Whois et RGPD

Whois et RGPD : quelles informations peuvent être divulguées ?

23 Juil, 2020  - écrit par  dans Corporate

Le Whois est un annuaire recensant les données techniques et de contact des noms de domaine enregistrés dont le partage et la mise à jour sont confiés principalement aux Registres et aux Registrars comme Gandi. Cet annuaire permet d’obtenir diverses informations sur les contacts liés aux noms de domaine, à savoir le contact titulaire, administratif, technique et encore de facturation – collectivement dénommés Contacts Domaine -.

Historiquement public, le titulaire pouvait souscrire à un service supplémentaire pour protéger son identité, devenu presque obsolète avec la mise en place du Règlement Général sur la Protection des Données (RGPD).

Les différents types de données publiées dans le Whois à l’heure du RGPD

Les données publiées par défaut dans le Whois peuvent varier selon que le nom de domaine concerné soit :

  • Un domaine de premier niveau national (ccTLD) pour lesquels chaque Registre a ses propres règles et certaines informations sont obligatoirement publiées ;
  • Un domaine de premier niveau générique (gTLD), gérés par l’ICANN, dont les informations obligatoires sont notamment le nom, l’adresse, le numéro de téléphone et l’adresse email.

Notre attention se porte sur les évolutions réglementaires ayant impacté les gTLDs.

En effet, le principe d’accès public a été remis en question par l’entrée en vigueur du RGPD le 25 mai 2018. Les obligations imposées par l’ICANN aux bureaux d’enregistrement quant à la collecte et la publication dans le WHOIS des informations concernant les Contacts Domaines ont donc évolué vers le masquage par défaut de ces données.

Toutefois, ces obligations sont générales et laissent aux Registres et Registrars le soin de définir eux-mêmes le mécanisme de divulgation. Il n’y a donc pas de méthodologie uniforme et homogène entre les différents organismes sur cette question.

C’est pourquoi de nombreux débats opposent les partisans du respect de la vie privée qui se félicitent de cette absence de divulgation systématique et les demandeurs d’accès légitimes qui arguent de la protection de l’intérêt public ou de la protection de droits de propriété intellectuelle, entre autres.

La position de Gandi : la conciliation de la transparence et de la protection de la vie privée

Sans attendre l’entrée en vigueur du RGPD, Gandi proposait déjà depuis de nombreuses années un service protégeant les données de ses clients, afin de les prémunir contre le harcèlement et autres spams. Ainsi, Gandi substituait ses propres coordonnées de contact à la place de celles de ses clients, sans coût supplémentaire.

L’entrée en vigueur du RGPD a conforté Gandi dans cette démarche. Le titulaire du nom de domaine est toutefois libre de paramétrer son compte pour rendre les données du Whois accessibles à tous.

Par la mise en place d’un opt-in, Gandi garantit que les données personnelles visibles dans Whois sont le résultat du consentement explicite de la personne concernée.

Cette procédure de divulgation des données repose donc à la fois sur le respect de la vie privée et la protection des données personnelles de ses clients et sur le respect des droits des tiers.

La procédure de divulgation des données

Pour préserver un équilibre entre les intérêts des demandeurs et la protection des données personnelles, Gandi a mis en place une procédure de divulgation des données basée à la fois sur le respect de la vie privée, la protection des données personnelles de ses clients et sur le respect des droits des tiers.

Une distinction est opérée :

  • Concernant la personne titulaire du nom de domaine dont l’identité fait l’objet de la requête : si la divulgation des données d’un titulaire en tant que personne morale ne pose pas de problème particulier, les conditions de transmission des données des personnes physiques sont plus strictes eu égard au RGPD.
  • Concernant le requérant : une identification est opérée afin d’apprécier la légitimité de la requête. Une autre distinction est alors réalisée entre les tiers dit « de confiance » tel que les autorités des pays de l’Espace Economique Européen, dont l’intérêt légitime à obtenir ces informations pourra être présumé, et les tiers « classiques », tel qu’une partie à un litige, qui devront fonder leur demande sur les textes légaux applicables, notamment le RGPD.

La communication des données personnelles de nos clients est donc soumise à une procédure stricte. Pour apprécier la pertinence de la demande, Gandi étudie rigoureusement l’intérêt légitime du requérant conformément à la procédure dédiée.

Pour en savoir plus, nous vous invitons à consulter notre procédure et les modalités complètes de divulgation des données des Contacts Domaine.

Il faut noter toutefois qu’une nouvelle forme de Whois, appelée RDAP (Registration Data Access Protocol) est en cours de développement à l’ICANN et permettra l’accès à certaines données, à certaines catégories de demandeurs authentifiés. Nous vous tiendrons bien évidemment informés dès que nous en saurons plus sur cette nouvelle fonctionnalité.

Paroles d’expert – Me Oriana Labruyère

En réaction au RGPD, l’ICANN a adopté le 17 mai 2018 une Spécification temporaire relative aux données d’enregistrement des gTLD.

Selon cette Spécification temporaire, l’existence de l’intérêt légitime est laissée à l’appréciation des Registres et Registrars. Cette notion recouvre l’idée de nécessité et est exclusive de toute autre base légale selon le RGPD.

Ainsi, la communication de l’identité du titulaire du nom de domaine est possible dans les 3 cas suivants :

  • Aucune autre solution ne permet de l’identifier ;
  • L’identification est nécessaire à la sauvegarde de l’intérêt public par exemple lors d’une enquête ; ou
  • L’identification est nécessaire à la protection d’un droit privé pour défendre la propriété d’une marque notamment.

Jamais absolue, la communication pourrait être rejetée si les libertés et droits fondamentaux du titulaire prévalent sur ceux du requérant.

Fondatrice du cabinet Labruyère&Co, Oriana Labruyère conseille ses clients face aux enjeux du droit du numérique et notamment de la mise en conformité du RGPD.