Nouvelles extensions ou protection des données personnelles ?

Premier pas vers la commercialisation des nouvelles extensions : l’ICANN publie officiellement la demande d’exemption d’OVH

Le 27 janvier, l’ICANN a publié, sur son site, un communiqué(1) reprenant la demande d’exemption déposée par OVH en décembre dernier (voir article ci-dessous). Cette publication a pour objectif de permettre à la « communauté » de formuler d’éventuelles observations sur l’argumentation juridique d’OVH.

Pour rappel, afin de signer les contrats de l’ICANN (RAA 2013) et pouvoir commercialiser les nouvelles extensions (gTLD) sans contrevenir au droit de l’UE, OVH avait en effet demandé la mise en place d’une procédure d’exemption pour les articles redéfinissant la nature des données à conserver.

« OVH est le tout premier registrar à obtenir de l’ICANN que sa demande d’exemption soit examinée. La plupart des registrars ont fait le choix de signer les nouveaux contrats de l’ICANN sans prendre en considération les problématiques liées aux données personnelles. L’officialisation de la recevabilité de notre demande marque une étape importante dans la reconnaissance de notre problématique. Nous devons encore attendre quelques semaines avant de connaître la décision finale de l’ICANN. » explique Romain Beeckman, responsable juridique d’OVH.

La réponse définitive est attendue d’ici 30 jours.

(1) https://www.icann.org/en/news/announcements/announcement-27jan14-en.htm

De nouveaux contrats d’accréditation

Au printemps dernier, afin de préparer le déploiement des nouvelles extensions (gTLD), l’ICANN mettait à jour ses contrats d’accréditation des registrars. À cette occasion, un certain nombre de dispositions sont reformulées. Les contenus majeurs du RAA 2013 visent notamment le WHOIS***** avec une volonté d'uniformisation des pratiques et de mise en place d'un standard. Ils touchent également la procédure de vérification et d'actualisation des données des titulaires de noms de domaine, les dispositions sur les services d'anonymisation, ainsi que les spécifications relatives à la conservation des données.
Pour ce dernier point, le RAA 2013 précise notamment la nature des données à conserver, de même que la durée de leur conservation. Ainsi, les articles 1.1.1 à 1.1.8 (Annexe 2) portent sur la conservation des données directement liées au WHOIS en demandant qu’elles soient conservées pendant deux ans au-delà de la période du contrat. Les clauses 1.2 à 1.2.3 concernent, quant à elles, des données de paiement et de communication qui doivent être conservées six mois à compter de la fin du contrat.

Romain Beeckman, responsable juridique chez OVH.

Des dispositions jugées non-conformes au droit européen

Dès septembre 2012, alors que l’ICANN menait ses travaux préliminaires sur ses nouveaux contrats, le groupe de travail des CNIL européennes a pris position. Celui-ci a jugé ces dispositions non conformes au droit de l’UE et a invité l’ICANN à apporter une réponse à cette problématique : “Because there is no legitimate purpose, and in connection with that, no legal ground for the data processing, the proposed data retention requirement is unlawful in Europe. Since the registrars (both within Europe and worldwide to the extent they are processing personal data from EU citizens) are data controllers (responsible for the collection and processing of personal data), the Working Party is concerned that this new obligation will put them in the uncomfortable position of violating European data protection law. The Working Party would deeply regret a situation where data protection authorities were to be forced to enforce compliance and urges you to rethink the proposals” (Annexe 3).

Mise en place d’une procédure d’exemption

Suivant les observations du groupe Article 29, l'ICANN a alors mis en place une procédure d'exemption pour le cas des registrars qui se retrouveraient en situation de non-conformité avec leur propre législation. Un formulaire devait être retourné, accompagné d’un document émanant d’une autorité nationale justifiant la demande (Annexe 4).
En juin 2013, le groupe Article 29 a demandé à l’ICANN la mise en place d’une procédure uniforme pour l’ensemble des pays européens afin d’éviter aux registrars des 27 pays de l’UE d'avoir à solliciter chacun leur autorité nationale (Annexe 5).
Mais l’ICANN a réaffirmé la nécessité d’un document provenant d’une autorité nationale.

"Tous les registrars européens sont confrontés à cette situation. La plupart semble l’avoir écartée et avoir fait le choix de signer les nouveaux contrats de l’ICANN sans prendre en considération ces problématiques liées aux données personnelles Deux autres sont, comme OVH, partis du principe, qu’en l’état, ils ne pouvaient pas signer"

Concernant OVH

OVH s’est alors tourné vers son autorité de tutelle, la CNIL, qui par la voix de sa présidente, a confirmé être en accord avec la position du groupe Article 29. Le courrier a aussitôt été transmis à l’ICANN.
Refus. Pour l’ICANN, cette lettre n’est pas suffisante : “However, the materials you have submitted are insufficient to meet the requirements of the interim waiver procedure. The waiver procedure requires (1) identification of the specific laws or regulations upon which the waiver request is based and (2) identification of the specific allegedly offending data collection and retention elements. Your submission fails to identify the specific allegedly offending data collection and retention elements” […] “ICANN requires that the legal opinion or governmental ruling or written guidance referenced above specifically identify the law(s) that would be violated and identify the specific data collection and/or retention requirements! that would violate the law(s)”, peut-on lire dans la réponse du 3 décembre dernier.
La procédure d’exemption d’OVH n’a toujours pas pu aboutir.
Tous les registrars européens sont confrontés à cette situation. La plupart semble l’avoir écartée et avoir fait le choix de signer les nouveaux contrats de l’ICANN sans prendre en considération ces problématiques liées aux données personnelles.
D’autres (nous avons pu en identifier deux : un luxembourgeois et un irlandais) sont, comme OVH, partis du principe, qu’en l’état, ils ne pouvaient pas signer. À ce jour aucune demande d’exemption n’a été validée par l’ICANN.

