23 Jul 17:49
[actus_l] Deux enjeux pour les bases WHOIS : Les données personnelles et l accèsà la base de données
From: Bb! <bigband@...>
Subject: [actus_l] Deux enjeux pour les bases WHOIS : Les données personnelles et l accèsà la base de données
Newsgroups: gmane.politics.activism.vie-privee.actu
Date: 2008-07-23 15:53:01 GMT
Expires: This article expires on 2008-08-06
Subject: [actus_l] Deux enjeux pour les bases WHOIS : Les données personnelles et l accèsà la base de données
Newsgroups: gmane.politics.activism.vie-privee.actu
Date: 2008-07-23 15:53:01 GMT
Expires: This article expires on 2008-08-06
http://www.domainesinfo.fr/chronique/200/marie-emmanuelle-haas-deux-enjeux-pour-les-bases-whois-les-donnees-personnelles-et-l-acces-a-la-base-de-donnees.php Deux enjeux pour les bases WHOIS : Les donnĂ©es personnelles et l’accès Ă la base de donnĂ©es Les donnĂ©es de la base WHOIS sont essentielles et sont nĂ©cessaires aux tiers qui veulent par exemple identifier la personne physique titulaire d’un nom de domaine ou procĂ©der Ă une recherche de disponibilitĂ© complète incluant les noms ressemblant Ă la dĂ©nomination concernĂ©e. La situation est diffĂ©rente de celle des bases de donnĂ©es de marques et les enjeux sont importants, en termes de dynamisme de l’extension et de sĂ©curitĂ© juridique pour les tiers. Points essentiels : • DiffĂ©rence entre la base WHOIS et les registres des marques Les bases de donnĂ©es des offices nationaux des marques comportent des donnĂ©es qui peuvent ĂŞtre des donnĂ©es personnelles lorsque le dĂ©posant est une personne physique. La mention de ces donnĂ©es est prĂ©vue et rendue obligatoire par la loi, ce n’est pas le cas pour les noms de domaine. • Les lacunes de la base WHOIS Le protocole WHOIS ne dispose pas d’une forte sĂ©curitĂ©. Le WHOIS est dĂ©ficient en ce qui concerne les mĂ©canismes de contrĂ´le d’accès, l’intĂ©gralitĂ© et la confidentialitĂ©. En consĂ©quence, les services basĂ©s sur WHOIS ne devraient ĂŞtre utilisĂ©s que pour des donnĂ©es non sensibles et accessibles Ă tous. • Textes de rĂ©fĂ©rence sur la gestion de la base WHOIS Règlements (CE) n° 733/2002 du 22 avril 2002 et n° 874/2004 du 26 avril 2004 pour le .EU et article L. 45 du Code des Postes et des Communications Electroniques et son dĂ©cret d’application (article R. 20-44-48 du mĂŞme Code) pour la zone .FR. • "SQAW" : Service QualifiĂ© d’Accès aux donnĂ©es WHOIS Service d’accès privilĂ©giĂ© Ă la base WHOIS de l’AFNIC permettant une interrogation Ă©largie de la base WHOIS de la zone FR. Il permet Ă©galement des recherches de disponibilitĂ© Ă©largies aux noms similaires, voire des recherches par nom de titulaire. Ces services sont assurĂ©s par certains bureaux d’enregistrement spĂ©cialement accrĂ©ditĂ©s Ă cet effet et dont fait partie INDOM. La comparaison entre la base WHOIS et les registres des marques. L’extrait WHOIS du nom de domaine peut ĂŞtre comparĂ© au certificat d’enregistrement de la marque, puisque ces deux documents identifient le nom enregistrĂ© et le titulaire. A la diffĂ©rence du certificat d’enregistrement, l’extrait WHOIS a Ă©galement une fonction technique, puisqu’il identifie le registre en charge de l’extension et de la base WHOIS associĂ©e, ainsi que le bureau d’enregistrement ou registrar qui enregistre et hĂ©berge le nom de domaine. Les bases de donnĂ©es des offices nationaux des marques comportent des donnĂ©es qui peuvent ĂŞtre des donnĂ©es personnelles lorsque le dĂ©posant est une personne physique. La mention de ces donnĂ©es est prĂ©vue et rendue obligatoire par la loi, ce n’est pas le cas pour les noms de domaine. Lorsque le titulaire est une personne physique, les donnĂ©es le concernant portent dans les deux cas sur le nom et l’adresse