Exigences relatives à la conservation de données dans le RAA 2013
Mon récent message publié sur le blog de l'ICANN a mis l'accent sur le RAA 2013 et les améliorations qui y ont été introduites afin de protéger les titulaires de noms et le public utilisateur de l'Internet. Le RAA 2013 inclut une mise à jour supplémentaire concernant la spécification relative à la conservation de données.
Cette spécification met à jour et précise les obligations relatives à la conservation de données prévues dans le RAA 2009 (et dans les versions précédentes du RAA). Le RAA 2013 exige la conservation d'un plus grand nombre d'éléments de données, divisés en deux groupes selon qu'ils doivent être conservés pendant 2 ans ou pendant 180 jours à l'issue de la période d'enregistrement (des délais qui sont en tout cas plus courts que ceux prévus dans les versions précédentes du RAA).
Respect des lois
Les exigences en matière de conservation de données du RAA 2013 se basent sur des recommandations fortement soutenues par les gouvernements du monde par le biais du comité consultatif gouvernemental de l'ICANN. Toutefois, certains bureaux d'enregistrement ont exprimé leur inquiétude par rapport au fait que les lois locales relatives à la vie privée et à la protection de données rendent pour eux difficile de se conformer à ces nouvelles exigences. L'ICANN reconnaît que les lois varient selon les pays et que certaines nouvelles exigences en matière de conservation de données du RAA 2013 peuvent être en désaccord avec certaines réglementations européennes concernant la protection de données et de la vie privée. Pour être clair : les lois gouvernementales l'emportent sur les dispositions du RAA.
Le RAA 2013 contient une nouvelle clause de « divisibilité », qui prévoit un mécanisme pour les situations dans lesquelles certaines dispositions d'un contrat d'accréditation seraient considérées inapplicables conformément aux lois en vigueur. De plus, une disposition concernant les dérogations a été incorporée dans la spécification relative à la conservation des données afin de tenir compte des cas où le respect des exigences en matière de collecte et/ou de conservation des données pourrait être interdit par la loi en vigueur.
Éligibilité à une dérogation en vertu du RAA 2013
Les premiers nouveaux RAA 2013 sont entrés en vigueur en août 2013 et en septembre 2013 l'ICANN a publié un « processus de traitement des demandes de dérogation aux obligations de conservation de données des bureaux d'enregistrement ». Pour être éligible à une dérogation aux exigences en matière de conservation de données, les bureaux d'enregistrements doivent présenter à l'ICANN l'avis d'un cabinet d'avocats ou une décision de justice, ou bien une attestation émanant d'un organe gouvernemental ou d'une juridiction compétente où il soit établi que la collecte ou la conservation d'un ou plusieurs éléments de données, tel que prévu dans la spécification concernée, enfreint la loi en vigueur. Une affirmation d'ordre général déclarant que les spécifications relatives à la collecte et à la conservation de données sont illégales ne sera pas suffisante, dans la mesure où elle n'identifie pas la spécification du RAA 2013 qui pose problème. La demande de dérogation doit spécifier la loi en vigueur, la disposition relative à la collecte et/ou à la conservation de données supposée enfreindre la loi et les raisons pour lesquelles la collecte et/ou la conservation sont contraires à la loi. Ces informations aident l'ICANN à déterminer les limitations à mettre en place par rapport à la durée et à la portée de la collecte et la conservation de données au moment d'accorder la dérogation.
Le RAA 2013 prévoit que l'ICANN et les bureaux d'enregistrement discutent en toute bonne foi les demandes de dérogation afin de parvenir à une solution mutuellement acceptable. Si l'ICANN fait droit à la demande du bureau d'enregistrement déclarant que la collecte ou la conservation de données enfreignent la loi en vigueur, elle peut alors suspendre l'application des dispositions concernées et accorder une dérogation (après avoir publié son avis préliminaire de dérogation sur Internet pendant 30 jours). L'ICANN prévoit que les dérogations destinées à limiter la portée et/ou la durée de la collecte et la conservation des données pour se conformer aux lois locales en vigueur soient analysées au cas par cas. Ces dérogations ne sauraient toutefois pas éliminer toutes les exigences en matière de collecte et de conservation des données.
