Sécurité

Protection des données, quand l’ICANN et le RGPD s’emmêlent…

ICANN, RGPD, WHOIS découvrez les nouvelles réglementations concernant la protection des données personnelles.

Depuis quelques temps, deux instances se déchirent autour de la réglementation sur la protection des données à caractère personnel et notamment le WHOIS. Quels en sont les acteurs ? Quels sont les principaux points de litiges ? Quelles en sont les conséquences ? Détails et informations à suivre ! 

Retour sur le point central du litige : le WHOIS.

 

Le WHOIS (littéralement Qui est-ce ?) est la carte d’identité d’un nom de domaine. Il permet de connaître le Registrar en charge de ce dernier, les dates clé… Mais il permet aussi de connaître les données personnelles du propriétaire telles que nom, prénom, adresse postale, adresse email.

Ces données étaient obligatoirement renseignées et, point de discorde majeur, elles étaient publiques et accessibles à tout un chacun en ligne. Les renseignements demandés étaient ceux du contact propriétaire du nom de domaine, contacts administratifs et techniques qui pouvaient tout à fait être des personnes physiques.

Une variété de renseignement qui donnait lieu à une exploitation de ces données dans une optique commerciale et ce, sans accord préalable de la personne concernée.

 

Se pose donc un premier problème : celui de la protection des données à caractère personnel.

 

Revenons quelques années auparavant, en 1982, année de création du WHOIS. A cette époque, le WHOIS était uniquement réservé aux utilisateurs de l’ARPANET. Il contenait les informations et contacts de ces utilisateurs de la même manière qu’aujourd’hui mais le nombre d’utilisateurs pouvant avoir accès à cette base était bien plus restreint.

Avec la croissance d’internet, d’autres personnes sont entrées dans le WHOIS : les détenteurs de noms de domaine par exemple.

Ce n’est qu’en 1998 que l’ICANN récupère le WHOIS mais, assez rapidement, elle délègue à d’autres entités l’enregistrement des noms de domaine (Registres et Registrar). Ces sociétés deviennent à présent responsables de la mise à jour du WHOIS.

Se pose donc un deuxième problème : à quelle règlementation sont soumises ces entreprises ? 

A vrai dire, jusqu’en 2018, la question ne se posait pas réellement puisqu’aucune loi n’était venue supplanter la règlementation de l’ICANN.

 

Le RGPD et l’ICANN, des vents contraires autour du WHOIS… 

 

Ce n’est qu’en mai 2018 que le Parlement Européen publie un Règlement Général sur la Protection des Données. Et c’est dans l’Article 5 que se trouve le point névralgique du contentieux actuel. Cet Article définit le niveau de qualité attendudans le traitement des données à caractère personnel.

En voici les extraits les plus importants :

  • “Les données à caractère personnel doivent être : traitées de manière licite, loyale et transparente au regard de la personne concernée.”
  • “Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.”
  • “Traitées de façon à garantir une sécurité appropriée”

 

Pour résumer, il s’agit d’un condensé de bonnes pratiques : loyauté, transparence, données minimisées, et dont la conservation est limitée dans le temps et dont la confidentialité est assurée.

 

C’est dans le dernier alinéa que la question de responsabilité est évoquée. La question de responsabilité est fondamentale pour cette réglementation. En effet, elle permet de mettre en exergue la question du “responsable du respect” de ces critères.

  • “Le responsable du traitement est responsable du respect (du texte) et est en mesure de démontrer que celui-ci est respecté.”

 

Le règlement conduit ainsi les états membres à sortir de la logique de déclaration auprès des autorités de contrôle (ICANN). Ainsi, ils devront assumer les conséquences d’une violation des règles préétablies par le RGPD.

Comment les Registres et Registrar s’adaptent-ils à ces deux règlementations allant à l’encontre l’une de l’autre ? Un Registrar allemand a fait une interprétation stricte du texte et à juger que la collecte des informations demandées par le WHOIS allaient à l’encontre du RGPD. Il a donc cessé de collecter les informations relatives aux contacts administratifs et techniques de cette base de données.

La réponse de l’ICANN ne s’est pas faite attendre puisqu’elle entame une procédure judiciaire devant le tribunal de Bonn afin de perpétuer la collecte de ces informations. La requête ayant été rejetée en première instance, l’ICANN fait appel mais doit bien admettre, malgré tout, que le WHOIS va devoir subir une mise en conformité rapidement.

 

Evolution du WHOIS : les moments clés de la mise en conformité de l’ICANN 

 

Revenons d’abord sur l’intérêt premier du WHOIS afin de mieux comprendre les évolutions proposées par l’ICANN.

A l’origine, cette base de données permettait d’assurer aux autorités un contact physique derrière une entité dématérialisée, tel qu’un site internet. En effet, la cybercriminalité est un sujet de plus en plus présent dans notre quotidien et il convient de parvenir à identifier des individus derrière des URL.

On comprend que la disparition du WHOIS soit difficilement envisageable pour certains protagonistes. En effet, certaines entités se retrouveraient démunis de leur seule capacité à identifier des individus frauduleux.

