Discussion :

[Stéphane le calme]

L'application imminente du RGPD pourra-t-elle mettre à mal le service WHOIS ? Oui, selon l'ICANN,
qui demande un moratoire au G29 pour mieux se préparer

Le service Whois est un service de recherche fourni par les registres Internet (par exemple les Registres Internet régionaux - RIR) - ou bien les registres de noms de domaine) permettant d'obtenir des informations sur une adresse IP ou un nom de domaine. En clair, Whois est un service qui vous permet de découvrir qui sont les propriétaires de noms de domaine.

Avec l’arrivée du RGPD (Règle Générale de Protection des Données) qui va entrer en vigueur le 25 mai de l’année en cours, ce service pourrait bien en être profondément affecté.

En effet, comme le suggère son nom, le RGPD a pour but de mieux sécuriser les données privées des internautes.

Le groupe de travail G29 (l’organe consultatif européen indépendant sur la protection des données et de la vie privée) a écrit à l'ICANN pour lui fournir des orientations sur son modèle provisoire proposé pour garantir que le traitement des données WHOIS est conforme au règlement général sur la protection des données. Tout en saluant les efforts de l'ICANN à ce jour, notamment pour son modèle provisoire proposé qui implique un accès par couches, ainsi qu'un « programme d'accréditation » pour l'accès aux données WHOIS non publiques, le G29 a soulevé un certain nombre de préoccupations concernant l'approche proposée et n'a pas répondu à la demande d'un moratoire sur l'exécution.

Notons au passage qu’à compter de l’entrée en vigueur du RGPD, le G29 sera remplacé par le Comité européen de la protection des données.

L’article 5(1) b du RGPD prévoit que les données à caractère personnel seront « collectées à des fins précises, explicites et légitimes ». Selon le G29, le modèle intérimaire de l'ICANN ne parvient pas à remplir cet objectif (le groupe de travail note que, par exemple, fournir un « accès légitime » à des « données d'enregistrement précises, fiables et uniformes » ne correspond pas à un objectif spécifique).

Le G29 recommande donc à l'ICANN de réexaminer sa liste actuelle d'objectifs (qui incluent actuellement « apporter un cadre pour traiter les problèmes d'enregistrement de noms de domaine, notamment, mais non limité à la protection des consommateurs, les enquêtes sur la cybercriminalité, l’utilisation abusive du DNS et la protection de la propriété intellectuelle ; et apporter un cadre pour répondre aux besoins appropriés des forces de l’ordre »).

Le G29 s’est réjoui de la réduction significative des types de données personnelles qui seront rendues publiques via le WHOIS, ainsi que de la possibilité d'un futur « programme d'accréditation » pour l'accès aux données WHOIS non publiques. Toutefois, il note que « des détails importants demeurent absents concernant les circonstances dans lesquelles l'accès sera fourni, dans quelle mesure et sous quelles conditions et garanties. »

Le G29 a donc souligné à l'ICANN qu’il y a encore du travail à faire pour développer des « politiques et procédures appropriées applicables aux demandes incidentes et systématiques d'accès aux données WHOIS, en particulier pour l'accès par les forces de l'ordre. »

En particulier, le G29 précise qu'il est nécessaire de clarifier « comment l'accès doit être limité afin de minimiser les risques d'accès et d'utilisation non autorisés (par exemple en permettant l'accès sur la base de requêtes spécifiques uniquement, par opposition aux transferts en masse et/ou recherches ou services d'annuaire inversé, ce qui comprend développer des mécanismes visant à restreindre l'accès aux champs à ce qui est nécessaire pour atteindre l'objectif légitime en question). »

En outre, le modèle intérimaire proposé par l'ICANN exigerait que les bureaux d'enregistrement conservent les données d'enregistrement pendant deux ans au-delà de la durée de l'enregistrement du nom de domaine, bien qu'une période de 60 jours ait déjà été évoquée. En tant que tel, le G29 s'interroge sur le délai de deux ans, exhortant l'ICANN à réévaluer la période de conservation proposée « et à justifier explicitement et documenter pourquoi il est nécessaire de conserver les données personnelles sur une telle période. »

L’ICANN a accepté une invitation à rencontrer le sous-groupe technologique du G29 à Bruxelles le 23 avril 2018 pour d'autres discussions. Göran Marby, président et chef de la direction de l'ICANN, a déploré le fait que le G29 n'ait pas répondu à la demande de l'ICANN de lui accorder un moratoire avant qu’un modèle ne soit appliqué afin de répondre au mieux aux exigences du RGPD.

« Sans un moratoire sur l'application de la loi, WHOIS sera fragmenté et nous devrons prendre des mesures pour atténuer ce problème. En tant que telles, nous étudions toutes les solutions à notre disposition, y compris les actions en justice en Europe pour clarifier notre capacité à continuer à coordonner correctement cette importante ressource d'information mondiale. Nous fournirons plus d'informations dans les prochains jours », a-t-il déclaré.

Source : ICANN

Et vous ?

Que pensez-vous des orientations proposées par le G29 ?
Le G29 devrait-il accorder un moratoire à l'ICANN ? Pourquoi ?
Êtes-vous déjà en conformité avec le RGPD dans votre entreprise ?

Voir aussi :

RGPD : Un guide pratique pour les développeurs, un article de Bozhidar Bozhanov
L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD, après un échec de la commission mixte paritaire la semaine passée

[Neckara]

Le WHOIS est encore assez utile pour se conformer à la loi pour la confiance numérique (?) qui impose notamment les sites à caractère professionnel à fournir un certain nombre d'informations (et qui ne sont pas à caractère personnel, donc pas dans le cadre du RGPD).

[MikeRowSoft]

J'espère donc que le drapeau indiquant le pays de l'I.P. sera celui de l'Europe... Sinon, la passation de pouvoir continu et cela à tout les " étages "...

[Michel]

Bonjour,
j'utilise parfois Whois pur repérer l'origine des faux commentaires et des adresse mail de complaisance. Sera-ce encore possible ?

[Stéphane le calme]

L'ICANN ne va pas bénéficier d'un délai supplémentaire pour une mise en conformité au RGPD
des données issues du service Whois

Le service Whois est un service de recherche fourni par les registres Internet (par exemple les Registres Internet régionaux – RIR) – ou bien les registres de noms de domaine) permettant d'obtenir des informations sur une adresse IP ou un nom de domaine. En clair, Whois est un service qui vous permet de découvrir qui sont les propriétaires de noms de domaine.

Avec l’arrivée du RGPD (Règlement Général de Protection des Données) qui va entrer en vigueur le 25 mai de l’année en cours, ce service pourrait bien en être profondément affecté.

En effet, comme le suggère son nom, le RGPD a pour but de mieux sécuriser les données privées des internautes.

Le groupe de travail G29 (l’organe consultatif européen indépendant sur la protection des données et de la vie privée) a écrit à l'ICANN pour lui fournir des orientations sur son modèle provisoire proposé pour garantir que le traitement des données WHOIS est conforme au règlement général sur la protection des données. Tout en saluant les efforts de l'ICANN à ce jour, notamment pour son modèle provisoire proposé qui implique un accès par couches, ainsi qu'un « programme d'accréditation » pour l'accès aux données WHOIS non publiques, le G29 a soulevé un certain nombre de préoccupations concernant l'approche proposée et n'avait alors pas répondu à la demande d'un moratoire sur l'exécution.

L’ICANN a accepté une invitation à rencontrer le sous-groupe technologique du G29 à Bruxelles le 23 avril 2018 pour d'autres discussions. Göran Marby, président et chef de la direction de l'ICANN, a déploré le fait que le G29 n'ait pas répondu à la demande de l'ICANN de lui accorder un moratoire avant qu’un modèle ne soit appliqué afin de répondre au mieux aux exigences du RGPD.

« Sans un moratoire sur l'application de la loi, WHOIS sera fragmenté et nous devrons prendre des mesures pour atténuer ce problème. En tant que telles, nous étudions toutes les solutions à notre disposition, y compris les actions en justice en Europe pour clarifier notre capacité à continuer à coordonner correctement cette importante ressource d'information mondiale. Nous fournirons plus d'informations dans les prochains jours », a-t-il déclaré.

Au terme de cette rencontre, avec les défenseurs européens du respect de la vie privée, l'ICANN s'est une fois de plus vu expliquer que le règlement européen de protection des données devra être respecté sans délai et que les adresses e-mail des personnes privées devront être rendues anonymes.

L'ICANN signale qu'elle collabore avec 2500 acteurs en tout, ce qui rend l'adaptation du protocole Whois à la fois lent et lourd. Mais il convient d'ajouter que l'organisation a la réputation d'être excessivement lente dans ses décisions. C'est ainsi qu'il a fallu des années pour retirer la direction de l'organisation des mains américaines.

À cela s'ajoute encore le fait que l'ICANN ne réagit que maintenant à la problématique, alors que la légalité de Whois est mise en doute depuis des années déjà et que le règlement GDPR est prêt depuis deux ans.

L'ICANN ne bénéficiera donc pas d'un report d'entrée en vigueur du règlement européen GDPR. Cela signifie que, si ces protocoles sont encore appliqués tels quels, l'organisation va se retrouver en infraction de la loi dès le mois prochain.

Source : ICANN

Et vous ?

Que pensez-vous de cette décision du G29 ?

Voir aussi :

RGPD : Un guide pratique pour les développeurs, un article de Bozhidar Bozhanov
L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD, après un échec de la commission mixte paritaire la semaine passée

[abriotde]

Une bonne raison pour fermer le service en Europe et le remettre entre les mains américaines qui lui garantissent plus de liberté.