Lois relatives à la vie privée permettant la conservation de données
Dans les pays où il existe des lois relatives à la confidentialité des données pouvant s'appliquer aux bureaux d'enregistrement, l'ICANN a constaté que celles-ci autorisent généralement la conservation de données d'enregistrement, mais uniquement à des fins légitimes et pour une durée qui ne soit pas excessive vis-à-vis des fins auxquelles elles sont collectées et ultérieurement traitées. Que considère-t-on des fins légitimes et combien de temps les données peuvent être conservées sont des questions complexes, et les réponses peuvent varier d'un pays à l'autre, même au sein de l'Union Européenne, où tous les états membres sont soumis à la même directive sur la confidentialité des données.
La position de l'ICANN consiste à dire que des objectifs importants visant la protection des titulaires de noms et du public sont à la base des dispositions en matière de conservation de données qui sont exigées aux bureaux d'enregistrement, y compris après l'expiration du nom de domaine. Par exemple, les données d'enregistrement s'avèrent nécessaires pour tenter d'annuler un nom de domaine ayant fait l'objet d'une utilisation frauduleuse, même si le bureau d'enregistrement pourrait considérer que l'accord d'enregistrement est terminé au moment du transfert (non-autorisé). 1 De la même manière, la victime d'un vol d'identité pourrait contester les frais de carte de crédit qui lui sont réclamés au titre d'un enregistrement supprimé par le bureau d'enregistrement suite à l'utilisation malveillante du nom de domaine à des fins de hameçonnage ou de distribution de logiciel malveillant, en violation de l'accord de service : la tenue de registres concernant l'enregistrement du nom de domaine sera nécessaire pour trancher la question. Les bureaux d'enregistrement pourraient également avoir besoin de données d'enregistrement pour résoudre des problèmes liés à des erreurs de facturation ou à des contestations, comme lorsque des frais de renouvellement d'un enregistrement sont exigés après le transfert ou la suppression d'un nom de domaine. Voilà des exemples de la vie réelle qui illustrent la nécessité légitime pour les bureaux d'enregistrement de conserver les données d'enregistrement et le suivi des transactions d'un nom de domaine, y compris après la suppression ou le transfert de celui-ci.
Situation des demandes de dérogation soumises
La complexité et la diversité des lois nationales relatives à la vie privée ont amené l'ICANN et les bureaux d'enregistrement à faire des investissements importants en temps et en ressources pour traiter la question des dérogations. À ce jour, 15 demandes de dérogation ont été soumises par les bureaux d'enregistrements de l'Union Européenne. Le groupe de travail de l'UE « article 29 » a également écrit à l'ICANN pour exprimer ses inquiétudes par rapport à la légalité des exigences relatives à la conservation de données du RAA 2013 au sein de l'UE. Étant donné que ces exigences en matière de confidentialité peuvent être interprétées différemment par les différents pays, l'ICANN examine les demandes présentées pays par pays.
Le 24 janvier 2014, l'ICANN a publié le premier avis de décision provisoire concernant une dérogation à la durée de conservation de données pour le bureau d'enregistrement OVH SAS, en France. La dérogation proposée devrait permettre à OVH SAS de conserver les informations détaillées dans la spécification relative à la conservation de données pendant la durée du parrainage de l'enregistrement et par la suite pendant une période d'un (1) an supplémentaire au lieu de 2 (deux) ans supplémentaires. L'ICANN et son conseiller juridique externe ont entamé des négociations avec d'autres bureaux d'enregistrements à propos des demandes de dérogation. Nous avons bon espoir que les discussions pourront bientôt aboutir à l'acceptation d'autres dérogations par l'ICANN.
Conflits entre WHOIS et la loi
Les procédures de demande de dérogation aux obligations de conservation de donnés conformément au RAA 2013 diffèrent de celles qui s'appliquent en vertu de la procédure pour gérer les conflits entre le Whois et la loi, développée par la communauté de l'ICANN et adoptée par le Conseil. Nous sommes conscients des difficultés que pourraient poser les deux procédures existantes et nous avons bien pris note des suggestions de certains bureaux d'enregistrement qui considèrent que le seuil exigé pour invoquer la procédure destinée à gérer les conflits du Whois pourrait être trop élevé. Dans un effort pour résoudre ces problèmes, l'ICANN annoncera bientôt un examen public de la procédure de gestion des conflits du Whois, qui tiendra compte des commentaires de la communauté. Plus de détails concernant cet examen seront publiés dans les semaines à venir.
L'ICANN reste engagée à protéger les titulaires de noms et le public, et à faire respecter les lois en vigueur par les bureaux d'enregistrement. Nous attendons avec impatience les prochaines discussions à ce sujet avec les bureaux d'enregistrements, les gouvernements et autres représentants, y compris à l'occasion de la prochaine réunion de l'ICANN à Singapour, du 23 au 27 mars.