postale. Pour les noms de domaine, elles portent aussi sur son adresse Ă©lectronique et son numĂ©ro de tĂ©lĂ©phone. La divulgation des adresses Ă©lectroniques pose une difficultĂ© spĂ©cifique car la base WHOIS est utilisĂ©e comme source d’adresses pour les spammeurs. Cet aspect rend la question très sensible. Elle est une diffĂ©rence essentielle entre les noms de domaine et les marques. La base WHOIS et la protection des donnĂ©es personnelles. La base WHOIS de chaque registre est gĂ©rĂ©e selon les critères dĂ©finis dans le contrat d’accrĂ©ditation entre l’ICANN (Internet Corporation for Assigned Names and Numbers) et le registre. Les standards de l’Internet qui encadrent la gestion de la base WHOIS sont les Request for Comments (RFC). Les RFC les plus importantes sont la RFC 1591 de mars 1994 et la RFC 3912 de septembre 2004 qui prĂ©cise que "le protocole WHOIS ne dispose pas d’une forte sĂ©curitĂ©. WHOIS est dĂ©ficient en ce qui concerne les mĂ©canismes de contrĂ´le d’accès, l’intĂ©gralitĂ© et la confidentialitĂ©. En consĂ©quence, les services basĂ©s sur WHOIS ne devraient ĂŞtre utilisĂ©s que pour des donnĂ©es non sensibles et accessibles Ă tous". Les règles de droit interne sont Ă©galement applicables Ă chaque registre. Pour la France, les deux textes de rĂ©fĂ©rence sur les noms de domaine sont la rĂ©glementation communautaire sur la gestion de la base WHOIS du .EU (règlements (CE) n° 733/2002 du 22 avril 2002 et n° 874/2004 du 26 avril 2004) et la rĂ©glementation nationale relative Ă la gestion de la base WHOIS de la zone .FR, avec l’article L. 45 du Code des Postes et des Communications Electroniques et son dĂ©cret d’application (article R. 20-44-48 du mĂŞme Code). Pour la protection des donnĂ©es personnelles, il s’agit de la loi n° 78-17 du 6 Janvier 1978, modifiĂ©e, relative Ă l’informatique, aux fichiers et aux libertĂ©s. La loi pose le principe de la centralisation des donnĂ©es WHOIS par un organisme unique, tandis que le dĂ©cret prĂ©cise que "les offices collectent, en tant que de besoin auprès des bureaux d’enregistrement, et conservent les donnĂ©es de toutes natures nĂ©cessaires Ă l’identification des personnes morales ou physiques titulaires de noms de domaine. Ils mettent en place une base de donnĂ©es publiques d’informations relatives aux titulaires des noms de domaine, dans le respect de la loi du 6 janvier 1978 relative Ă l’informatique, aux fichiers et aux libertĂ©s" (article L 45-I al.5). Les règlements communautaires posent Ă©galement le principe de la conformitĂ© de la base de donnĂ©es WHOIS au droit communautaire sur la protection des donnĂ©es et de la vie privĂ©e (règlement du 22 avril 2002, 12ème considĂ©rant et articles 2 et 4). Le règlement de 2004 prĂ©cise quant Ă lui que "la base de donnĂ©es WHOIS contient des informations sur le titulaire d’un nom de domaine, qui sont pertinentes et non excessives par rapport Ă la finalitĂ© de la base de donnĂ©es. Si les informations ne sont pas strictement nĂ©cessaires par rapport Ă la finalitĂ© de la base de donnĂ©es et si le titulaire est une personne physique, les informations devant ĂŞtre rendues publiques doivent ĂŞtre soumises au consentement sans Ă©quivoque du titulaire du nom de domaine" (article 16 alinĂ©a 2). Les seules informations portĂ©es Ă la connaissance des tiers dans tous les cas de figure sont celles relatives au contact administratif et au contact technique. Ces informations doivent ĂŞtre "raisonnablement exactes et actuelles". La gestion des donnĂ©es personnelles du .EU et du .FR : une Ă©volution convergente. Dès sa crĂ©ation, le registre du .EU (EURid) a mis en place une procĂ©dure en ligne de communication des donnĂ©es personnelles. C’est depuis dĂ©cembre 2007, que l’AFNIC a