Bb! | 23 Jul 17:49
Favicon

[actus_l] Deux enjeux pour les bases WHOIS : Les données personnelles et l accÚsà la base de données

http://www.domainesinfo.fr/chronique/200/marie-emmanuelle-haas-deux-enjeux-pour-les-bases-whois-les-donnees-personnelles-et-l-acces-a-la-base-de-donnees.php	

Deux enjeux pour les bases WHOIS : Les donnĂ©es personnelles et l’accĂšs Ă  la
base de données

Les données de la base WHOIS sont essentielles et sont nécessaires aux tiers
qui veulent par exemple identifier la personne physique titulaire d’un nom de
domaine ou procéder à une recherche de disponibilité complÚte incluant les
noms ressemblant à la dénomination concernée. La situation est différente de
celle des bases de données de marques et les enjeux sont importants, en termes
de dynamisme de l’extension et de sĂ©curitĂ© juridique pour les tiers.

Points essentiels : 

‱  DiffĂ©rence entre la base WHOIS et les registres des marques
Les bases de données des offices nationaux des marques comportent des données
qui peuvent ĂȘtre des donnĂ©es personnelles lorsque le dĂ©posant est une personne
physique. La mention de ces données est prévue et rendue obligatoire par la
loi, ce n’est pas le cas pour les noms de domaine.

‱  Les lacunes de la base WHOIS
Le protocole WHOIS ne dispose pas d’une forte sĂ©curitĂ©. Le WHOIS est dĂ©ficient
en ce qui concerne les mĂ©canismes de contrĂŽle d’accĂšs, l’intĂ©gralitĂ© et la
confidentialité. En conséquence, les services basés sur WHOIS ne devraient
ĂȘtre utilisĂ©s que pour des donnĂ©es non sensibles et accessibles Ă  tous.

‱  Textes de rĂ©fĂ©rence sur la gestion de la base WHOIS
RÚglements (CE) n° 733/2002 du 22 avril 2002 et n° 874/2004 du 26 avril 2004
pour le .EU et article L. 45 du Code des Postes et des Communications
Electroniques et son dĂ©cret d’application (article R. 20-44-48 du mĂȘme Code)
pour la zone .FR.

‱  "SQAW" : Service QualifiĂ© d’AccĂšs aux donnĂ©es WHOIS
Service d’accĂšs privilĂ©giĂ© Ă  la base WHOIS de l’AFNIC permettant une
interrogation élargie de la base WHOIS de la zone FR. Il permet également des
recherches de disponibilité élargies aux noms similaires, voire des recherches
par nom de titulaire. Ces services sont assurés par certains bureaux
d’enregistrement spĂ©cialement accrĂ©ditĂ©s Ă  cet effet et dont fait partie INDOM.

La comparaison entre la base WHOIS et les registres des marques.

L’extrait WHOIS du nom de domaine peut ĂȘtre comparĂ© au certificat
d’enregistrement de la marque, puisque ces deux documents identifient le nom
enregistré et le titulaire.

A la diffĂ©rence du certificat d’enregistrement, l’extrait WHOIS a Ă©galement
une fonction technique, puisqu’il identifie le registre en charge de
l’extension et de la base WHOIS associĂ©e, ainsi que le bureau d’enregistrement
ou registrar qui enregistre et héberge le nom de domaine. Les bases de données
des offices nationaux des marques comportent des donnĂ©es qui peuvent ĂȘtre des
données personnelles lorsque le déposant est une personne physique. La mention
de ces donnĂ©es est prĂ©vue et rendue obligatoire par la loi, ce n’est pas le
cas pour les noms de domaine. Lorsque le titulaire est une personne physique,
les donnĂ©es le concernant portent dans les deux cas sur le nom et l’adresse
postale. Pour les noms de domaine, elles portent aussi sur son adresse
électronique et son numéro de téléphone. La divulgation des adresses
électroniques pose une difficulté spécifique car la base WHOIS est utilisée
comme source d’adresses pour les spammeurs. Cet aspect rend la question trùs
sensible. Elle est une différence essentielle entre les noms de domaine et les
marques.

La base WHOIS et la protection des données personnelles.

La base WHOIS de chaque registre est gérée selon les critÚres définis dans le
contrat d’accrĂ©ditation entre l’ICANN (Internet Corporation for Assigned Names
and Numbers) et le registre. Les standards de l’Internet qui encadrent la
gestion de la base WHOIS sont les Request for Comments (RFC). Les RFC les plus
importantes sont la RFC 1591 de mars 1994 et la RFC 3912 de septembre 2004 qui
prĂ©cise que "le protocole WHOIS ne dispose pas d’une forte sĂ©curitĂ©. WHOIS est
dĂ©ficient en ce qui concerne les mĂ©canismes de contrĂŽle d’accĂšs, l’intĂ©gralitĂ©
et la confidentialité. En conséquence, les services basés sur WHOIS ne
devraient ĂȘtre utilisĂ©s que pour des donnĂ©es non sensibles et accessibles Ă 
tous".

Les rÚgles de droit interne sont également applicables à chaque registre. Pour
la France, les deux textes de référence sur les noms de domaine sont la
réglementation communautaire sur la gestion de la base WHOIS du .EU
(rÚglements (CE) n° 733/2002 du 22 avril 2002 et n° 874/2004 du 26 avril 2004)
et la réglementation nationale relative à la gestion de la base WHOIS de la
zone .FR, avec l’article L. 45 du Code des Postes et des Communications
Electroniques et son dĂ©cret d’application (article R. 20-44-48 du mĂȘme Code).
Pour la protection des donnĂ©es personnelles, il s’agit de la loi n° 78-17 du 6
Janvier 1978, modifiĂ©e, relative Ă  l’informatique, aux fichiers et aux
libertés.

