Résolutions approuvées par le Conseil | Réunion extraordinaire du Conseil d’administration de l'ICANN 17 mai 2018

  1. Ordre du jour principal :
    1. Examen de la spécification temporaire relative aux données d’enregistrement des gTLD (mise en œuvre du modèle intérimaire en matière de conformité au RGPD)
    2. Divers

 

  1. Ordre du jour principal :

    1. Examen de la spécification temporaire relative aux données d’enregistrement des gTLD (mise en œuvre du modèle intérimaire en matière de conformité au RGPD)

      Attendu que, le Règlement général sur la protection des données (RGPD) de l'Union Européenne est un ensemble de règles adopté par le Parlement européen, le Conseil européen et la Commission européenne qui imposera de nouvelles obligations aux entreprises et organisations qui collectent et conservent des « données à caractère personnel » des résidents de l'Union Européenne, tel que défini par la loi européenne sur la protection des données. Le RGPD entrera pleinement en vigueur le 25 mai 2018.

      Attendu que, le RGPD a donné une nouvelle importance et urgence au débat de longue-date sur la protection des données et la confidentialité au sein du WHOIS.

      Attendu que, le Conseil d’administration de l'ICANN réaffirme l'importance d'un accès approprié aux données d'enregistrement, à des fins légitimes, conformément à la mission de l’ICANN.

      Attendu que, au cours des derniers mois l’ICANN org a consulté les parties prenantes communautaires, les parties contractantes, les autorités européennes de protection des données, les experts juridiques et les gouvernements intéressés afin de comprendre l’impact potentiel du RGPD sur les données personnelles que les participants dans l’écosystème des noms de domaine gTLD recueillent, affichent et traitent (notamment les registres et bureaux d’enregistrement) conformément aux contrats et politiques de l’ICANN.

      Attendu que, par le biais d’un processus itératif et grâce aux commentaires de la communauté, l’ICANN org a élaboré un projet de modèle intérimaire sur la façon dont l’ICANN et les registres et bureaux d’enregistrement des gTLD pourraient continuer à se conformer aux exigences contractuelles de l’ICANN et aux politiques élaborées par la communauté au sujet du RGPD (le « modèle intérimaire de conformité proposé »).

      Attendu que, l’ICANN org a demandé et reçu des directives du groupe de travail Article 29 concernant le modèle intérimaire de conformité proposé, y compris dans les domaines où l’ICANN a reçu des avis gouvernementaux et des contributions reflétant des opinions divergentes.

      Attendu que, le Comité consultatif gouvernemental ('GAC') a partagé un avis au Conseil d’administration dans son Communiqué de San Juan (15 mars 2018) concernant le modèle intérimaire de conformité proposé. L’avis a fait l’objet d’un échange entre le Conseil d’administration et le GAC pour clarifier la compréhension par le Conseil de l’avis.

      Attendu que, l'organisation de l'ICANN a communiqué avec les autorités de protection des données européennes et a demandé du temps pour que les registres et bureaux d'enregistrement gTLD mettent en place le modèle intérimaire de conformité une fois que les clarifications apportées par les autorités de protection des données auront été intégrées au modèle intérimaire de conformité proposé. Le groupe de travail article 29 a souligné qu'il est important que l'ICANN communique l'ensemble des délais prévus pour la mise en œuvre des solutions.

      Attendu que, l'ICANN continue de discuter avec la communauté des modèles d'accès unifié pour les données WHOIS non publiques.

      Attendu que, pour se conformer au RGPD le Conseil d’administration a envisagé d'adopter une spécification temporaire afin de mettre en place le modèle intérimaire de conformité proposé, en utilisant la procédure de politiques temporaires établies dans le contrat de registre et le contrat d'accréditation de bureau d'enregistrement (« la spécification temporaire relative aux données d’enregistrement des gTLD » ou « Spécification temporaire »). Une spécification temporaire préliminaire a tout d'abord été transmise à la communauté de l’ICANN et au Conseil d’administration le 11 mai 2018.

