[actus_l] Deux enjeux pour les bases WHOIS : Les données personnelles et l accèsà la base de données

http://www.domainesinfo.fr/chronique/200/marie-emmanuelle-haas-deux-enjeux-pour-les-bases-whois-les-donnees-personnelles-et-l-acces-a-la-base-de-donnees.php	

Deux enjeux pour les bases WHOIS : Les données personnelles et l’accès à la
base de données

Les données de la base WHOIS sont essentielles et sont nécessaires aux tiers
qui veulent par exemple identifier la personne physique titulaire d’un nom de
domaine ou procéder à une recherche de disponibilité complète incluant les
noms ressemblant à la dénomination concernée. La situation est différente de
celle des bases de données de marques et les enjeux sont importants, en termes
de dynamisme de l’extension et de sécurité juridique pour les tiers.

Points essentiels : 

•  Différence entre la base WHOIS et les registres des marques
Les bases de données des offices nationaux des marques comportent des données
qui peuvent être des données personnelles lorsque le déposant est une personne
physique. La mention de ces données est prévue et rendue obligatoire par la
loi, ce n’est pas le cas pour les noms de domaine.

•  Les lacunes de la base WHOIS
Le protocole WHOIS ne dispose pas d’une forte sécurité. Le WHOIS est déficient
en ce qui concerne les mécanismes de contrôle d’accès, l’intégralité et la
confidentialité. En conséquence, les services basés sur WHOIS ne devraient
être utilisés que pour des données non sensibles et accessibles à tous.

•  Textes de référence sur la gestion de la base WHOIS
Règlements (CE) n° 733/2002 du 22 avril 2002 et n° 874/2004 du 26 avril 2004
pour le .EU et article L. 45 du Code des Postes et des Communications
Electroniques et son décret d’application (article R. 20-44-48 du même Code)
pour la zone .FR.

•  "SQAW" : Service Qualifié d’Accès aux données WHOIS
Service d’accès privilégié à la base WHOIS de l’AFNIC permettant une
interrogation élargie de la base WHOIS de la zone FR. Il permet également des
recherches de disponibilité élargies aux noms similaires, voire des recherches
par nom de titulaire. Ces services sont assurés par certains bureaux
d’enregistrement spécialement accrédités à cet effet et dont fait partie INDOM.

La comparaison entre la base WHOIS et les registres des marques.

L’extrait WHOIS du nom de domaine peut être comparé au certificat
d’enregistrement de la marque, puisque ces deux documents identifient le nom
enregistré et le titulaire.

A la différence du certificat d’enregistrement, l’extrait WHOIS a également
une fonction technique, puisqu’il identifie le registre en charge de
l’extension et de la base WHOIS associée, ainsi que le bureau d’enregistrement
ou registrar qui enregistre et héberge le nom de domaine. Les bases de données
des offices nationaux des marques comportent des données qui peuvent être des
données personnelles lorsque le déposant est une personne physique. La mention
de ces données est prévue et rendue obligatoire par la loi, ce n’est pas le
cas pour les noms de domaine. Lorsque le titulaire est une personne physique,
les données le concernant portent dans les deux cas sur le nom et l’adresse
postale. Pour les noms de domaine, elles portent aussi sur son adresse
électronique et son numéro de téléphone. La divulgation des adresses
électroniques pose une difficulté spécifique car la base WHOIS est utilisée
comme source d’adresses pour les spammeurs. Cet aspect rend la question très
sensible. Elle est une différence essentielle entre les noms de domaine et les
marques.

La base WHOIS et la protection des données personnelles.

La base WHOIS de chaque registre est gérée selon les critères définis dans le
contrat d’accréditation entre l’ICANN (Internet Corporation for Assigned Names
and Numbers) et le registre. Les standards de l’Internet qui encadrent la
gestion de la base WHOIS sont les Request for Comments (RFC). Les RFC les plus
importantes sont la RFC 1591 de mars 1994 et la RFC 3912 de septembre 2004 qui
précise que "le protocole WHOIS ne dispose pas d’une forte sécurité. WHOIS est
déficient en ce qui concerne les mécanismes de contrôle d’accès, l’intégralité
et la confidentialité. En conséquence, les services basés sur WHOIS ne
devraient être utilisés que pour des données non sensibles et accessibles à
tous".

Les règles de droit interne sont également applicables à chaque registre. Pour
la France, les deux textes de référence sur les noms de domaine sont la
réglementation communautaire sur la gestion de la base WHOIS du .EU
(règlements (CE) n° 733/2002 du 22 avril 2002 et n° 874/2004 du 26 avril 2004)
et la réglementation nationale relative à la gestion de la base WHOIS de la
zone .FR, avec l’article L. 45 du Code des Postes et des Communications
Electroniques et son décret d’application (article R. 20-44-48 du même Code).
Pour la protection des données personnelles, il s’agit de la loi n° 78-17 du 6
Janvier 1978, modifiée, relative à l’informatique, aux fichiers et aux
libertés.

