L’impact (réel) du RGPD sur les données Whois

Depuis la mise en place du RGPD en mai dernier, beaucoup de choses ont été dites (notamment par nous lors de  webinars  et dans des articles ici même) sur l’accès aux données d’enregistrement des noms de domaine. 

Il nous parait utile en ce début d’été de faire un point concret sur là où nous en sommes.

Contrairement à une idée trop souvent propagée, le RGPD ne bloque pas l’accès à ces données et il est toujours possible d’agir. La procédure est simplement devenue plus complexe car il faut commencer par engager une action afin d’obtenir les coordonnées d’un titulaire avant de pouvoir lancer une autre action dans le but de faire cesser une atteinte ou de récupérer un domaine. 

Avant toute chose, il faut bien différencier le « whois privé » et le masquage des coordonnées lié au RDPD :

– Les services de « whois privé », encore appelés « proxy ».

Ici le titulaire, qui peut être une personne physique ou une personne morale, a payé pour masquer ses données. Il n’y a ici aucune obligation de la part du prestataire de dévoiler les données de son client. Même dans le cadre d’une UDRP il peut soit les divulguer soit ne pas le faire. Dans le cadre d’une demande judiciaire en revanche, il le devra. Dans ce domaine, les prestataires sérieux côtoient des prestataires qui prétendent fournir du whois privé pour masquer le fait qu’en réalité… ils enregistrent les noms pour eux !

Notre expérience en la matière et notre réseau nous permettent dans 95% des cas d’indiquer en amont de l’action si le prestataire coopérera ou pas. 

– RGDP / Données masquées car le titulaire est une personne physique. 

Dans ce cadre, il reste possible de demander au registrar, sur la base de la détention d’un droit, une transmission des coordonnées du titulaire. C’est certes fastidieux, mais cela reste possible. Ce qui semble perdre tout le monde c’est que suite à l’entrée en vigueur du RGPD, l’ICANN / la communauté* devait élaborer un système uniforme pour la gestion des levées d’anonymat. Comme souvent avec un système collaboratif (« multi stakeholder ») comme l’ICANN, les discussions durent longtemps, et ce cadre est encore en cours d’élaboration. Pour le moment il est a des « spécifications temporaires » encadrant la levée et il est bien indiqué que sur la base d’une demande justifiée, les données peuvent être divulguées. Ce défaut d’harmonisation et l’incompréhension du RGPD par certains registrars complexifie les choses : il faut parfois insister, citer les textes etc… C’est sur ce terrain que des spécialistes des noms de domaine comme SafeBrands, accrédités ICANN et dans de nombreux pays, peuvent faire la différence en apportant une expertise très spécifique.

Par ailleurs, et pour simplifier encore les choses (!) l’ICANN a malheureusement proposé deux systèmes (un global et un plus fin) entrainant un bon nombre de registrars à masquer les données de toute personne physique, ce qui dépasse allègrement les règles du RGPD qui ne concerne à la base que les personnes physiques européennes. Un indien, par exemple, n’a pas de raison de bénéficier du RGPD, mais les registrars, par simplification, prudence, mauvaise analyse ou volonté délibérée, masquent souvent les données de tout le monde.

De la même manière il y a un débat afin de savoir si l’on considère des données de personnes physiques apparaissant en contact d’un titulaire personne morale comme des données personnelles et donc couvertes par le RGPD. L’AFNIC, comme SafeBrands, répond non, mais cela participe aussi au flou car rien n’est tranché sur ce sujet. 

Notons pour finir, concernant le whois privé et la levée d’anonymat, que des systèmes de régulation sont en cours d’élaboration au sein de l’ICANN. Mais rien n’est à ce jour finalisé et ne le sera avant au minimum l’année prochaine. 

Matthieu Aubert, directeur juridique de SafeBrands

*: Notons ici que le terme « communauté » permet aux entreprises, principales concernées car victimes en première ligne du cybersquatting, de faire entendre leurs voix dans les débats « ICANNiens ». Malheureusement celles-ci sont terriblement passives et absentes des discussions. Les bureaux d’enregistrement « corporate » comme SafeBrands, se chargent de défendre leurs intérêts, mais ils se sentent souvent bien seuls dans ce combat ! Avis donc à nos lecteurs qui aimeraient se faire entendre : le prochain congrès de l’ICANN aura lieu début septembre à Montréal (https://meetings.icann.org/en/montreal66), où nous avons notre représentation nord-américaine, et nous serons ravi de vous accueillir lors de cet évènement majeur, avec en cadeau la traditionnelle French Night dont SafeBrands est partenaire aux côtés de l’Afnic !

1 réponse

Trackbacks (rétroliens) & Pingbacks

  1. […] L’impact (réel) du RGPD sur les données Whois […]

Les commentaires sont fermés.