Le GDPR met beaucoup de gestionnaires de noms de domaine européens devant un dilemme: suivre les règles européennes ou s’en tenir au contrat conclu avec l’ICANN. La pérennité de la base de données Whois notamment dépend de ce choix. Cette problématique a en tout cas déjà généré un premier procès.
A Bonn, l’ICANN accuse en effet le gestionnaire de domaines allemand EPGA de violation de contrat. Lors de l’élaboration de sa nouvelle politique de confidentialité suite à l’introduction du GDPR, EPGA a décidé de ne plus suivre les règles fixées par l’ICANN. Le gestionnaire a par exemple cessé de collecter des données complémentaires à propos de contacts administratifs et techniques de sites web.
Qui est qui?
La cause de toute cette affaire est la survie ou l’effectivité future de Whois. Cette banque de données est exploitée par l’ICANN et reprend la liste des propriétaires de tous les sites web au monde. Par défaut, le visiteur voit s’afficher le nom, l’adresse civile, l’adresse e-mail et le numéro de téléphone du propriétaire, ainsi que ceux d’un collaborateur administratif et d’un autre technique. Mais depuis le 25 mai, pas mal d’informations ont été supprimées du site.
Publier des informations personnelles sur internet, sans autorisation préalable, est en effet devenu illégal aux termes du GDPR, qui impose en cas de non-respect de solides amendes. Or une clause dans le contrat conclu par les gestionnaires de noms de domaine avec l’ICANN prévoit que ces informations doivent être collectées et publiées, ce qui crée des tensions.
En Belgique, DNS Belgium, qui a conclu un contrat avec l’ICANN pour .vlaanderen et .brrussels, respecte les règles du GDPR, a déclaré Philip Du Bois de DNS Belgium à Data News: “Nous avons dû faire un choix cornélien. Soit suivre le contrat ICANN et enfreindre la réglementation GDPR, soit suivre les règles européennes et enfreindre le contrat ICANN. Nous avons finalement choisi la seconde option, parce que nous pensons que cela va davantage dans l’intérêt de nos clients.”
Pour les entreprises .be, dnsbelgium est elle-même responsable et suit donc les règles européennes. “Nous les avons en fait simplement ajustées. Pour ce qui est des personnes privées, nous ne donnions dans le passé déjà que très peu de renseignements. Uniquement une adresse e-mail”, précise Du Bois. “Mais comme cette adresse contient parfois le nom d’une personne, nous ne la publierons plus. Si quelqu’un veut entrer en contact avec le propriétaire d’un site web, il faudra passer par une solution intermédiaire, par laquelle nous demanderons d’abord l’autorisation de transférer l’adresse e-mail.”
Un peu tard
La légalité du système Whois est depuis assez longtemps dans la ligne de mire (les règles du GDPR existent depuis deux ans déjà), mais le débat sur le sujet s’avère compliqué. L’ICANN est en principe encore et toujours une entreprise américaine, qui n’est pas soumise aux règles européennes. L’action est donc arrivée tardivement, après que certains gestionnaires de noms de domaine aient indiqué ne plus vouloir publier d’informations personnelles sur Whois.
L’ICANN avait demandé en avril (2018) à l’UE un moratoire d’un an, pour adapter ses règles au GDPR, mais il s’est fait éconduire. A la mi-mai (2018), l’organisation publia alors une directive temporaire pour Whois et signala à ses différents clients (des entreprises qui vendent des adresses internet et qui maintiennent en place l’infrastructure internet) qu’ils devaient se mettre en ordre avant le 25 mai, un délai qui parut un tantinet trop ambitieux.
Nombre de gestionnaires de noms de domaine avaient aussi précédemment déjà pris leurs propres mesures. L’un d’eux est l’allemand EPGA, un gestionnaire dépendant de Tucows, le deuxième plus important ‘registrar’ au monde. Sur base du GDPR, EPGA a élaboré sa propre politique, comme il l’a indiqué dans un communiqué posté sur son blog, qui ne prévoit plus la collecte d’informations ‘inutiles’. Collecter ‘uniquement les renseignements nécessaires’ représente l’un des principes fondamentaux du GDPR, mais la définition de ce qui est nécessaire ou pas, est précisément à la base du procès actuel. Selon l’ICANN, EPGA doit absolument collecter des informations de contact du propriétaire du site, de même que d’un contact administratif et d’un contact technique, alors que selon le gestionnaire allemand, il s’agit généralement de la même personne. Pour EPGA, rien que l’information sur le propriétaire s’avère plus que suffisante, alors que la collecte de renseignements supplémentaires enfreindrait les règles du GDPR et pourrait faire en sorte que l’entreprise se voit imposer de très fortes amendes.
Un juge de Bonn doit à présent se prononcer sur l’affaire. Inutile d’écrire que cela pourrait avoir de lourdes conséquences pour tous les autres gestionnaires de noms de domaine en Europe.
Cyber-crime
Le jugement et le sort final réservé à Whois sont non seulement suivis de très près par les gestionnaires de noms de domaine, mais aussi par les chercheurs en sécurité et les services de police. Ceux-ci utilisent en effet souvent la base de données pour savoir qui se trouve derrière certains sites web et serveurs mail (douteux).
L’avocat Steven Farmer signale dans un courrier adressé au Wall Street Journal que le GDPR complique la vie des services de police qui luttent contre les cybercriminels. Il critique par exemple la réglementation européenne, parce que beaucoup d’entreprises préfèrent mettre de l’eau dans leur vin et suivre l’interprétation plus stricte du GDPR que de mettre à jour une volumineuse banque de données. “Il est regrettable que nous ne recevions aucun accompagnement à propos de quelques principes importants”, explique-t-il ainsi dans une interview accordée à la BBC.
Selon Du Bois, on n’en est cependant pas encore là: “Ces données ne seront plus publiquement disponibles, mais nous en disposons encore. Dans le cadre de la sécurité générale, nous collaborons avec le SPF Economie et avec par exemple la FCCU pour combattre la cybercriminalité. Si ces informations sont sollicitées dans le cadre d’une enquête, nous les donnerons. Mais nous n’allons plus directement afficher les infos de personnes privées à un large public.”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici