À vos marques, prêts, RGPD ! (Part 1 : noms de domaine)

Temps de lecture estimé : 7 minute(s)

À quelques jours de l’entrée en application du RGPD, ou règlement général sur la protection des données, tous les acteurs sont dans les starting-blocks. Les entreprises et organisations concernées bien entendu, mais aussi les registrars comme OVH qui ont été confrontés à quelques zones d’ombre entre les volontés de l’Union européenne et les engagements de certains organismes comme l’ICANN jusqu’à très récemment. Explications.

 

Le règlement général sur la protection des données a été mis en place par l’Union européenne afin de garantir à tous ses ressortissants le choix de la publication et l’exploitation de leurs informations personnelles sur Internet. Le récent scandale de Cambridge Analytica a d’ailleurs permis d’en révéler toute l’importance. Deux visions politiques des données publiées sur Internet se sont confrontées, celle de l’Union européenne et celle de l’ICANN, l’autorité des noms de domaine basée aux Etats-Unis. La problématique des noms de domaine implique de nombreux acteurs, privés et publics, entre registrars, registrants et registres. Le challenge à relever était donc de taille afin de garantir la protection des données personnelles des titulaires de noms de domaine, de sites Web, ou stockant de l’hébergement, tout en se conformant aux impératifs des organismes internationaux.

Un Calzone Model mi-figue mi-raisin

Alors que ce règlement est connu depuis son adoption par le Parlement européen depuis 2016, l’ICANN a pris du temps pour réagir. Le 28 février 2018, un modèle provisoire a été proposé de l’autre côté de l’Atlantique afin que toute la réglementation en matière de noms de domaine puisse être en conformité avec le RGPD européen. Et ce n’est que le 14 mai qu’il est officialisé auprès de l’ensemble de la communauté. Nommé « Calzone Model », il enveloppe, à l’instar de ce célèbre plat italien, de nombreux ingrédients, pour la plupart issus de propositions d’acteurs européens émises de longue date. « Ce modèle est une avancée significative dans la mise en conformité des règles de noms de domaine avec le RGPD », explique Rémi Loiseau, Registry Liaison Manager pour OVH.

Le Whois en question

En premier lieu se pose la problématique du Whois. Toute personne ou entité qui enregistre un nom de domaine a pour obligation de renseigner un certain nombre d’informations à caractère personnel qui étaient jusqu’à maintenant accessibles à tous. Un impératif aujourd’hui mis à mal avec les injonctions du RGPD. Selon Suzanne Carranca, Registry Liaison Manager pour OVH, « le groupe avait déjà une longueur d’avance avec son service gratuit OWO, qui permet de masquer certaines informations dans le Whois. Toute la complexité actuellement, c’est qu’en fonction des extensions, notamment pour les gTLDs, le Whois dépend d’acteurs publics, semi-publics, privés, nationaux et internationaux. Depuis plus d’un an, OVH a donc multiplié les rencontres, les formations, les supports d’information auprès de la multitude de ces interlocuteurs pour que tout soit en conformité avec le RGPD ».

Le transfert en terre inconnue

Reste aussi à régler le problème du transfert. Comment, pour un registrant, transférer un nom de domaine d’un bureau d’enregistrement à un autre avec le masquage des données contacts sur les Whois ? La question est demeurée longtemps sans réponse dans le Calzone Model. Un comité de registrars dont OVH fait partie a donc fait des suggestions à l’ICANN pour proposer des solutions. Aujourd’hui validées par l’ICANN, ces dispositions serviront de référence pour tous les acteurs. L’idée est de se baser sur le Auth-Code – une clé de sécurité qui, au même titre que le code RIO pour les lignes téléphoniques, authentifie chaque nom de domaine – et de rendre le FOA (Form Of Approval) optionnel. Le titulaire du nom de domaine devra renseigner à nouveau ses informations personnelles auprès du nouveau registrar. Selon Rémi Loiseau, « Sur tous ces sujets majeurs, l’enjeu pour OVH est d’assurer à tous les titulaires d’un nom de domaine le même niveau de service, de sécurisation et de protection de ses données personnelles ».

