202003.18

Whois et RGPD : la riposte des États-Unis en marche

L’entrée en vigueur du règlement général sur la protection des données ou RGPD, le 25 mai 2018, a provoqué un séisme en imposant le mutisme de la plupart des bases de données des registres relatifs aux noms de domaine. Les fiches Whois ne parlent que sous la contrainte. L’Internet Corporation for Assigned Names and Numbers (ICANN) a résisté autant et aussi longtemps qu’elle le pouvait, mais elle avait dû se résoudre à soumettre les registres des génériques et les bureaux d’enregistrement au respect de la loi européenne. Cependant, le Département américain du commerce et l’Administration américaine des télécommunications et de l’information s’y opposaient si catégoriquement que l’on pouvait s’attendre à une riposte. La contre-attaque est en marche.

Le 26 février 2020, M. Bob Latta, membre du Congrès des États-Unis, a présenté une proposition de loi visant à contrer les effets du RGPD (eur-lex.europa.eu) sur les bases de données Whois. Selon M. Latta, les motifs justifiant la nécessaire accessibilité des informations permettant d’identifier les titulaires de noms de domaine sont multiples :

  • la protection de la sécurité nationale et économique des États-Unis ;
  • le respect des droits de propriété intellectuelle ;
  • la cybersécurité ;
  • la santé ; et
  • la vie privée.

En résumé, M. Latta rappelle que la fiche Whois, c’est un peu la carte d’identité d’un site Internet. Si les fiches Whois sont muettes, l’identification des auteurs d’actes illicites est rendue plus difficile (latta.house.gov).

Ajoutons, pour notre part, que cette identification est retardée, ce qui est pour le moins handicapant dans les situations où la promptitude doit s’imposer.

Si une telle loi était adoptée aux États-Unis, la question qui se poserait avec le plus d’acuité serait celle de son application dans l’espace. Il est certain qu’elle n’aurait absolument aucun impact sur les bases de données ressortissant des États membres de l’Union européenne et de l’Union européenne elle-même. En revanche, elle s’imposerait évidemment aux registres et aux bureaux d’enregistrement ayant leur siège social dans le ressort territorial des États-Unis. Dès lors, ces derniers devraient-ils rendre aux fiches Whois leur loquacité d’antan ? Certainement puisque la loi leur imposerait. Mais ce faisant, en divulguant les données personnelles de citoyens de l’Union européenne, ne prendraient-ils pas le risque d’une (lourde) condamnation sur le fondement du RGPD ?

À vrai dire, un assouplissement du RGPD devrait être envisagé, qui consisterait à obliger les registres et les bureaux d’enregistrement à divulguer ne serait-ce que les adresses postales et électroniques professionnelles des sociétés titulaires de noms de domaine. Il n’est nul besoin, dans ces adresses, de faire référence à quelque donnée personnelle que ce soit. Certes, les parties concernées ne se satisferaient pas d’une solution qui maintiendrait les données des personnes physiques à l’abri. Il faut bien avouer qu’une telle position peut se comprendre dans la mesure où les cyberdélits sont, le plus souvent, commis par des personnes physiques et non par des personnes morales. Toutefois, il est tout aussi certain que la Commission européenne restera droite dans ses bottes. Au final, il est probable que les registres et bureaux d’enregistrement américains soient contraints de ne libérer les informations Whois que des titulaires de noms de domaine qui n’élisent pas domicile dans le ressort de l’Union européenne.

À propos d'IP Twins

IP Twins est un bureau d’enregistrement de noms de domaine accrédité par l’ICANN avec 15 ans d’expérience dans la stratégie et la gestion des noms de domaine.

Nous délivrons des certificats de sécurité parfaitement adaptés à vos besoins pour garantir la sécurité des visiteurs de votre site Internet.

IP Twins offre aussi des services de surveillance et de lutte contre la contrefaçon et le cybersquatting. Nous représentons les titulaires de marques dans les procédures UDRP. Notre logiciel de surveillance Detective identifie les contrefaçons en ligne. Nous collectons les preuves et pouvons procéder à la suppression des listes sur des centaines de plateformes de marché, de réseaux sociaux et sur le web en général.

Nous disposons également d’une équipe d’investigation présente en Chine.

N’hésitez pas à nous contacter.