mis en place une procĂ©dure comparable pour lever l’anonymat. Il est important qu’une telle procĂ©dure existe car le risque est sinon de favoriser les pratiques de piratage par des personnes physiques peu scrupuleuses qui se sentent protĂ©gĂ©es par l’anonymat de la procĂ©dure d’enregistrement. Il s’agit de concilier la lĂ©gitime protection des donnĂ©es personnelles avec la protection des droits de propriĂ©tĂ© intellectuelle et des droits de marques d’une part et avec les droits des consommateurs et du public des internautes, d’autre part. Les acteurs du web doivent pouvoir ĂŞtre identifiĂ©s car leurs agissements engagent leur responsabilitĂ©. Un internaute qui a subi un dommage causĂ© par une pratique exercĂ©e sur un site web doit pouvoir identifier les personnes responsables Ă l’origine de ce site et le titulaire du nom de domaine peut en faire partie. S’il est vrai que le droit français oblige l’éditeur du site web Ă s’identifier, cette obligation n’est pas toujours respectĂ©e et n’existe pas dans tous les pays. Chaque registre dĂ©finit la politique de gestion de sa base WHOIS. L’autre aspect relatif Ă la gestion de la base WHOIS rĂ©side dans les droits qui peuvent ĂŞtre consentis aux tiers par chaque registre pour interroger sa propre base. Cette interrogation est nĂ©cessaire par exemple pour procĂ©der Ă des recherches d’antĂ©rioritĂ©s ou Ă des surveillances des nouveaux enregistrements. Le but de ces recherches est d’identifier non seulement les noms de domaine identiques Ă la dĂ©nomination objet de la recherche, mais Ă©galement les noms de domaine ressemblant Ă cette dĂ©nomination. En ce qui concerne le registre EURid en charge du .EU, la base WHOIS peut ĂŞtre interrogĂ©e pour des recherches Ă l’identique. En revanche, il n’est pas possible d’interroger la base WHOIS pour procĂ©der Ă des recherches sur des noms similaires, ni Ă des recherches par nom de titulaire. Avec le "service qualifiĂ© d’accès aux donnĂ©es WHOIS", l’AFNIC propose depuis dĂ©cembre 2007 de "fournir Ă des organismes qui en font la demande et sous certaines conditions la liste des noms de domaines enregistrĂ©s chaque jour en .fr, associĂ©s aux noms des bureaux d’enregistrement ayant procĂ©dĂ© Ă ces enregistrements". Ce service est payant et l’AFNIC exige que l’organisme apporte "une valeur ajoutĂ©e Ă l'information fournie" et prĂ©sente "des garanties quant Ă l’utilisation de cette information". Elle propose ainsi un accès privilĂ©giĂ© Ă sa base WHOIS. Cet accès est la voie vers des modes d’interrogation Ă©largis de la base WHOIS de la zone FR et par exemple vers des recherches de disponibilitĂ© Ă©largies aux noms similaires, voire des recherches par nom de titulaire. Les consĂ©quences. Le mode de divulgation des donnĂ©es personnelles et le mode d’accès Ă la base WHOIS ont des consĂ©quences importantes. Si les recherches sont globalement limitĂ©es Ă des recherches Ă l’identique, il n’est pas possible d’identifier les noms de domaine portant atteinte Ă une marque, sous la forme d’une imitation de cette marque. Il n’est pas non plus possible, lors de recherches d’antĂ©rioritĂ©s, d’identifier tous les noms de domaine susceptibles de constituer des droits antĂ©rieurs. Il en rĂ©sulte : ď€ * un moindre dynamisme de la zone puisque la surveillance des nouveaux enregistrements est nĂ©cessairement limitĂ©e aux noms identiques ; ď€ * une certaine insĂ©curitĂ© juridique, puisqu’il n’est pas possible de faire des recherches d’antĂ©rioritĂ©s autres que des recherches Ă l’identique. Marie-Emmanuelle HAAS Avocate Ă la Cour Cabinet CASALONGA AVOCATS me.haas@...
_____ Liste de diffusion d'informations relatives à l'informatique et aux libertés Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l
RSS Feed