Le règlement général sur la protection des données (RGPD), paru au journal officiel de l’Union européenne en mai 2016, entrera en application le 25 mai 2018. Ce texte, qui prévaudra sur les législations nationales, harmonise le droit à l’échelon européen en matière de protection des données à caractère personnel.
[…]
Le Whois est un service en accès libre, permettant notamment d’obtenir des informations sur le détenteur d’un nom de domaine : nom, prénom, société (le cas échéant), adresses postale et électronique, et numéro de téléphone. Ce service historique du web, dont la création remonte à 1982, permettait alors de recenser et d’identifier quiconque transmettait des informations à travers le réseau Arpanet, l’ancêtre d’Internet. Il a depuis été maintenu, de façon conjointe par l’ensemble des registres sur la base de normes plus ou moins homogènes (RFC). À la fois dans une optique de transparence à laquelle les pionniers de l’Internet étaient attachés, mais aussi probablement en raison du consensus autour de la nécessité qu’un tel service existe, de la part des différentes parties prenantes du réseau : registrars, autorités judiciaires, organismes de lutte contre le spam, détenteurs de marques, créateurs d’œuvres protégées par la propriété intellectuelle, etc.
Le Whois pose, du fait de sa conception même, un problème pour la protection de la vie privée des personnes. La diffusion publique de l’identité, voire d’autres informations relatives au détenteur d’un domaine, ouvre la porte à l’exploitation commerciale de ses données sans consentement préalable, et bien sûr au spam. Certaines sociétés se sont ainsi fait une spécialité d’extraire les données du Whois à intervalle régulier, pour en archiver le contenu, puis commercialiser cet historique ainsi que des fichiers basés sur l’activité probable du titulaire (registrant) en fonction des mots contenus dans le label du domaine (les mots figurant avant le point et l’extension).
Si le Whois trouve évidemment des applications légitimes, par exemple la protection des marques (via les services d’anti-cybersquatting ou typo squatting, ou encore par le biais de la Trademark Clearinghouse), certaines utilisations sont plus inattendues. Il est ainsi possible de souscrire à des alertes basées non pas sur les labels mais sur les titulaires. Auquel cas il devient possible pour vos concurrents d’être notifiés des nouveaux domaines que vous déposez. Sachez-le !
Ces services, qui exploitent les données du Whois, opèrent aujourd’hui dans une faille du droit, que le RGPD entend bien combler. Reste à convaincre les acteurs américains, au premier rang desquels figure l’ICANN, de l’intérêt qu’il y a à adopter un modèle plus protecteur. D’autant que, si l’anonymat permet à certains d’enregistrer des domaines sur lesquels ils publient des contenus litigieux, l’anonymat est en même temps une garantie pour la liberté d’expression. Le cyber-harcèlement, qui est déjà en soi une expérience désagréable, peut vite se transformer en harcèlement « in real life », ciblant par exemple le propriétaire d’un site qui revendique son appartenance à une communauté religieuse, sexuelle, politique, etc.
[…]
Les extensions nationales (ccTLD), tels que les .fr, .de, .be… ne sont pas contractuellement engagées avec l’ICANN de la même manière que les extensions génériques. Leur gestion incombe directement aux États concernés, et ce en toute indépendance. […]
N’étant liée à l’ICANN que par un simple engagement de reconnaissance mutuelle, l’Afnic a, mis en place, dès 2006, une procédure d’anonymisation des données du Whois, appliquée par défaut à tout particulier (personne physique) enregistrant un domaine en .fr, .re, .tf, .yt, .pm et .wf. Sur la fiche correspondant à votre domaine dans l’annuaire Whois, vos coordonnées personnelles (nom, adresse, téléphone, etc..) sont alors remplacées par la mention « diffusion restreinte ». Ces coordonnées sont accessibles, sur demande expresse et motivée, à la direction juridique de l’Afnic et sous conditions, dans le cadre de ce qu’on appelle une procédure de levée d’anonymat. Les coordonnées professionnelles fournies par le représentant d’une personne morale (propriétaire, contact administratif, contact technique et contact de facturation, lesquels peuvent être une seule et même personne), restent quant à elles librement accessibles au sein du Whois.
Attention toutefois : les .paris, .alsace, .bzh, .corsica… ou encore le .ovh, pour lesquels l’Afnic joue le rôle de prestataire technique (Registry Service Provider), ne sont pas des extensions nationales (ccTLD), mais des domaines de premier niveau générique (gTLD). À ce titre, ces extensions sont engagées contractuellement avec l’ICANN et les dispositions de ce contrat ne leur permettent pas aujourd’hui de proposer l’anonymat des informations figurant dans leur Whois. Les possibilités de diffusion restreintes de ces informations sont alors beaucoup moins protectrices, comme nous allons le voir.
[…]
En ce qui concerne les gTLD (.com, .org, .net, .ovh, .top, .pro, .xyz, .paris, online, .mobi pour en citer quelques-uns parmi les plus vendus chez OVH), l’ICANN encadre précisément la gestion des registres. Et les règles du jeu ne sont plus tout à fait les mêmes. Si l’ICANN autorise (sans les encourager) les procédés de « privacy » du Whois, elle ne permet pas une anonymisation complète, même pour les personnes physiques. Leur(s) nom(s) et prénom(s) – au pluriel dans le cas où le propriétaire et les contacts administratifs, techniques et de facturation ne sont pas une seule et même personne – sont ainsi systématiquement exposés dans le Whois.
Certains registres, sans recourir à la diffusion restreinte, ont adopté des procédures intermédiaires intéressantes, bien que pas totalement satisfaisantes. Il en va ainsi du registre du .amsterdam, qui filtre l’accès à son serveur Whois en réclamant aux requêtants la signature d’un contrat d’utilisation du service. Enfin, certains registres n’acceptent tout simplement pas la mise en place, par les registrars, de procédés d’anonymisation partielle des informations, quels qu’ils soient.
Lorsque cela est autorisé par le registre de l’extension, OVH propose donc un service optionnel gratuit d’anonymisation (privacy service) de certaines informations du Whois : adresse postale, e-mail et/ou numéro de téléphone (au choix pour les personnes physiques ; les personnes morales ne pouvant dissimuler que leur adresse e-mail). Dans le cadre du service OWO, OVH redirige vos courriers électroniques depuis une adresse e-mail spécifiquement créée pour cet usage et protégée contre le spam, et vous réexpédie d’éventuels courriers postaux (une mise en demeure par exemple). Ceci sans que vos coordonnées ne soient divulguées à aucun moment, ni revendues à qui que ce soit. Un service qui apporte une protection minimale, mais ne garantit ni l’anonymat du titulaire ni une protection totale contre le démarchage non sollicité. Car les recoupements de données par des tiers, effectués en toute illégalité, ne sont pas impossibles.