Depuis l’entrée en vigueur du RGPD dont le but est de protéger l’utilisation et la divulgation des données personnelles mais aussi suivant l’évolution de nombreuses législation nationales, certaines données relatives au titulaire d’un nom de domaine ne sont plus publiées dans le whois.
La divulgation et le traitement des données personnelles est le type de sujet fondamental qui a été et est toujours, à l’origine de nombreuses divergences. Définir ce qu’est une « donnée personnelle » a été la première étape complexe à franchir lors de l’entrée en vigueur du RGPD il y a quelques années… Et il n’est pas certain que l’on y soit universellement parvenu.
Le sujet est rapidement devenu à l’ICANN, le fil conducteur des discussions lors des réunions mais aussi de manière moins formelle, dans les couloirs ou lors des réceptions. Le nom et les coordonnées d’une société inscrite doivent-ils être considérés comme des données personnelles ? La logique me semblerait vouloir que non …
Personnes morales et données personnelles
Cette question ne fait pas consensus, même de nos jours. Malgré ce contexte discordant, l’ICANN a dû élaborer une politique de mise en conformité au RGPD, applicable aux mêmes acteurs en présence.
C’est ainsi que la “spécification temporaire des données d’enregistrement des gTLD” a été créée et est entrée en vigueur 2 ans après la réglementation GDPR. L’ICANN a pleines prérogatives pour régir les gTLD mais pas les ccTLD, qui sont réglementés par leurs pays respectifs et donc par les réglementations nationales.
L’ICANN avait besoin de mettre en œuvre un modèle qui ne concerne que les citoyens de l’UE et devrait alors exiger des mesures différentes, en fonction de la nationalité du registrant.
Ainsi, le modèle choisi est un compromis et oblige les registres et les bureaux d’enregistrement à ne pas divulguer les données si le déclarant est un citoyen de l’Union européenne.
Un modèle appliqué avec liberté
Cependant, certains prestataires n’ont pas mis en œuvre ce modèle comme ils auraient dû le faire et caviardé dans le Whois, tous les détails du titulaire, quelle que soit sa nationalité, ou même si le titulaire est une entreprise.
Du coté des pays, certains protègent les données personnelles mais exigent la divulgation des données Whois, pour ne pas compliquer la défense des droits des tiers… tandis que d’autres nécessitaient une décision de justice pour divulguer les données.
L’objectif de la non-divulgation est de protéger les données personnelles même si au contraire cela rend plus difficile pour les titulaires de droits d’agir et de défendre leurs droits car cela ajoute une étape, au moins pour obtenir les données du titulaire.
RGPD ne veut pas dire données masquées mais protection de la personne visée
En effet, l’exigence impérative pour rester cohérent avec l’objectif est d’offrir un moyen d’obtenir la divulgation, sur la base d’un motif justifié bien sûr. Malheureusement, ce n’est pas le cas pour certains ccTLDs… A l’inverse le Danemark par exemple choisi de divulguer les données de ces titulaires personnes physiques en accord avec le RGPD tant que Taiwan, applique à son ccLTD la non-divulgation pour les personnes de l’Union Européenne.
Du côté des extensions génériques, l’introduction d’un système centralisé de divulgation des données personnelles par l’ICANN est à l’étude depuis plusieurs années.
Petite précision : cela ne résoudrait pas le cas des whois privé, lui aussi pris en compte et qui sera régulé de manière différente.
Choix d’un nouveau nom
Une première décision a été prise semble -t-il aujourd’hui et non des moindres pour certains : le changement de nom du système envisagé qui apparait faire consensus dans la salle : « Registration Data Request Service », au lieu de « Whois Disclosure System ».
Suite à une résolution du 27 février dernier, le conseil d’administration de l’ICANN a demandé au directeur par intérim de déployer le système envisagé dans un délai de 11 mois.
Le système serait alors testé pendant une période de 2 ans afin que sa pertinence et son fonctionnement tant en termes que d’intérêt que de collecte d’information puisse être évalué.
Le conseil d’administration de l’ICANN a demandé au GNSO (Generic Names Supporting Organisation) de développer une politique afin d’encourager les registrars à utiliser ce système et ensemble, d’établir des critères d’évaluation de son succès.
En effet il s’agirait ici d’un système non obligatoire dont il faudrait ainsi promouvoir les avantages pour une adoption large de la part de la communauté des registrars.
Le système est à l’étude et les questions concernent ce jour surtout la nature des données et les conditions de collecte de ces dernières.
Le calendrier suivant est communiqué :
- Juin 2023 : Mise en place d’une première maquette de soumission de demandes individuelles
- Août 2023 : Finalisation de la procédure de soumission en lot des demandes. Celle possibilité continue de recueillir des avis séparés opposant les partisans de la simplicité de soumission et ceux y voyant une complexification de l’analyse
- Septembre / Novembre 2023 : première phase d’intégration de registrars pour teste de la solution
- 2024 et 2025 : deux années dédiées à l’analyse de fonctionnement.