WHOIS et RGPD : l’impossible conciliation ?

Les bureaux d’enregistrement de noms de domaine n’ont pas été épargnés, devant eux aussi se mettre en conformité avec le RGPD, notamment en anonymisant leur répertoire WHOIS.

L’anonymisation des répertoires WHOIS soulève des problématiques encore non traitées opposant les défenseurs de la vie privée aux titulaires de droits de propriété intellectuelle ainsi qu’aux représentants des forces de l’ordre.

Il semble donc légitime de se demander s’il ne serait pas possible de concilier vie privée et respect des droits de propriété intellectuelle ou encore WHOIS et RGPD. 

« Internet est devenu moins sûr en raison d’une interprétation trop conservatrice du RGPD par la communauté de l’ICANN » (Gregory Mounier, responsable de la sensibilisation et de la gouvernance d’internet à Europol).

Le RGPD en bref

Le RGPD appelle à la transparence et à la responsabilisation des acteurs intervenants sur des traitements de données à caractère personnel afin de préserver la vie privée des citoyens de l’Union européenne.

Pour se faire, le RGPD s’accompagne de peines pouvant être très lourdes en cas de comportement répréhensible. Le cas de British Airways illustre parfaitement la sévérité des amendes puisque l’autorité de contrôle britannique avait déclaré publiquement en 2019 son intention de sanctionner la société British Airways par une amende de 183,39 million de livres sterling.

Le WHOIS en bref

Le WHOIS est une base de données publique crée par l’Internet Corporation for Assigned Names and Numbers (ICANN) dans les années 1970 (Evans, Claire L. (2018). P.116. Broad Band: The Untold Story of the Women Who Made the Internet. New York: Portfolio/Penguin). Cette base répertorie notamment les noms et coordonnées des titulaires des noms domaine, mais également des contacts administratifs et techniques de ces noms de domaine ainsi que des bureaux d’enregistrement concernés.

En conséquence, le WHOIS est une ressource précieuse en cas de conflit portant sur un nom de domaine ou un site internet, mais également en cas de tentative de rachat de noms de domaine.

Jusqu’à peu, les bureaux d’enregistrement de noms de domaine devaient accepter la politique de l’ICANN qui imposait la publication des informations relatives aux titulaires sur le WHOIS afin d’être accrédités et proposer à la vente l’enregistrement de noms de domaine.

Une appropriation rapide du RGPD par l’ICANN

Par suite d’une consultation publique des bureaux d’enregistrement, deux résolutions du Conseil d’administration de l’ICANN sont publiées le 17 mai 2018, soit 8 jours avant l’entrée en application du RGPD, et entraînent l’adoption d’une « Spécification temporaire relative aux données d’enregistrement des gTLD » afin d’anticiper l’application du RGPD.

Cette Spécification permet de transmettre aux bureaux d’enregistrement la position de l’ICANN vis-à-vis du RGPD et ainsi de leur indiquer les règles à suivre, en particulier pour les bureaux d’enregistrement les plus stricts ayant tout simplement décidé de supprimer leur registre WHOIS et de ne plus collecter de données personnelles (voir https://www.icann.org/en/system/files/correspondence/sprey-to-Marby-9oct17-en.pdf).

Cette spécification temporaire impose notamment aux bureaux d’enregistrement établis au sein de l’Espace économique européen (EEE) ou proposant des services d’enregistrement aux titulaires de nom de domaine établis dans l’EEE ou ayant recours à des sous-traitants établis au sein de l’EEE, de « censurer » les données personnelles relatives aux titulaires des noms de domaine présentes dans les WHOIS, à moins que ces personnes physiques n’aient consenti à la publication de leurs données sur les WHOIS.

Toutefois, l’ICANN ne modifie pas l’obligation pour les bureaux d’enregistrement de collecter ces données personnelles, seule leur divulgation au public sur le WHOIS étant concernée par l’obligation de censure.