      Attendu que, le Conseil d’administration, lors de son atelier de Vancouver les 12 et 13 mai 2018, a participé à un examen important et rigoureux sur deux jours concernant une spécification temporaire proposée, avec une identification des questions et améliorations éventuelles, et il souhaite partager avec la communauté les mises à jour d'une spécification temporaire proposée générées suite à l'examen du Conseil d'administration. Le 13 mai 2018, le Conseil d’administration a pris une résolution identifiant son intention d'examiner la spécification temporaire autour du 17 mai 2018 et demandant au Président-directeur général de l'ICANN de continuer à soutenir le Conseil dans des discussions avec la communauté de l’ICANN concernant les ajustements à faire avant que le Conseil examine la spécification temporaire proposée à l'adoption.

      Attendu que, le 14 mai 2018, l'organisation de l'ICANN a transmis une spécification temporaire proposée mise à jour, à la communauté et au Conseil d’administration, avec des mises à jour reflétant les commentaires du Conseil. Le 15 mai 2018, l'organisation de l'ICANN a organisé un séminaire web afin de discuter des mises à jour de la spécification temporaire proposée, avec les commentaires reçus de la communauté de l’ICANN. Le Conseil d’administration de l'ICANN a également accepté les invitations de multiples parties prenantes à discuter de la spécification temporaire proposée.

      Attendu que, au cours de mai 2018, le Conseil d’administration a reçu plusieurs lettres de diverses parties de la communauté de l’ICANN concernant le contenu d'une spécification temporaire préliminaire.

      Attendu que, depuis la résolution du 13 mai 2018, le Conseil d’administration a utilisé cette période pour confirmer que des modifications appropriées sont intégrées à une spécification temporaire proposée avant d'envisager son adoption. Le Conseil d’administration comprend également que davantage de documents explicatifs sur la spécification temporaire devant être adoptée aujourd'hui, aideront à la compréhension générale de l'impact de celle-ci sur la communauté de l'ICANN.

      Attendu que, le Conseil d’administration a informé le GAC qu'il avait pris une détermination préliminaire selon laquelle son approche vis à vis de la spécification temporaire proposée n'est pas conforme ou peut être considérée comme n'étant pas conforme à certains éléments de l'avis du GAC dans le Communiqué de San Juan, en particulier au vue des conseils donnés par le groupe de travail article 29. Le Conseil d’administration a fourni une fiche de suivi reflétant les points de l’avis du GAC qu’il pouvait être amené à rejeter pour cette raison.

      Attendu que, l'organisation de l'ICANN continue de collaborer avec le groupe de travail article 29 afin de clarifier les conseils donnés par ce dernier concernant le modèle de conformité intérimaire mis en œuvre par le biais de la spécification temporaire. Le 17 mai 2018, le Conseil d’administration de l'ICANN a reçu une lettre [PDF, 525 KB] du GAC lui demandant de reporter un rejet officiel de l'avis du GAC afin de lui donner le temps d'apporter davantage de clarifications.

      Il est résolu (2018.05.17.01) que le Conseil d’administration adopte la spécification temporaire concernant les données d'enregistrement gTLD [PDF, 735 KB] conformément aux procédures établies dans le contrat de registre et le contrat d'accréditation de bureau d'enregistrement concernant l'élaboration de politiques temporaires. En adoptant cette spécification temporaire, le Conseil d’administration a déterminé que :

      1. les modifications, au sein de la spécification temporaire, des conditions existantes concernant le traitement des données à caractère personnel dans les données d'enregistrement sont justifiées et la mise en place immédiate de la spécification temporaire est nécessaire pour maintenir la stabilité ou la sécurité des services aux registres, services aux bureaux d'enregistrement ou du DNS ou d'Internet.
      2. La spécification temporaire est la mieux adaptée possible afin de respecter les objectifs de maintien de la stabilité ou de la sécurité des services de registre, services aux bureaux d'enregistrement ou du DNS ou d'Internet.
      3. La spécification temporaire entrera en vigueur pour une période de 90 jours à partir du 25 mai 2018. Le Conseil d’administration réaffirmera son adoption temporaire tous les 90 jours calendaires pour une période totale ne dépassant pas une année.

      Il est résolu (2018.05.17.02) que le Conseil d’administration comprend qu'il y a encore des questions en suspens devant être traitées avant la date d'entrée en vigueur de la spécification temporaire, en particulier les formes habituelles des annexes de traitement des données (qui contiennent les clauses types de l'UE visant à régir les transferts de données internationaux, le cas échéant) devant être intégrées dans les contrats registre/bureau d’enregistrement et dans les contrats d'entiercement de données, et demande au Président-directeur général de l'ICANN ou son (ses) représentant(s), de compléter ces éléments et d'indiquer où ces éléments peuvent être trouvés.

      Il est résolu (2018.05.17.03) que le Conseil d’administration reconnaît qu'il y a d'autres éléments de mise en œuvre qui exigent davantage de discussions communautaires et que le Conseil d'administration encourage la communauté à les traiter aussi rapidement que possible après la date d'entrée en vigueur de la spécification temporaire. Ces éléments sont identifiés à l'annexe de la spécification temporaire même si rien n'exige qu'ils fassent partie pas du processus d'élaboration de politiques qui en résulte.

      Il est résolu (2018.05.17.04) que le Conseil d'administration affirme que davantage de commentaires sont attendus selon les expériences une fois que le RGPD entrera en vigueur, la spécification temporaire inclut un processus par lequel le Conseil d'administration de l'ICANN peut modifier la spécification temporaire afin de répondre aux commentaires additionnels du groupe de travail article 29/Comité européen de la protection des données, une décision de justice rendue par un tribunal compétent pour statuer sur le RGPD ou la législation en vigueur, ou suite à une consultation commune des statuts constitutifs entre le Conseil d'administration et le GAC.

      Il est résolu (2018.05.17.05) que la mise en œuvre d’une politique unifiée régissant les données d’enregistrement gTLD vise à servir l’intérêt public lors de l’entrée en vigueur du RGPD.

      Il est résolu (2018.05.17.06) qu'il est demandé au Président-directeur général, ou son (ses) représentant(s), d'apporter davantage de documents explicatifs, en particulier une identification de l'ensemble des politiques et conditions contractuelles impactées par la spécification temporaire.

      Il est résolu (2018.05.17.07) que le Conseil d’administration, par la présente, met en œuvre le processus d'élaboration de politiques consensuel établi dans les statuts constitutifs et consultera le Conseil de la GNSO, dès que possible, sur la marche à suivre pour prendre en considération l'élaboration d'une politique de consensus sur les questions au sein de la spécification temporaire. Le Conseil d’administration consultera le Conseil de la GNSO quant à la portée attendue du PDP, aux délais, et aux exigences de procédure pertinentes.

      Il est résolu (2018.05.17.08) que le Conseil d’administration adopte la déclaration consultative concernant l'adoption de la spécification temporaire relative aux données d’enregistrement des gTLD, qui fixe les explications détaillées de l'adoption de la spécification temporaire et du pourquoi le Conseil d'administration estime qu'une telle spécification devrait recevoir le soutien consensuel des parties prenantes d'Internet.

      Il est résolu (2018.05.17.09) que le Conseil d’administration confirme qu'en se basant sur la lettre du 17 mai 2018 du GAC, il décide de reporter toute action officielle déterminant qu'il peut y avoir des éléments de la spécification temporaire qui ne sont pas conformes ou qui pourraient être estimés non-conformes à certains éléments de l'avis du GAC dans le Communiqué de San Juan. Le Conseil d’administration décidera si d’autres actions sont nécessaires après des discussions avec le GAC.