Les principaux fondements du nouveau modèle de l’ICANN

  • La justification légale de la collecte, de l’utilisation et de la publication des données personnelles dans le WHOIS sera fondée sur la mission d’harmonisation de l’ICANN et le reflet des droits de titulaires de noms de domaine ;
  • Seront publics : le nom de domaine, des informations sur le ou les serveurs de noms primaires et secondaires (DNS) pour le nom de domaine enregistré, des informations sur le bureau d’enregistrement, la date de création de l’enregistrement et la date d’expiration de l’enregistrement. Des informations supplémentaires pourront éventuellement apparaître : le nom du titulaire ne sera pas public, mais l’« organisation » à laquelle cette personne appartient devra l’être ; l’adresse exacte du titulaire ne sera pas publique, mais son État / sa région pourra l’être ; l’adresse e-mail et les coordonnées téléphoniques du titulaire ne seront pas publiques, mais une adresse anonymisée ou un formulaire permettra de le contacter ; il en ira de même pour les contacts administratifs et techniques ;
  • La durée de conservation des données ne changera pas (1 an après l’expiration du nom de domaine chez OVH) ;
  • Le modèle s’appliquera à tous les registrars accrédités auprès de l’ICANN et aux registres de gTLDs.

Ce modèle ne s’applique pas aux registres des ccTLDs qui auront le choix de suivre le modèle ou non. En ce qui concerne le .fr, sachez que l’Afnic protège déjà l’identité de personnes physiques en ne révélant que celle des personnes morales.

 

Glossaire

Un nom de domaine, ou DN en anglais, est l’adresse qui permet d’identifier les sites Web, sans avoir à taper l’adresse IP.  Il est composé d’une « racine » (ou Second Level Domain), qui correspond au nom voulu pour le site, et d’une « extension » (Top Level Domain) pour une répartition par secteur d’activité (.com, .edu, etc.) ou zone géographique (.fr, .de, etc.).

Le sigle gTLD est l’abréviation de generic Top Level Domain (domaine de premier niveau). Il correspond à toutes les extensions de trois caractères ou plus qui sectorisent l’activité du site Web (.org pour les organisations ou le plus connu .com pour les activités commerciales), indépendamment de son pays d’origine. Les extensions gTLD sont gérées par différents organismes privés, le plus connu étant Verisign.

Le sigle ccTLD est l’abréviation de country code Top Level Domain (domaine de premier niveau national). Il correspond à toutes les extensions de deux caractères en rapport avec un pays (.fr, .ru…) ou une zone géographique (.eu pour l’Europe). Les extensions ccTLD sont gérées par des organismes propres à chaque pays ou regroupement de pays.

L’ICANN (Internet Corporation for Assigned Names and Numbers) est une association internationale basée en Californie qui fait autorité sur les noms de domaines dans le monde. Depuis 2016, elle n’est plus sous la tutelle du gouvernement américain. Elle a sous sa responsabilité l’IANA, qui gère le système de noms de domaine de premier niveau et qui relie les adresses IP à un nom de domaine afin que chaque adresse soit valable et unique.

Le registre (Registry) désigne à la fois la base de données de noms de domaine d’une ou plusieurs extensions et l’organisme chargé de sa gestion. Il est aussi parfois appelé NIC pour Network Information Center, terme décliné ensuite par pays (l’AFNIC pour la France).

Le bureau d’enregistrement ou registraire (Registrar) est une organisation responsable de la réservation de noms de domaine auprès des revendeurs ou des clients finaux.

Le registrant est le titulaire d’un nom de domaine dont il jouit du droit d’utilisation sur une période déterminée selon les extensions ou les registres.

Le Whois est un annuaire fourni par les registres de noms de domaines, librement accessible par Internet et permettant d’obtenir des informations techniques et administratives sur une adresse IP ou un nom de domaine donné. On distingue le Thick Whois, « épais » car il comprend 98 % des extensions existantes, du Thin Whois, « fin » car il concerne moins d’extensions mais plus de volume (notamment le .com). Pour le premier, le Whois est entièrement pris en charge par le registry. Dans le second cas, le Whois est codiffusé par le registry et le registrar.