ICANN VS EPAG Domainservices Gmbh

Le jour même de l’entrée en application du RGPD, le bureau d’enregistrement allemand EPAG Domainservices Gmbh décide d’en faire une application encore plus stricte que celle faite par l’ICANN dans la Spécification temporaire, en refusant de collecter et de mettre à disposition de cette dernière les données relatives aux contacts techniques et administratifs des noms de domaine.

Cette position constitue une violation manifeste de la politique de l’ICANN rappelée notamment dans la Specification temporaire, raison pour laquelle l’ICANN a décidé d’agir en urgence contre le bureau d’enregistrement.

Cette action est également réalisée afin d’obtenir une interprétation par la justice de l’impact du RGPD sur les WHOIS et ainsi préciser la politique de l’ICANN.

Le tribunal allemand (Cour régionale de Bonn, 25 mai 2018, n° 10 O 171/18) est saisi de l’affaire. Il balaye toutefois les arguments formulés par l’ICANN et refuse d’enjoindre le bureau d’enregistrement de traiter les données personnelles des contacts administratifs et techniques au motif que l’ICANN ne démontre pas suffisamment que le traitement de ces données est indispensable et est donc conforme au principe de minimisation imposé par le RGPD.

Le raisonnement du tribunal allemand ne convient pas à l’ICANN qui interjette appel en sollicitant de la Cour allemande la transmission d’une question préjudicielle à la Cour de Justice de l’Union européenne (CJUE) portant sur la portée de l’application du RGPD aux registres WHOIS.

Le Cour d’appel allemande (Cour d’appel de Cologne, 1^er août 2018, n° 19 W 32/18) décide cependant de rejeter l’appel ainsi que la question préjudicielle en considérant que l’interprétation du RGPD « n’était pas importante pour cette décision ».

Cette petite saga judiciaire est un double échec pour l’ICANN puisque :

1)      Les bureaux d’enregistrement peuvent désormais légalement ne plus traiter de données personnelles relatives aux contacts techniques et administratifs des noms de domaine ;

2)      La CJUE ne pourra pas se prononcer sur l’interprétation à adopter du RGPD appliqué aux WHOIS.

Une interprétation du RGPD par l’EDPB

Suite à l’arrêt de la Cour régionale allemande, l’ICANN décide de demander l’assistance et l’interprétation du Comité Européen de Protection des Données (EDPB) qui, par courrier du 5 juillet 2018, s’aligne sur le juge allemand et considère que la fourniture de données personnelles relatives aux contacts techniques et administratifs devrait uniquement être facultative et fondée sur le consentement des personnes concernées.

Par cette lettre, l’EDPB confirme également que les données personnelles du titulaire des noms de domaine ne devraient pas être divulguées publiquement, mais uniquement aux personnes ayant un intérêt à les consulter.

Si les autorités publiques peuvent encore accéder aux données personnelles relatives aux titulaires de noms de domaine après en avoir fait la demande auprès des bureaux d’enregistrement, l’accès à ces données est devenu particulièrement compliqué pour les autres personnes dont l’intérêt à accéder à ces données n’est pas encore reconnu, tels que les de titulaires de droits de propriété intellectuelle subissant des actes de contrefaçon.

Cette difficulté a bien été saisie par l’ICANN qui essaye depuis un certain temps d’adopter une politique d’accès hiérarchisé aux données personnelles du WHOIS afin de concilier les intérêts des acteurs en présence et le RGPD.

Vers un accès hiérarchisé aux données du WHOIS 

Consacré dans la Specification temporaire, l’ICANN souhaiterait effectivement permettre un accès hiérarchisé aux données personnelles des WHOIS afin de les mettre en conformité avec le RGPD tout en conservant un minimum d’intérêt pratique.

Cela permettrait de divulguer les données personnelles des titulaires de noms de domaine qu’aux acteurs ayant un intérêt à consulter ces données, mais également de pouvoir contrôler cette divulgation de données en traçant les différents accès.