      Fondements des résolutions 2018.05.17.01 à 2018.05.17.09

      Le Règlement général sur la protection des données (RGPD) de l’Union européenne entrera en vigueur le 25 mai 2018. Le RGPD est un ensemble de règles adoptées par le Parlement européen, le Conseil européen et la Commission européenne qui impose de nouvelles obligations à toutes les entreprises et organisations qui recueillent et conservent des « données personnelles » de résidents de l’Union européenne, telles que définies en vertu de la loi de protection des données de l’UE. Le RGPD a un impact sur la façon dont les données personnelles sont collectées, affichées et traitées par les participants à l’écosystème de nom de domaine gTLD (y compris les registres et bureaux d’enregistrement) conformément aux contrats et politiques de l’ICANN. Les modifications doivent être effectuées avant le 25 mai pour permettre à l’ICANN ainsi qu’aux registres et bureaux d’enregistrement gTLD de continuer à se conformer aux exigences contractuelles de l’ICANN et aux politiques élaborées par la communauté en ce qui concerne le RGPD. Bien que des efforts considérables aient été déployés dans l’ensemble de la communauté de l’ICANN afin de parvenir à un modèle de conformité, les politiques adoptées par l’ICANN doivent être mises à jour pour être en conformité avec le RGPD. Une politique de plein consensus élaborée par la communauté n’est pas encore disponible. Sans une politique applicable unifiée, il y aura une fragmentation dans la manière dont les parties contractantes de l'ICANN mettront en place leurs propres programmes de conformité en lien avec les données d'enregistrement gTLD. Pour ces raisons, une politique unifie disponible doit être en place avant le 25 mai 2018, et cette démarche est dans l’intérêt public. On ne sert pas l’intérêt public si le Conseil d’administration de l’ICANN ne parvient pas à prendre des mesures sur cette question critique.

      Les contrats de l’ICANN org avec les registres et bureaux d’enregistrement doivent être en conformité avec les politiques ou spécifications temporaires adoptées par le Conseil d’administration. Pour élaborer une politique ou spécification temporaire, deux tiers au moins du conseil d’administration doit voter pour approuver la spécification temporaire, et les modifications de ces spécifications doivent être justifiées et « nécessaire pour maintenir la stabilité ou la sécurité des services aux bureaux d’enregistrement, des services aux registres, du DNS ou de l’Internet. » Cette spécification ou politique temporaire devra être la mieux adaptée possible pour atteindre ces objectifs.

      L’ICANN org, en consultation avec le Conseil, a exploré la possibilité d’une politique ou spécification temporaire comme mécanisme pour mettre en œuvre le modèle intérimaire de conformité au RGPD. Une version préliminaire d’une spécification temporaire relative aux données d’enregistrement des gTLD (« Spécification temporaire ») a été publiée à l’adresse du Conseil d’administration et de la communauté le 11 mai 2018. Ce projet de spécification temporaire est rédigé pour établir les obligations temporaires visant à permettre à l’ICANN et aux opérateurs de registre et bureaux d’enregistrement des gTLD de respecter les exigences contractuelles de l’ICANN et les politiques définies par la communauté à la lumière du RGPD.

      Lors de l'atelier du Conseil d’administration à Vancouver, le Conseil a consacré les 12 et 13 mai 2018 à participer aux discussions avec l'organisation de l'ICANN concernant la version préliminaire publiée de la spécification temporaire, entrainant d'autres modifications proposées. À la fin de son atelier, le Conseil d’administration a pris une résolution signalant son intention d'examiner une spécification temporaire proposée, et ce, dans l'intérêt public. Le Conseil d’administration a déterminé qu’en raison de l’importance donnée à son approbation d’une spécification temporaire, il lui semble approprié de prendre davantage de temps avant cette adoption, à la fois pour l’examen par le Conseil d’administration et l’occasion de discuter avec la communauté de l’ICANN sur le contenu de la spécification temporaire proposée.

      Lors de sa réunion du 13 mai 2018, le Conseil d’administration a déterminé que prendre une mesure concernant la spécification temporaire était dans l'intérêt public, au vue de la nécessité d'une politique applicable de manière uniforme afin de se conformer au RGPD. Il est important qu'une spécification temporaire soit adoptée pour qu'elle puisse entrer en vigueur le 25 mai 2018. Le Conseil d’administration réaffirme aujourd'hui ces positions.

      Une version préliminaire actualisée d'une spécification temporaire a été partagée avec la communauté de l'ICANN et le Conseil d’administration le 14 mai 2018. Le 15 mai 2018, l'organisation de l'ICANN a accueilli un séminaire web à l'échelle communautaire pour discuter des documents mis à jour. Le Conseil d’administration a accepté les invitations des unités constitutives communautaires afin de discuter davantage d'une spécification temporaire préliminaire. D'autres ajustements ont été réalisés par rapport à la langue de la spécification temporaire suite à ces discussions, cependant, aucun changement n'a été réalisé qui modifient la manière dont le modèle intérimaire de conformité proposé est mis en place via la spécification temporaire.

