Est-ce que la RGPD s’applique aussi au WhoIs ?

Le Whois est ce qui permet d’identifier le titulaire d’un domaine. Il fait appel à un registre accessible à tous où sont enregistrés chaque titulaire d’un nom de domaine. Cependant, l’arrivée de la nouvelle réglementation européenne relative aux données à caractère personnel (RGPD) fin mai 2018 pourrait remettre en question le WhoIs.

A l’instar de l’Afnic avec l’extension .FR, l’arrivée du RGPD permettrait potentiellement de protéger les coordonnées de chaque détenteur d’un nom de domaine et donc de les rendre anonymes aux yeux de tous. Est-ce vraiment envisageable ? C’est ce que nous allons voir dans cet article.

Qu’est-ce que le RGPD ?

Définition du RGPD

Dans un premier temps, il convient d’expliquer ce qu’est la RGPD et en quoi cela va pouvoir toucher les noms de domaines et leurs propriétaires.

Le Règlement Général sur la Protection des Données (RGPD) est une nouvelle loi qui entrera en application le 25 mai 2018. Ce texte de loi européen aura la priorité sur les lois nationales et s’appliquera donc sur toute la zone de l’Union Européenne.

Le RGPD est un texte de loi qui commence à faire du bruit et inquiète beaucoup d’entreprises. Pourquoi ? Parce que ce texte va permettre d’encadrer les pratiques de tous les acteurs du digital concernant les données personnelles d’utilisateurs qu’ils traitent.

Si vous êtes présent sur le web, alors vous êtes concernés par le RGPD, quelque soit votre activité.

Bien sûr, les acteurs du web les plus concernés seront ceux qui utilisent les données personnelles à des fins commerciales tels que les éditeurs ou les régies publicitaires.

RGPD : Quels seront les changements ?

Les critères qui seront cruciaux et à respecter concernant le traitement des données sont les suivants :

  • La protection réelle des données, le principe du Privacy by design :
  • Le consentement du consommateur : 
  • Le vrai droit à l’oubli ou « droit à l’effacement » : 
  • L’accès de l’utilisateur à ses données : 
  • Le délégué à la protection des données – DPO : 

Si ces 5 critères ne sont pas respectés, l’entreprise est passible de pénalités. Ces pénalités peuvent être très importantes car elle peuvent aller jusqu’à 4% du CA de l’entreprise ou bien 20 millions d’euros d’amende.

L’objectif est d’apporter davantage de garanties aux utilisateurs concernant leurs données personnelles et leurs utilisation. Même si cela concerne de grands groupes installés hors de l’UE, tels que les GAFA. Ils seront dans l’obligation se conformer au RGPD.

Quid du RGPD et de l’enregistrement des noms de domaine ?

L’ICANN et les registres et bureaux d’enregistrements européens

Il existe actuellement des débats juridiques entre les registrars et registres européens et l’ICANN. L’ICANN est la principale autorité de régulation de l’Internet. En effet, c’est elle qui gère l’attribution des domaines de premier niveau, soit les gTLD. C’est donc elle qui donne les accréditations aux différents registres tels que Verisign (.COM, .NET) et aux différents bureaux d’enregistrement.

Le problème étant que pour êtres accrédités par l’ICANN, les bureaux d’enregistrement sont pour le moment contractuellement obligés de diffuser les données personnelles de leurs clients. A chaque enregistrement de certains noms de domaines, le registrer ou le registrar doivent publier le WhoIs. Le WhoIs est un registre accessible à tous et qui fournit les coordonnées du propriétaire du nom de domaine.

En plus de cela, les bureaux d’enregistrement sont également obligés de transmettre les coordonnées du propriétaire à l’ICANN ainsi qu’à d’autres intermédiaires. Tout cela sans l’accord préalable du propriétaire du nom de domaine, ce qui rentre en conflit avec le RGPD.

De plus, cela pose également la question de la responsabilité du traitement des données. Qui sera responsable en cas de fuites d’informations ou d’actions répréhensibles ? Est-ce que l’utilisateur sera obligé de donner accès à ses données pour acheter un nom de domaine ou bien est-ce qu’il aura le choix de rester totalement anonyme ?

Le WhoIs en danger avec la RGPD

A quoi sert le WhoIs et pourquoi va-t-il à l’encontre du RGPD ?

Le concept même du WhoIs est contraire au RGPD. C’est un service en accès libre qui permet d’avoir accès à des données pouvant être sensibles. On peut y trouver le nom, prénom, le nom de société, les adresses postales et électronique ainsi que le numéro de téléphone d’une entité ou d’une personne.

Jusqu’ici, le WhoIs était parfois utilisé à des fins commerciales sans consentement préalable de la part des détenteurs des domaines. De nombreuses sociétés utilisent le WhoIs afin de récolter des coordonnées pour ensuite les vendre à d’autres acteurs. Ce genre de comportement est à l’origine du spam par exemple.

L’intérêt du WhoIs aujourd’hui est de pouvoir identifier tous les détenteurs d’un nom de domaine et donc de protéger contre le cybersquatting ou bien le typosquatting. Néanmoins, il est aussi utilisé pour « surveiller » certaines entreprises ou personnes afin d’être alerté lorsqu’elles enregistrent un nouveau nom de domaine.

L’Afnic, précurseur du futur WhoIs ?

Jusqu’ici, seuls les extensions nationales (ccTLD), tels que les .fr, .de, .be, … peuvent bénéficier d’une procédure d’anonymisation des données du Whois. En effet, les extensions concernent uniquement les états associés (France pour le .FR, Belgique pour le .BE, etc…). En France, c’est l’Afnic qui s’en occupe et c’est la première à avoir rendu anonyme les données du WhoIs avec le .FR pour les personnes physiques. Ces coordonnées restent accessibles sur demande à la direction juridique de l’Afnic et sous conditions. Les coordonnées professionnelles du représentant d’une personne morale restent quant à elles librement accessibles au sein du Whois.

Lorsque le RGPD entrera en vigueur et s’il est immédiatement respecté par l’ICANN, alors les services qui utilisent le WhoIs cesseront d’exister. A partir de ce moment, il sera plus difficile d’identifier les détenteurs de noms de domaine. Cela risque de poser problème lorsqu’un détenteur publie des contenus contraires à la loi sur son site mais d’un autre côté cela renforcera également la liberté d’expression.

Quel avenir pour le Whois ?

Le RGPD sera effectif dès le 25 mai 2018, ce qui laisse peut de temps aux différents intervenants pour en établir des discussions. L’ICANN va devoir prendre en compte les recommandations de l’ensemble des registres et des bureaux d’enregistrements de l’Union Européenne.

L’ICANN et les différents registres et registrars européens devront trouver un accord sur le sujet du traitement des données du WhoIs. Mais aussi sur d’autres sujets tel que l’endroit et la manière dont seront stockées les données, combien de temps, etc…

Une chose est sûre, c’est que l’utilisateur aura accès à toutes les informations à ce sujet. Cela risque encore plus de complexifier le choix d’un nom de domaine… Même si c’est pour la bonne cause :). Le niveau de protection de nos données personnelles sera potentiellement bientôt un critère de choix d’un nom de domaine.

Et vous que pensez-vous de l’arrivée du RGPD et de son impact sur le WhoIs ? Êtes-vous pour ou contre ? Et pourquoi ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.