Si les autorités publiques n’ont pas grande difficulté à accéder à ces données sur simple demande, les acteurs privés devront démontrer leur intérêt à accéder aux données.

Le système voulu par l’ICANN semble en définitive très proche de celui mis en place depuis plusieurs années par l’ICANN avec la « Diffusion restreinte » des données personnelles des titulaires de noms de domaine.

Ce système permet la censure des données personnelles présentes sur le WHOIS public, mais donne la possibilité à toute personne justifiant d’un intérêt particulier à consulter ces données.

Et si la loi imposait la divulgation des données du WHOIS ?

Comme indiqué en introduction, l’entrée en application du RGPD a bouleversé beaucoup d’acteurs et de pratiques.

Toutefois, la collecte et la divulgation de données personnelles sur les registres de marque par les offices de propriété intellectuelle n’ont pas été impactées par le RGPD alors que de nombreuses données personnelles sont traitées par ceux-ci.

La raison étant simplement que ces traitements de données sont imposés par des dispositions légales écartant l’application de nombreuses règles contraignantes du RGPD.

Il serait donc possible d’imaginer une loi ou un règlement européen imposant le traitement de ces données personnelles et répondant ainsi directement à la question de la conciliation des WHOIS et du RGPD puisque ce dernier serait écarté.

Et si les WHOIS étaient supprimés ?

Pour répondre à cette question, il convient de se rappeler que les WHOIS servent initialement à identifier les titulaires de noms de domaine.

Cependant, l’inscription des données personnelles aux WHOIS ne fait l’objet d’aucune vérification pertinente de leur véracité.

En conséquence, un grand nombre de WHOIS sont complétés avec des données fantaisistes ou encore des données usurpées permettant notamment aux contrefacteurs de se dissimuler en toute aisance et compliquant le travail des titulaires de droits de propriété intellectuelle et des forces de l’ordre.

Ce constat n’est pas nouveau puisque l’administration américaine en avait déjà fait un constat similaire en 2002.

Pour tenter de remédier à ce problème, l’ICANN impose une procédure de signalement des WHOIS dont les données sont incomplètes et fantaisistes aux bureaux d’enregistrement pouvant entraîner la suppression du nom de domaine lorsque son titulaire s’avère injoignable.

Toutefois, cette procédure de vérification n’est pas automatique et préalable à l’enregistrement d’un nom de domaine.

La mise en place d’un contrôle systématique et préalable des données WHOIS engendrerait nécessairement une diminution des sites internet illégaux, mais également une baisse du nombre d’enregistrements de noms de domaine auprès des bureaux d’enregistrement et donc nécessairement de leur chiffre d’affaires.

A quoi bon chercher à accéder aux données du WHOIS si celles-ci ne sont pas pertinentes.

Il pourrait être soutenu que, sans vérification des données du WHOIS en amont de l’enregistrement d’un nom de domaine, l’accès aux données du WHOIS n’est en réalité qu’une question secondaire puisque le registre perd tout son intérêt.

Un constat assez simple peut donc être réalisé : la suppression du WHOIS, dont la survivance en l’état est aberrante, permettrait sa conciliation au RGPD.

Par ailleurs, la survivance même du système des noms de domaine (DNS) que nous connaissons encore actuellement peut être remise en question par l’évolution technologique.

En effet, l’utilisation massive des moteurs de recherche et du référencement automatisé des résultats en fonction de leur pertinence présumée permet de se questionner sérieusement sur l’intérêt des noms de domaine.

Ceux-ci ne permettent plus à l’internaute de juger de l’identité d’un site internet par lui-même puisque les moteurs de recherche le font désormais pour lui.

Alors que Google travaille sur la suppression des URL, la suppression des noms de domaine pourrait être l’étape suivante.

Ainsi, en complément de la suppression des WHOIS actuels, il pourrait être intéressant de commencer d’ores et déjà à réfléchir à la mise en place d’un registre répertoriant les données personnelles vérifiées relatives aux propriétaires des sites internet, respectueux des obligations issues du RGPD.