Néanmoins, la protection des données à caractère personnel contraint l’ICANN à proposer des projets de révision du modèle existant.

 

Plusieurs projets ont été successivement présentés :

  • Le modèle Calzone, présenté le 28 février 2018 comme modèle provisoire de WHOIS.

     

    Ce modèle limite le nombre d’informations partagées publiquement. Elles comportent :  le nom de domaine lui-même, les informations administratives et techniques (notamment la date de l’enregistrement, le nom du bureau d’enregistrement). Mais sont présentes également les informations relatives au pays titulaire, un moyen de contacter le titulaire du nom de domaine (formulaire de contact ou email anonymisé).

    Le but est de limiter l’accès aux autres informations (notamment numéros de téléphone, adresses postales, adresses email etc.) à des utilisateurs accrédités. Ces utilisateurs restreints seraient les autorités policières et judiciaires notamment.

    Les critères d’accréditation restent encore assez vagues puisque le Comité Européen de la Protection des Données a rejeté les propositions de l’ICANN.

 

  • Le Temporary Report, présenté le 17 mai 2018, reprenait dans les grandes lignes les directives du “Calzone Model”.

     

    Il met en avant la restriction d’accès à des données à caractère personnel par des entités accréditées. Il définit également de façon plus spécifique le rôle des Registrar et Registres dans la collecte des données.Par exemple, il met en avant la responsabilité des Registrars de proposer aux Registrants (propriétaires de noms de domaine) lors de l’enregistrement une option leur permettant de rendre leurs données publiques.

     

    De fait, elles seront privées par défaut mais l’option doit être obligatoirement proposée. De même, les Registrars seraient obligés de créer un formulaire de contact anonyme afin de pouvoir contacter le Registrant.

    Si vous souhaitez en savoir plus sur les différences entre ces deux modèles cliquez ici !

 

Outre les problématiques de légiférations concernant la protection des données à caractère personnel, il avait été noté depuis quelques années déjà des dysfonctionnement techniques au sein du WHOIS. Une réponse technique et innovante a donc été proposée : le RDAP.

 

Le RDAP (Registration Data Access Protocol), une réponse aux problèmes techniques du WHOIS 

 

Depuis quelques temps, de nombreux experts ont démontrés l’obsolescence du WHOIS et en particulier son retard face aux exigences actuelles du web. Le WHOIS ne prend pas en charge, par exemple, les polices non latines. Il ne propose pas non plus de connexion sécurisée ou une possibilité de mettre en place un accès règlementé.

Plusieurs versions se sont succédées, le WHOIS ++, le protocole Denis IRIS (Internet Registry Information Service). Mais ces versions apportaient une révision sommaire de quelques défauts sans repenser réellement le WHOIS.

 

RDAP (Registration Data Access Protocol) est une réelle version améliorée du WHOIS. Le groupe en charge de sa conception s’est focalisé sur les points faibles du WHOIS afin de proposer une version reposant sur trois piliers : sécurité, structuration et internationalisation.

 

Voici quelques-unes des innovations proposées :

 

  • Accès sécurisé aux coordonnées demandées (HTTPS par exemple)
  • Basé Web (HTTP)
  • Transmission standardisée des requêtes
  • Possibilité d’accorder un accès différencié aux données de contact

 

Le nouveau modèle devrait être mis en place le 26 août 2019 auprès des Registres et Registrar.

 

Et maintenant ? 

 

Le 25 mai 2019, le modèle temporaire proposé par l’ICANN expirera et devra donc être remplacé par un autre. La deadline approchant, quel modèle sera donc appliqué ?

Les commissions se succèdent afin de tenter une conciliation entre la lutte pour la protection des données et la lutte contre la cybercriminalité. Le comité EDP [comité en charge du processus accéléré d’élaboration de politiques N.D.L.R] a été chargé de proposer un modèle permanent le plus rapidement possible.

Réunies lors de l’ICANN 63 à Barcelone, les différentes parties prenantes ont continué les discussions. Plusieurs modèles (relativement semblables au modèle temporaire) ont été présentés aux membres des commissions mais également au public afin que tout un chacun puisse émettre un avis.

 

Et Netim dans tout ca ? 

 

Vous l’aurez compris, le sujet est loin d’être clos et le problème majeur qui se pose est l’hétérogénéité dans l’application des nouvelles règlementations. Ainsi, en fonction des Registrars et Registres, certains ont tout simplement effacés toutes les données du WHOIS, d’autres ont cessé de les collecter et certains continuent de divulguer les informations au public.

Une disparité qui ne sert ni la lutte contre la cybercriminalité ni la protection des données à caractère personnel.

 

Netim se veut conforme au RGPD, nos WHOIS sont anonymisés afin de protéger les données personnelles de nos clients.

Nous vous tiendrons bien évidemment informés de la suite des événements et restons à votre disposition si vous avez la moindre question.

 

Voir plus d’actualités sur la sécurité

Julie Kozlowski

Responsable de contenu

Articles similaires

Bouton retour en haut de la page