La loi pose le principe de la centralisation des données WHOIS par un
organisme unique, tandis que le décret précise que "les offices collectent, en
tant que de besoin auprès des bureaux d’enregistrement, et conservent les
données de toutes natures nécessaires à l’identification des personnes morales
ou physiques titulaires de noms de domaine. Ils mettent en place une base de
données publiques d’informations relatives aux titulaires des noms de domaine,
dans le respect de la loi du 6 janvier 1978 relative à l’informatique, aux
fichiers et aux libertés" (article L 45-I al.5).

Les règlements communautaires posent également le principe de la conformité de
la base de données WHOIS au droit communautaire sur la protection des données
et de la vie privée (règlement du 22 avril 2002, 12ème considérant et articles
2 et 4). Le règlement de 2004 précise quant à lui que "la base de données
WHOIS contient des informations sur le titulaire d’un nom de domaine, qui sont
pertinentes et non excessives par rapport à la finalité de la base de données.
Si les informations ne sont pas strictement nécessaires par rapport à la
finalité de la base de données et si le titulaire est une personne physique,
les informations devant être rendues publiques doivent être soumises au
consentement sans équivoque du titulaire du nom de domaine" (article 16 alinéa
2). Les seules informations portées à la connaissance des tiers dans tous les
cas de figure sont celles relatives au contact administratif et au contact
technique. Ces informations doivent être "raisonnablement exactes et
actuelles".

La gestion des données personnelles du .EU et du .FR : une évolution
convergente.

Dès sa création, le registre du .EU (EURid) a mis en place une procédure en
ligne de communication des données personnelles. C’est depuis décembre 2007,
que l’AFNIC a mis en place une procédure comparable pour lever l’anonymat. Il
est important qu’une telle procédure existe car le risque est sinon de
favoriser les pratiques de piratage par des personnes physiques peu
scrupuleuses qui se sentent protégées par l’anonymat de la procédure
d’enregistrement.

Il s’agit de concilier la légitime protection des données personnelles avec la
protection des droits de propriété intellectuelle et des droits de marques
d’une part et avec les droits des consommateurs et du public des internautes,
d’autre part. Les acteurs du web doivent pouvoir être identifiés car leurs
agissements engagent leur responsabilité. Un internaute qui a subi un dommage
causé par une pratique exercée sur un site web doit pouvoir identifier les
personnes responsables à l’origine de ce site et le titulaire du nom de
domaine peut en faire partie. S’il est vrai que le droit français oblige
l’éditeur du site web à s’identifier, cette obligation n’est pas toujours
respectée et n’existe pas dans tous les pays.

Chaque registre définit la politique de gestion de sa base WHOIS.

L’autre aspect relatif à la gestion de la base WHOIS réside dans les droits
qui peuvent être consentis aux tiers par chaque registre pour interroger sa
propre base. Cette interrogation est nécessaire par exemple pour procéder à
des recherches d’antériorités ou à des surveillances des nouveaux
enregistrements. Le but de ces recherches est d’identifier non seulement les
noms de domaine identiques à la dénomination objet de la recherche, mais
également les noms de domaine ressemblant à cette dénomination.

En ce qui concerne le registre EURid en charge du .EU, la base WHOIS peut être
interrogée pour des recherches à l’identique. En revanche, il n’est pas
possible d’interroger la base WHOIS pour procéder à des recherches sur des
noms similaires, ni à des recherches par nom de titulaire.

Avec le "service qualifié d’accès aux données WHOIS", l’AFNIC propose depuis
décembre 2007 de "fournir à des organismes qui en font la demande et sous
certaines conditions la liste des noms de domaines enregistrés chaque jour
en .fr, associés aux noms des bureaux d’enregistrement ayant procédé à ces
enregistrements". Ce service est payant et l’AFNIC exige que l’organisme
apporte "une valeur ajoutée à l'information fournie" et présente "des
garanties quant à l’utilisation de cette information". Elle propose ainsi un
accès privilégié à sa base WHOIS. Cet accès est la voie vers des modes
d’interrogation élargis de la base WHOIS de la zone FR et par exemple vers des
recherches de disponibilité élargies aux noms similaires, voire des recherches
par nom de titulaire.

Les conséquences.

Le mode de divulgation des données personnelles et le mode d’accès à la base
WHOIS ont des conséquences importantes. Si les recherches sont globalement
limitées à des recherches à l’identique, il n’est pas possible d’identifier
les noms de domaine portant atteinte à une marque, sous la forme d’une
imitation de cette marque. Il n’est pas non plus possible, lors de recherches
d’antériorités, d’identifier tous les noms de domaine susceptibles de
constituer des droits antérieurs.

Il en résulte :



    * un moindre dynamisme de la zone puisque la surveillance des nouveaux
enregistrements est nécessairement limitée aux noms identiques ;

      
    * une certaine insécurité juridique, puisqu’il n’est pas possible de faire
des recherches d’antériorités autres que des recherches à l’identique.

Marie-Emmanuelle HAAS
Avocate à la Cour
Cabinet CASALONGA AVOCATS
me.haas@... 

_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l