Quelle porte de sortie ?

Pour enfin obtenir l’exemption, aujourd’hui les seules possibilités pour OVH sont soit que la CNIL formalise tel que demandé par l’ICANN le fait que les données en question et leurs conditions de conservation ne sont pas conformes à la loi. Soit qu’une autre demande d’exemption provenant d’un registrar soumis à la même législation qu’OVH, soit accordée par l’ICANN, créant ainsi un précédent.
Mais jusqu’à présent, OVH semble être seul à avoir entamé cette démarche en France. OVH et la CNIL travaillent de concert en ce sens.
Et il y a urgence, puisque l’ouverture des nouvelles extensions au grand public est prévue pour début 2014.
Si OVH signait le contrat de l’ICANN en l’état, l’entreprise serait obligée de conserver les données personnelles, ce que la CNIL pourrait sanctionner.
« Prendrons-nous le risque de signer en nous mettant en contradiction avec la loi ? Prendrons-nous le risque de ne pas répondre aux attentes de nos clients, de passer à côté de nouveaux marchés et de remettre en question notre développement économique ? Nous faisons en sorte de ne pas avoir à nous poser ces questions », conclut Romain.
À suivre.

* Un registrar est un bureau d'enregistrement de nom de domaine, une société ou une association qui gère la réservation de noms de domaine Internet. Il est notamment responsable de la maintenance de la base de données des noms de domaine réservés auprès de lui, ainsi que de la mise à jour de la base de données des registres qu'il représente.
** Internet Corporation for Assigned Names and Numbers (ICANN, en français, la Société pour l'attribution des noms de domaine et des numéros sur Internet) est une autorité de régulation de l'Internet. C'est une société de droit californien à but non lucratif contrôlant l'accès à tout domaine virtuel, qu'il soit générique ou national.
*** La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
**** Groupe de Travail créé par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données http://ec.europa.eu/justice/data-protection/article-29/index_fr.html
***** Base publique, le WHOIS stocke et permet l'affichage de l'ensemble des données relatives à un domaine (propriétaire, contacts, statut, prestataires..) Ces informations ont des usages très variés, que ce soit la coordination entre ingénieurs réseaux pour résoudre un problème technique, ou bien la recherche du titulaire d'un nom de domaine par une société qui souhaiterait l'obtenir.

Annexes

1/ Contrats d’accréditations de l’ICANN :
RAA2009 www.icann.org/en/resources/registrars/raa/ra-agreement-21may09-en.htm
RAA2013 www.icann.org/en/resources/registrars/raa/approved-with-specs-27jun13-en.htm
2/ Extraits du contrat RAA 2013 de l’ICANN :
« Data retention specifications :
1.1.1. First and last name or full legal name of registrant;
1.1.2. First and last name or, in the event registrant is a legal person, the title of the registrant's administrative contact, technical contact, and billing contact;
1.1.3. Postal address of registrant, administrative contact, technical contact, and billing contact;
1.1.4. Email address of registrant, administrative contact, technical contact, and billing contact;
1.1.5. Telephone contact for registrant, administrative contact, technical contact, and billing contact;
1.1.6. WHOIS information, as set forth in the WHOIS Specification;
1.1.7. Types of domain name services purchased for use in connection with the Registration; and
1.1.8. To the extent collected by Registrar, "card on file," current period third party transaction number, or other recurring payment data.
1.2. Registrar shall collect the following information and maintain that information for no less than one hundred and eighty (180) days following the relevant interaction:
1.2.1. Information regarding the means and source of payment reasonably necessary for the Registrar to process the Registration transaction, or a transaction number provided by a third party payment processor;1.2.2. Log files, billing records and, to the extent collection and maintenance of such records is commercially practicable or consistent with industry-wide generally accepted standard practices within the industries in which Registrar operates, other records containing communications source and destination information, including, depending on the method of transmission and without limitation: (1) Source IP address, HTTP headers, (2) the telephone, text, or fax number; and (3) email address, Skype handle, or instant messaging identifier, associated with communications between Registrar and the registrant about the Registration; and
1.2.3. Log files and, to the extent collection and maintenance of such records is commercially practicable or consistent with industry-wide generally accepted standard practices within the industries in which Registrar operates, other records associated with the Registration containing dates, times, and time zones of communications and sessions, including initial registration.”
www.icann.org/en/resources/registrars/raa/approved-with-specs-27jun13-en.htm#data-retention
3/ Lettre du groupe Article 29 en date du 26 septembre 2012 : http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2012/20120926_letter_to_icann_en.pdf
4/ Formulaire de procédure d’exemption de l’ICANN : www.icann.org/en/resources/registrars/updates/retention/waiver-request-process
5/ Lettre du groupe Article 29 en date du 06 juin 2013 : ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2013/20130606_letter_to_icann_en.pdf