la balance du côté des premiers, avec la menace de sanctions. D'autant que le « whois » enfreindrait déjà une directive de 1996 sur la protection des données personnelles, ce que ces autorités avaient rappelé en 2003.
Ces derniers mois, l'Icann a repris par occasions le discours du Gac. L'organisation a même tenté de limiter les effets du règlement européen. En mai, elle a attaqué un registrar européen qui a cessé de lui livrer des données de clients, au titre du RGPD. Rapidement rembarrée par la justice allemande, elle cherche à obtenir l'avis de Cour de justice de l'Union européenne (CJUE), avec l'espoir d'une lecture plus favorable à la collecte de données.
Le 19 juillet, l'Icann a aussi lancé un processus de développement de politique accéléré (ePDP en anglais) pour obtenir un accord sur ces données d'enregistrement de noms de domaine en gTLD. La discussion est limitée aux représentants des principaux groupes de l'Icann (dont le GAC), sous la direction de la Generic Names Supporting Organization (GNSO).
Le but : aller vite, alors que le retard du secteur vis-à-vis du RGPD est criant. Peu avant l'entrée en application du règlement, certains des principaux bureaux d'enregistrement américains réclamaient six mois pour se mettre en conformité avec le modèle temporaire. En France, Gandi et OVH ont rapidement annoncé être dans les clous, en masquant les données liées aux gTLD et en limitant leur diffusion.
Commentaires (21)
#1
… que les internautes y consentent ou non. !
" />
“tiens, quelque-chose de nouveau” !
#2
L’affrontement de 2 lois extra territoriales?
" /> Fight.
#3
Si ça ne concerne que les personnes physiques et morales qui résident aux États-Unis, ça ne me pose aucun souci
" />
#4
L’argument des ayants droits et des forces de l’ordre est étonnant, compte tenu du compromis (?) envisagé : quel criminel ayant un minimum de jugeote enregistrerait sciemment son activité illégale avec ses coordonnées en clair ?
Du coup, si je comprends bien, il s’agit de tromper les criminels les moins malins ou les plus distraits dans l’espoir qu’ils fournissent des données en accès public ? Et tant pis si cela a pour conséquence des escroqueries à grande échelle telles les arnaques au renouvellement des noms de domaines, pour ne citer que la plus courante ?
Je peine à croire que les autorités de police aient besoin que les coordonnées des propriétaires des domaines aient besoin d’être publiques. J’ai plutôt l’impression que ce sont des experts en sécurité privés qui ont pris l’habitude de compter sur l’accès sans restriction à ces données qui s’agacent d’avoir plus de mal à mener des enquêtes privées, hors tout cadre légal.
#5
ce n’est pas l’usage aux États-Unis, ça sera plutôt un truc du genre : “si les données transitent par un serveur US, étant attendu qu’un serveur US est soit un serveur localisé sur le territoire des États-Unis, soit un serveur appartenant à une entreprise américaine, soit un serveur appartenant à un citoyen américain, alors elles doivent être publiées”.
Bref, comme dit plus haut, un bel affrontement de 2 législations extra-territoriales antagonistes.
#6
Vu la culture américaine pour l’accumulation de données personnelles, cela n’a rien d’étonnant. Surtout avec un Président sans scrupule et méprisant le reste du Monde.
Vu les temps qui courent, y’a intérêt à retrouver une U.E. forte ou alors on va morfler…
#7
On morfle déjà et à chaque fois que l’UE se trouve en désaccord avec les États-Unis, ça se finit toujours de la même manière : l’UE râle et dit qu’elle cédera pas dans un premier temps, mais elle finit très rapidement par s’écraser et obéir bien gentiment parce que, hé, elle pourra jamais se permettre de se mettre les USA à dos. Le cas des contrats iraniens l’a suffisamment bien démontré, et il en sera de même, cette fois-ci encore.
#8
Je me demande pourquoi l’Europe n’impose pas les transactions en euro pour celle résidant sur son territoire.
#9
en 1945 “on” a décidé que les échanges internationaux se feraient en Dollar
mais c’est vrai, il SERAIT, p’te temps, que ça change !
“Loi extraterritoriale” = rien que CE mot, heu…….
belle trouvaille en-tout-cas, pour nous….. (aïe) !!!
#10
Puisque les USA n’en ont rien a cirer des limites territoriales et appliquent leur Loi ou bon leur semble, il serait temps que l’Europe leur inflige la même médecine.
#11
Quant les Usa sont pas content des effets extra-terrioriaux d’une loi européenne. Perso je sors les popcorn !
#12
pas tout a fait vrai même si la finalité est bonne, les USA ont convaincu l’arabie saoudite de n’accepter que les dollars pour l’achat de son pétrole. (truman si ma mémoire ne me trompe pas)
petit a petit l’oiseaux a fait son nid.
#13
pour l’instant les USA PEUVENT faire-ce-qu’ils-veulent…..pour l’instant !
" />
qu’ils en profitent, mais ça NE durera pas éternellement (les autres Pays s’organisent) !
“à trop tirer sur la Corde, elle fini par se casser” !
#14
#15
la GDPR a aussi une application extraterritoriale et c’est pas vraiment une nouveauté dans l’ordre juridique même si le développement d’internet a passablement exacerbé ces question. L’époque où le droit s’arrêtait là ou on pouvait envoyer les archers est finie. ça existe aussi par exemple dans le droit pénal avec les crimes très graves.
La justice française elle-même adopte régulièrement des positions plutôt extraterritoriales: Il suffit de voir la question du déréférencement sur les extensions autres que .fr de google, ou l’affaire Yahoo il y a longtemps.
Après, c’est aussi difficile de dire ce qui est extraterritorial: le fait que l’UE exige d’une association ou fondation US qu’elle respecte le droit de l’UE pour les données de citoyens de l’UE et pas le droit US, ou le fait que les US exigent d’une association ou fondation US qu’elle respecte le droit US mais pas le droit de l’UE?
#16
#17
c’est un peu plus complèxe que cela quand même.
moi je pense que au niveau du web, si tu on veux que ca ne se sache pas USA ou pas, tu peux quand même faire ton taf.
plus le temps passe et plus je me dit, okay on va couler toute mon identité en ligne actuelle et ca va tout passer en crypté / anonyme / tor / etc parce que ça commence à faire flipper le manque de respect des libertés .
#18
Petit gens, manquant quelque chose… ou les tripes! On peut toujours imposer aux sociétés localisées en Europe, de garder localement les données Européennes.
Ce qui posera certainement des problèmes de coût…
#19
C’est ce qu’a fait un ancien président de ma région quand Dell, qui avait implanté une usine dans ma ville, voulait se barrer : il était prêt à les autoriser à partir… à condition qu’ils remboursent toutes les subventions qu’ils avaient obtenues jusque-là.
" />
À ce jour, Dell est toujours ici.
Mais bon, c’est pas les politocards actuels qui sauront à ce point taper du poing sur la table, hélas…
#20
L’europe n’est ni un pays ni une nation et surtout personne n’est d’accord sur rien en europe même pas sur la météo.
#21
Voilà en résumé pourquoi l’Europe ne marche pas….