Bonne année à tous. Nous avons démarré 2018 en poursuivant notre travail sur les questions de protection des données et de la vie privée. Nous nous préparons tout particulièrement pour le 25 mai 2018, date d'entrée en vigueur du règlement général sur la protection des données (RGPD) de l'Union Européenne. Comme je l'ai précédemment écrit, nous travaillons à garantir le respect de cette loi tout en maintenant, dans la mesure du possible, l'accès au WHOIS.
Notre travail dans ce domaine a commencé lorsque nous avons demandé à la communauté des cas d'utilisation et que nous avons créé une matrice de ces différents cas relatifs aux données à caractère personnel que les registres gTLD et les bureaux d'enregistrement collectent, transmettent ou publient conformément aux accords et politiques de l'ICANN. En l'absence d'une politique WHOIS, les expériences des utilisateurs sont essentielles et permettent de décrire les nombreux usages du système WHOIS. La matrice a permis d'orienter les discussions concernant des problèmes de conformité éventuels, en vertu des contrats de l'ICANN avec les registres et bureaux d'enregistrement, face à la nouvelle loi, et elle nous a aidés dans notre engagement face aux autorités de protection des données.
Le 2 novembre 2017, nous avons publié une déclaration de conformité contractuelle, qui indiquait que l'organisation de l'ICANN pourrait reporter la prise de mesures de conformité à l'égard de tout registre ou bureau d'enregistrement qui ne respecterait pas les obligations contractuelles relatives à la gestion des données d'enregistrement. Pour que ce report soit possible, nous avons demandé aux parties prenantes et contractantes de l'ICANN de suivre ce processus pour soumettre des modèles de conformité provisoires. Nous avons publié ces modèles proposés par la communauté ici.
En parallèle, nous avons engagé le cabinet juridique européen Hamilton pour qu'il apporte son analyse juridique sur ces questions. L'évaluation en trois parties a mis en avant dans sa première [PDF, 253 KB] que les services WHOIS dans leur forme actuelle devaient être modifiés. Dans la seconde partie [PDF, 577 KB], Hamilton a répondu aux questions de la communauté concernant l'applicabilité et la portée de la loi. Dans sa troisième analyse [PDF, 440 KB], Hamilton a décrit la manière dont le traitement des données relevant du WHOIS pourrait être modifié afin d'être conforme au RGPD. Nous avons demandé vos commentaires sur ces analyses et les avons publiés ici.
En décembre j'ai écrit que nous étions en train de travailler sur l'élaboration de modèles provisoires de collecte de données d'enregistrement ainsi que sur la mise en œuvre des services d'annuaire de données d'enregistrement qui pourraient être conformes à la loi et aux accords contractuels de l'ICANN. Pour être clair, ces modèles proposés visent à faciliter les discussions et proposer un modèle final devant être une solution provisoire. Il ne s'agit pas de remplacer le travail d'élaboration de politiques de l'ICANN ou les politiques existantes.
Aujourd'hui, afin de recevoir des commentaires de la communauté, nous avons publié [PDF, 624 KB] ces trois modèles de discussion proposés dans le but de collecter des données d'enregistrement et de mettre en place des services d'annuaire de données d'enregistrement. Ces modèles sont le reflet de discussions avec la communauté et avec les autorités en charge de la protection des données, des analyses juridiques et des modèles proposés reçus à ce jour. Merci d'apporter vos commentaires sur ces modèles. Les contributions de la communauté permettront d'évaluer la viabilité de chacun des modèles. À partir de ces commentaires, des variantes ou des modifications de l'un des modèles seront identifiées à la fin du mois de janvier pour établir la marche à suivre. Pour nous aider sur ça, merci d'apporter vos commentaires d'ici le 29 janvier 2018. Veuillez envoyer vos commentaires à : gdpr@icann.org.
Les trois modèles sont résumés en détails ci-dessous. Les modèles différent selon les informations de contact affichées au sein du WHOIS destiné au public, leur applicabilité, la durée de conservation des données et quelles sont celles qui ne sont pas affichées au sein du WHOIS destiné au public.
- Le modèle 1 permettrait l'affichage de données d'enregistrement détaillé à l'exception du numéro de téléphone et de l'adresse électronique du titulaire de nom de domaine, ainsi que le nom et l'adresse postale des contacts administratif et technique. Pour obtenir l'accès à ces points de données non-publics, des tierces parties pourraient être requises afin de certifier elles-mêmes les intérêts légitimes d'accès à ces données. Ce modèle s'applique si le titulaire de nom de domaine est une personne physique, et que lui, le registre, le bureau d'enregistrement et/ou le responsable du traitement des données se situent dans l'Espace économique européen.
- Le modèle 2 permettrait l'affichage de données d'enregistrement résumé ainsi que les adresses électroniques des contacts administratif et technique. Pour avoir accès aux informations non-publiques, les registres et bureaux d'enregistrement devront fournir un accès uniquement à un ensemble défini de demandeurs tiers certifiés selon un programme de certification/d'accréditation officiel. Il y a deux variantes concernant l'application de ce modèle. Le modèle 2A s'appliquerait aux titulaires de noms de domaine qui sont à la fois une personne physique et morale, où le titulaire de nom de domaine, le registre, le bureau d'enregistrement et/ou le responsable du traitement des données se situent dans l'Espace économique européen. Le modèle 2B s'appliquerait aux titulaires de noms de domaine qui sont à la fois une personne physique et morale, où le titulaire de nom de domaine, le registre, le bureau d'enregistrement et/ou le responsable du traitement des données se trouvent n'importe où dans le monde.
- Le modèle 3 s'appliquerait pour l'affichage des données d'enregistrement résumé ainsi que tout enregistrement de données à caractère non-personnel. Pour avoir accès aux informations non-publiques, un demandeur devra fournir une citation à comparaître ou toute autre décision d'un tribunal ou d'une juridiction compétente. Ce modèle s'appliquerait à tous les enregistrements à l'échelle mondiale.
Cliquez ici pour consulter les modèles [PDF, 624 KB]
Nous partagerons ces modèles à mesure que nous poursuivons notre travail de participation, y compris avec le groupe de travail de l'article 29.
Comme toujours, nous allons continuer à tenir informée la communauté des diverses discussions que nous avons. Nous avons également reçu plusieurs courriers en lien avec le RGPD. Nous vous encourageons à visiter notre page consacrée à la protection des données/vie privée pour consulter les derniers courriers, les modèles proposés de la communauté, ainsi que d'autres documents relatifs à ces discussions.
Bonne année 2018 et nous nous réjouissons de tout ce travail réalisé avec la communauté au cours de l'année à venir.
