Nous vous l’indiquions hier dans nos colonnes, le sujet phare qui occupe la plupart des débats se déroulant au sein des différentes commissions, demeure le nouveau règlement de protection des données personnelles dit « RGPD ». Mais, est-ce le seul sujet de discussion de cet ICANN ?
RGPD … toujours
Ce règlement va impacter tous les acteurs publiques ou privés de l’industrie, ce qui explique sa place majeure. Personne n’est réellement épargné et c’est aussi pourquoi les discussions opposent, de report de responsabilité, ou complexification parfois, par manque ou flou quant à son implémentation pratique.
Le fameux Whois sera nécessairement impacté par ce règlement mais ce n’est pas pour autant par exemple que les données ne pourront pas être accessibles. Une demande d’accès devra cependant être justifiée. Il convient donc de définir les conditions d’accès et les personnes éligibles. Il est ainsi logique que dans le cadre d’une vérification de légitimité, d’une procédure arbitrale, d’une demande provenant d’un gouvernement,… les données personnelles puissent être divulguées. Le but est bien ici de protéger les personnes physiques de manière raisonnée afin d’éviter les abus.
Ces discussions sont importantes car elles doivent permettre de déboucher ensuite sur un modèle (l’AFNIC registre du .FR ainsi que le SIDN registre du .NL, sont les premiers à avoir élaboré et soumis leurs modèles) , applicable aux extensions génériques (anciennes et nouvelles). Mais elles doivent aussi inspirer les registres nationaux qui vont devoir établir des procédures…Et les premières versions de certains dénotent parfois une incompréhension relative à l’essence même de la politique, qui doit permettre l’obtention d’un accord explicite de la part d’une personne dont les données vont être publiées.
Données personnelles Vs données de personnes morales
Se tiennent par exemple de nombreuses discussions visant à savoir si une donnée de contact relative à une personne physique , contact d’une société titulaire d’un nom de domaine doivent tomber sous l’égide du RGPD. Autrement dit, doit-on considérer que la catégorisation doit dépendre de la finalité des données ou de leur nature ? En effet une personne physique indiquée en tant que contact d’une société dans un Whois est nécessaire, car l’entité elle même ne sera pas capable de répondre… Ainsi dans un tel cas , s’agit-il d’une donnée privée ? Il semble logiquement que non, même si ce point fait débat.
Whois et accès aux données…..
Anonymiser les données est une chose mais, il faut également en parallèle prévoir des conditions d’accès via l’établissement de procédures réglementées de levée d’anonymat. Il est par exemple toujours surprenant de voir qu’il n’existe pas de procédure spécifique permettant, pour un gTLD, de demander à un registre de dévoiler l’identité d’une personne, sous réserve de justification. Est-il logique de devoir initier un procédure UDRP afin de pouvoir obtenir des données pour devoir ensuite éventuellement retirer sa plainte lorsque l’on peut finalement apprécier l’éventuelle atteinte à la lumière de l’identité du titulaire ? Heureusement, il existe des moyens annexes permettant souvent, d’obtenir les données concernées.
Les registres nationaux appliquant déjà ce type diffusion limitée disposent parfois, à l’image du .FR, de procédures strictes permettant l’obtention des coordonnées d’un titulaire personne physique, mais d’autres à l’inverse ne s’attachent pas à l’élaboration de telles mesures permettant le maintien d’un équilibre nécessaire.
Nouveaux gTLDs et « second round »
On oublierait presque avec tout cela que les travaux visant à réviser et définir les règles d’encadrement de la prochaine ouverture de candidature à l’obtention d’une nouvelle extension, demeurent … Les travaux avancent. Les études concernant les procédures de défenses des droits telles que l’URS ou l’UDRP se concrétisent, la procédure pratique également.
Ainsi un calendrier prévisionnel a été présenté en début de semaine. Il prévoit la publication d’un nouveau guide du candidat (le fameux « applicant guidebook ») pour 2019, ainsi qu’un début d’acceptation des candidatures au second semestre 2020. Mais comme il est souligné ce jour, tout cela n’a pas encore été budgété, ce qui laisse planer quelques doutes quant au maintien de ces dates. Les partenariats se discutent de nouveau, car si cette timeline est tenue, nous ne sommes finalement pas si loin de ce lancement, qui mérite donc que l’on commence à s’attarder sur sa préparation. Bien entendu on ne connait pas encore le cout final d’un dépôt de dossier par exemple… de nombreux points restent à définir.
Whois privé : vers une régulation plus stricte
Nous en avions parlé en fin d’année passée lors de la tenue du précédent meeting ICANN d’Abu Dhabi, et cela se profile. Il devrait y avoir une nouvel encadrement, soumis aux respect de certaines conditions de procédure et financières, permettant aux acteurs le souhaitant de proposer un service de whois privé. Le but est ici de pouvoir éviter les dérives via un encadrement plus strict, autorisant ce service à continuer de protéger de manière justifiée l’identité et les données whois des personnes le souhaitant, tout en permettant d’éviter la création de repères de cybersquatteurs via des prestataires non contraints à toute coopération.
Des accréditations et des partenariats pour SafeBrands
Il reste toujours de nouvelles extensions à lancer, telles que le .APP de Google dont la sunrise débutera le 29 mars prochain (lire notre article précédent). SafeBrands poursuit donc ses rencontres avec les registres afin de pouvoir offrir en tant que registrar accrédité, les extensions concernées.
Nouveaux gTLDs, mais il ne faut pas oublier les extensions nationales. Les règles de nombreux registres nationaux évoluent, entrainant des révisions de procédures et introduisant également de nouvelles procédures d’accréditations. Pour des raisons évidentes , nous ne dévoilerons pas ici dans les détails ces procédures mais avons par exemple rencontré le registre chilien afin de finaliser notre partenariat.