La loi pose le principe de la centralisation des données WHOIS par un
organisme unique, tandis que le décret précise que "les offices collectent, en
tant que de besoin auprùs des bureaux d’enregistrement, et conservent les
donnĂ©es de toutes natures nĂ©cessaires Ă  l’identification des personnes morales
ou physiques titulaires de noms de domaine. Ils mettent en place une base de
donnĂ©es publiques d’informations relatives aux titulaires des noms de domaine,
dans le respect de la loi du 6 janvier 1978 relative à l’informatique, aux
fichiers et aux libertés" (article L 45-I al.5).

Les rÚglements communautaires posent également le principe de la conformité de
la base de données WHOIS au droit communautaire sur la protection des données
et de la vie privée (rÚglement du 22 avril 2002, 12Úme considérant et articles
2 et 4). Le rÚglement de 2004 précise quant à lui que "la base de données
WHOIS contient des informations sur le titulaire d’un nom de domaine, qui sont
pertinentes et non excessives par rapport à la finalité de la base de données.
Si les informations ne sont pas strictement nécessaires par rapport à la
finalité de la base de données et si le titulaire est une personne physique,
les informations devant ĂȘtre rendues publiques doivent ĂȘtre soumises au
consentement sans équivoque du titulaire du nom de domaine" (article 16 alinéa
2). Les seules informations portées à la connaissance des tiers dans tous les
cas de figure sont celles relatives au contact administratif et au contact
technique. Ces informations doivent ĂȘtre "raisonnablement exactes et
actuelles".

La gestion des données personnelles du .EU et du .FR : une évolution
convergente.

DÚs sa création, le registre du .EU (EURid) a mis en place une procédure en
ligne de communication des donnĂ©es personnelles. C’est depuis dĂ©cembre 2007,
que l’AFNIC a mis en place une procĂ©dure comparable pour lever l’anonymat. Il
est important qu’une telle procĂ©dure existe car le risque est sinon de
favoriser les pratiques de piratage par des personnes physiques peu
scrupuleuses qui se sentent protĂ©gĂ©es par l’anonymat de la procĂ©dure
d’enregistrement.

Il s’agit de concilier la lĂ©gitime protection des donnĂ©es personnelles avec la
protection des droits de propriété intellectuelle et des droits de marques
d’une part et avec les droits des consommateurs et du public des internautes,
d’autre part. Les acteurs du web doivent pouvoir ĂȘtre identifiĂ©s car leurs
agissements engagent leur responsabilité. Un internaute qui a subi un dommage
causé par une pratique exercée sur un site web doit pouvoir identifier les
personnes responsables à l’origine de ce site et le titulaire du nom de
domaine peut en faire partie. S’il est vrai que le droit français oblige
l’éditeur du site web Ă  s’identifier, cette obligation n’est pas toujours
respectĂ©e et n’existe pas dans tous les pays.

Chaque registre définit la politique de gestion de sa base WHOIS.

L’autre aspect relatif Ă  la gestion de la base WHOIS rĂ©side dans les droits
qui peuvent ĂȘtre consentis aux tiers par chaque registre pour interroger sa
propre base. Cette interrogation est nécessaire par exemple pour procéder à
des recherches d’antĂ©rioritĂ©s ou Ă  des surveillances des nouveaux
enregistrements. Le but de ces recherches est d’identifier non seulement les
noms de domaine identiques à la dénomination objet de la recherche, mais
également les noms de domaine ressemblant à cette dénomination.

En ce qui concerne le registre EURid en charge du .EU, la base WHOIS peut ĂȘtre
interrogĂ©e pour des recherches Ă  l’identique. En revanche, il n’est pas
possible d’interroger la base WHOIS pour procĂ©der Ă  des recherches sur des
noms similaires, ni Ă  des recherches par nom de titulaire.

Avec le "service qualifiĂ© d’accĂšs aux donnĂ©es WHOIS", l’AFNIC propose depuis
décembre 2007 de "fournir à des organismes qui en font la demande et sous
certaines conditions la liste des noms de domaines enregistrés chaque jour
en .fr, associĂ©s aux noms des bureaux d’enregistrement ayant procĂ©dĂ© Ă  ces
enregistrements". Ce service est payant et l’AFNIC exige que l’organisme
apporte "une valeur ajoutée à l'information fournie" et présente "des
garanties quant à l’utilisation de cette information". Elle propose ainsi un
accÚs privilégié à sa base WHOIS. Cet accÚs est la voie vers des modes
d’interrogation Ă©largis de la base WHOIS de la zone FR et par exemple vers des
recherches de disponibilité élargies aux noms similaires, voire des recherches
par nom de titulaire.

Les conséquences.

Le mode de divulgation des donnĂ©es personnelles et le mode d’accĂšs Ă  la base
WHOIS ont des conséquences importantes. Si les recherches sont globalement
limitĂ©es Ă  des recherches Ă  l’identique, il n’est pas possible d’identifier
les noms de domaine portant atteinte à une marque, sous la forme d’une
imitation de cette marque. Il n’est pas non plus possible, lors de recherches
d’antĂ©rioritĂ©s, d’identifier tous les noms de domaine susceptibles de
constituer des droits antérieurs.

Il en résulte :



    * un moindre dynamisme de la zone puisque la surveillance des nouveaux
enregistrements est nécessairement limitée aux noms identiques ;

      
    * une certaine insĂ©curitĂ© juridique, puisqu’il n’est pas possible de faire
des recherches d’antĂ©rioritĂ©s autres que des recherches Ă  l’identique.

Marie-Emmanuelle HAAS
Avocate Ă  la Cour
Cabinet CASALONGA AVOCATS
me.haas@... 

_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l

Gmane