      Suite aux délibérations du Conseil d’administration, il a également été déterminé qu'il existe des domaines qui ne sont pas d'ordre politique au sein de la spécification temporaire mais où il serait nécessaire d'avoir davantage de discussions communautaires notamment concernant la mise en œuvre. Ces éléments sont identifiés à l'annexe de la spécification temporaire même si rien n'exige qu'ils fassent partie pas du processus d'élaboration de politiques qui en résulte. Le Conseil d’administration encourage la communauté à résoudre ces questions aussi rapidement que possible après la date d'entrée en vigueur de la spécification temporaire.

      Cette mesure est conforme à la mission de l’ICANN « […] d'assurer le fonctionnement stable et sécurisé des systèmes d’identificateurs uniques d’Internet […] ». Comme l’un des principaux rôles de l’ICANN est d’être responsable de l’administration des plus hauts niveaux des identificateurs de l’Internet, faciliter la capacité d’identifier les détenteurs de ces identificateurs est une fonction de base de l’ICANN.

      La mission de l’ICANN visant à garantir la sécurité, la stabilité et le fonctionnement du système d’identificateurs uniques d’Internet a donné lieu aux obligations associées aux services du WHOIS qui sont intégrées aux contrats et politiques de consensus de l'ICANN avec les registres et bureaux d'enregistrement. Ces politiques et obligations contractuelles régissent la collecte, la conservation, l’entiercement, le transfert et l’affichage des données d’enregistrement WHOIS, qui comprennent les coordonnées des personnes physiques et morales ainsi que les renseignements techniques associés à un nom de domaine. Grâce à ces politiques et contrats, l’ICANN définit les exigences minimales pour le service WHOIS, garantissant la disponibilité des informations WHOIS pour limiter les attaques qui menacent le fonctionnement stable et sécurisé de l’Internet et ainsi bénéficier à l’utilisation par le public.

      Le WHOIS n’est pas une base de données unique, gérée de façon centrale. Au contraire, les données d’enregistrement sont conservées dans divers emplacements et administrées par plusieurs registres et bureaux d’enregistrement. Ceux-ci ont chacun leur propre convention pour le service WHOIS, conforme aux exigences minimales établies par leur contrat avec l’ICANN.

      De nombreux registres et bureaux d’enregistrement des gTLD sont préoccupés par l’idée de savoir si les politiques et contrats de l’ICANN les obligeant à recueillir, créer, conserver, entiercer, et publier une variété d’éléments de données liés à des opérations de registre/bureau d’enregistrement, des enregistrements de noms de domaine, et aux titulaires de nom de domaine sont en conflit avec le RGPD.

      Pour garantir une disponibilité continue des services WHOIS, dans toute la mesure du possible, et du traitement des données d'enregistrement gTLD tout en se conformant au RGPD et éviter la fragmentation du WHOIS, la spécification temporaire proposera un modèle intérimaire unique afin de garantir un cadre commun pour les services d'annuaire de données d'enregistrement. Pour poursuivre ce service public et maintenir la sécurité et la stabilité d'Internet, la spécification temporaire permettra d'assurer la poursuite des services WHOIS via les contrats de l'ICANN avec les registres de noms de domaine et bureaux d'enregistrement accrédités.

      Le travail se poursuit afin de définir les formes habituelles des annexes de traitement des données (qui contiennent les clauses types de l'UE visant à régir les transferts de données internationaux, le cas échéant) pour les contrats registre/bureau d’enregistrement et les contrats d'entiercement de données sur lesquels les opérateurs de registre et bureaux d'enregistrement peuvent s'appuyer pour mettre en œuvre certaines des obligations en vigueur dans la spécification temporaire sans qu'il soit exigé d'informer l'ICANN et de demander l'autorisation pour les dispositions nécessaires de traitement de données. Cela sera réalisé et rendu public avant l'entrée en vigueur de la spécification temporaire.

