La mise en conformité au RGPD n’est pas un long fleuve tranquille. L’Icann en sait quelque chose avec son annuaire des noms de domaine Whois. Accessible sur le web par tout un chacun, ce dernier permet de retrouver l’identité et les coordonnées de ceux qui détiennent ces noms de domaine : leur nom et prénom, adresse postale, téléphone, email. Beaucoup de ces identifications concernent des entreprises, mais on y trouve aussi des coordonnées pouvant correspondre à des adresses et emails personnelles. Au regard de ses informations, Whois avait donc vocation à être conforme au RGPD. Mais depuis 2 ans, ces travaux sont infructueux.
Le régulateur d’Internet vient de demander de l’aide auprès de l’Union européenne pour rendre Whois conforme au RGPD. Dans une lettre que s’est procurée nos confrères de The Register, il s’agit plutôt d’une supplique adressée à l’exécutif bruxellois, de reprendre les travaux de conformité et de résoudre les problèmes qui demeurent notamment sur la finalisation du SSAD (System for Standardized Access / Disclosure). Ce dernier divise en deux l’annuaire Whois avec un premier niveau ouvert au public et l’autre accessible qu’aux forces de police, aux chercheurs ou dans le cadre de recherche légitimes.
Une alternative en attente
Face au RGPD, l’Icann a eu plusieurs positions sur son annuaire. En 2018, il avait demandé un « moratoire » à la Commission européenne. Cette dernière lui avait répondu que c’était impossible juridiquement, un règlement européen produit ses effets immédiatement (en l’occurrence le 25 mai 2018) pour l’ensemble des Etats membres. Une date fatidique, car un registrar allemand a décidé de sonné la charge en décrétant ne pas collecter les données techniques et administratives conservées pour les besoins du service Whois. Une décision qui a provoqué l’ire de l’Icann dénonçant le risque de « fragmentation » de sa base de données.
Après une bataille judiciaire perdue, le régulateur de l’Internet a décidé de fermer son annuaire en attendant de trouver une alternative. Une ébauche du cadrage du projet a été présentée en juillet 2020 pour un montant de 9 millions de dollars et a levé quelques contestations. Mais notre confrère britannique rappelle surtout qu’il existe d’autres bases de noms de domaine qui elles sont conformes au RGPD.
Commentaire