      Comme exigé lorsqu'une politique temporaire ou une spécification sont adoptées, le Conseil d’administration prend également des mesures pour mettre en œuvre le processus d'élaboration de politiques de consensus. Le Conseil d’administration consultera le Conseil de la GNSO sur la marche à suivre (p.ex. processus d'élaboration de politiques) pour prendre en compte l'élaboration d'une politique de consensus concernant les questions au sein de la spécification temporaire, qui doit être conclue dans un délai d'un an.

      Le Conseil d’administration a émis une déclaration consultative contenant une explication détaillée de ses motifs pour adopter la spécification temporaire et des raisons pour lesquelles le conseil d'administration pense que cette spécification doit recevoir le soutien consensuel des parties prenantes d'Internet. La déclaration consultative est disponible ici [PDF, 511 KB] et est intégrée par référence aux fondements des résolutions du Conseil d’administration.

      Le 16 mai 2018, le Conseil d’administration de l'ICANN a reçu une lettre du GAC lui demandant de reporter un rejet officiel de l'avis du GAC afin de lui donner le temps d'apporter davantage de clarifications. Conformément à cette demande, le Conseil d’administration prend la décision de ne pas initier une réunion officielle de consultation des statuts constitutifs entre le GAC et le Conseil d'administration pour traiter les éléments de la spécification temporaire qui ne sont pas conformes ou qui pourraient être estimés non-conformes à certains éléments de l'avis du GAC dans le Communiqué de San Juan. Le Conseil d’administration se réjouit de recevoir davantage de précisions du GAC et de participer aux discussions complémentaires.

      Globalement, les mesures prises par le Conseil d’administration devraient avoir un impact immédiat sur la sécurité, la stabilité ou la résilience continue du DNS, car elles aideront à conserver, dans toute la mesure du possible, les services WHOIS alors que la communauté travaille à l'élaboration d'une politique de consensus. Le lancement d'un travail d'élaboration de politiques de consensus afin d'examiner la spécification temporaire est censé avoir un impact sur les ressources financières comme la recherche et la progression du travail. Si le besoin en ressources dépassait les prévisions du budget actuel pour réaliser le travail sur les questions liées au WHOIS et au RGPD, le directeur général présentera le besoin de toute ressource supplémentaire au comité des finances du Conseil, conformément aux pratiques de demande de fonds de prévoyance existantes.

      Lorsque la spécification temporaire entrera en vigueur le 25 mai 2018, le système WHOIS restera disponible, même s'il y aura quelques changements. Les opérateurs de registre et bureaux d'enregistement sont toujours chargés de collecter toutes les données d'enregistrement. Si un utilisateur Internet interroge le WHOIS il recevra au minimum des données 'résumées' en retour, avec suffisamment d’informations techniques pour identifier le bureau d’enregistrement sponsor, l’état de l’enregistrement et les dates de création et d’expiration de chaque enregistrement. De plus, l'utilisateur aura accès à une adresse de courrier électronique anonymisée ou à un formulaire en ligne pour faciliter la communication par mail avec le contact concerné (p.ex. titulaire de nom de domaine, contact technique, administratif). L'organisation de l'ICANN devra appliquer la spécification temporaire car elle fait partie intégrante des contrats de registre et contrats d'accréditation de bureau d'enregistrement.

      Il s’agit d’une fonction administrative organisationnelle qui ne nécessite pas de consultation publique, cependant, le modèle intérimaire de conformité proposé mis en place via la spécification temporaire a fait l'objet de commentaires de la communauté ces derniers mois (https://www.icann.org/resources/pages/gdpr-legal-analysis-2017-11-17-en). Les actions du Conseil approuvées aujourd’hui sont dans l’intérêt public et répondent à l’exigence des statuts de l’ICANN « d’évaluer l’efficacité du service actuel d’annuaire de données d’enregistrement de gTLD et de vérifier si sa mise en œuvre répond aux besoins légitimes d’application de la loi, favorise la confiance du consommateur et protège les données des titulaires de nom de domaine. » [Statuts constitutifs art. 4.6(e)(ii)]

    2. Divers

    Aucune résolution n’est adoptée.