Rappelons tous de même que Whois apporte une grande sécurité en donnant des référence sur un site pour savoir un peu à quoi il correspond. On rappel aussi qu'il ne donne pas des information sur un particulier, mais d'un site web, donc d'un espace public qui bien entendu peut-être rattaché a une personne comme une entreprise.

[Jarodd]

Le RGPD a été définitivement adopté en avril 2016. Et L'ICANN se réveille 3 semaines avant son entrée en vigueur...

[MadScratchy]

Ce RGPD est bien flou pour moi.

Le Whois est pour moi un peu comme les pages jaunes pour les sites web : ça m'a permis à plusieurs reprises de voir qu'un site était bidon (phishing).

Quelles sont les informations "sensibles" sur les sites web données par le whois ? Car on peut déjà masquer certains champs (OVH permet de le faire par exemple).

[Jarodd]

Tout le monde n'est pas chez OVH.

[Stéphane le calme]

RGPD : WHOIS va-t-il être contraint de suspendre ses activités au courant de mai ?
Quelles conséquences pour les webmasters ?

Le service WHOIS est un service de recherche fourni par les registres Internet (par exemple les Registres Internet régionaux – RIR) – ou bien les registres de noms de domaine) permettant d'obtenir des informations sur une adresse IP ou un nom de domaine. En clair, Whois est un service qui vous permet de découvrir qui sont les propriétaires de noms de domaine.

Avec l’arrivée du RGPD (Règlement Général de Protection des Données) qui va entrer en vigueur le 25 mai de l’année en cours, ce service pourrait bien en être profondément affecté. En effet, comme le suggère son nom, le RGPD a pour but de mieux sécuriser les données privées des internautes.

Il s’est avéré difficile pour l’ICANN de trouver un point d’entente dans le conflit entre les obligations de confidentialité nouvellement imposées par le RGPD et sa mission de longue date de fournir des données WHOIS accessibles et précises. Alors que l'ICANN exige actuellement que les bureaux d'enregistrement de domaines divulguent les données personnelles des déclarants, le RGPD leur interdit de le faire. Depuis que le RGPD a été adopté, l'ICANN a essayé de proposer un modèle intérimaire qui permet aux bureaux d'enregistrement de se conformer simultanément à leurs obligations envers l'ICANN mais également au RGPD.

Un compromis que le G29 n’a pas jugé acceptable. En effet, l’article 5(1) b du RGPD prévoit que les données à caractère personnel seront « collectées à des fins précises, explicites et légitimes ». Selon le G29, le modèle intérimaire de l'ICANN ne parvient pas à remplir cet objectif (le groupe de travail note que, par exemple, fournir un « accès légitime » à des « données d'enregistrement précises, fiables et uniformes » ne correspond pas à un objectif spécifique).

Aussi, l’ICANN a accepté une invitation à rencontrer le sous-groupe technologique du G29 à Bruxelles le 23 avril 2018 pour d'autres discussions. Göran Marby, président et chef de la direction de l'ICANN, a déploré le fait que le G29 n'ait pas répondu à la demande de l'ICANN de lui accorder un moratoire avant qu’un modèle ne soit appliqué afin de répondre au mieux aux exigences du RGPD.

« Sans un moratoire sur l'application de la loi, WHOIS sera fragmenté et nous devrons prendre des mesures pour atténuer ce problème. En tant que telles, nous étudions toutes les solutions à notre disposition, y compris les actions en justice en Europe pour clarifier notre capacité à continuer à coordonner correctement cette importante ressource d'information mondiale. Nous fournirons plus d'informations dans les prochains jours », a-t-il déclaré.

Au terme de cette rencontre, avec les défenseurs européens du respect de la vie privée, l'ICANN s'est une fois de plus vu expliquer que le règlement européen de protection des données devra être respecté sans délai et que les adresses e-mail des personnes privées devront être rendues anonymes.

Un futur incertain pour les données WHOIS

L'ICANN va donc devoir travailler sur un système qui va venir remplacer celui de WHOIS. Par exemple, les données WHOIS actuellement disponibles pourraient ne plus être accessibles au public, pendant la période de transition ou dans la nouvelle gouvernance de WHOIS. Un mécanisme d’accréditation pourrait alors être mis en place pour permettre à des tiers d’accéder à ces données qui pourraient devenir protégées.

Quel avis général plane sur ce service ?

Certains développeurs ou administrateurs de sites Web ne semblent pas préoccupés par l’éventuelle disparition de WHOIS : « Je souhaite vraiment que le WHOIS disparaisse pour toujours. Il n'y a absolument aucun intérêt. Si vous ne payez pas pour que votre nom soit privé, vous êtes spammé à un degré incroyable, c'est absolument horrible. Littéralement plus de 10 appels par jour, des messages vocaux mais aussi des courriels. Donc, vous devez acheter votre "protection de la vie privée«, qui va à l’encontre de l'objectif du service de toute façon. Tout ce que WHOIS fait est de créer une industrie de personnes vendant de la vie privée à WHOIS ».

Chez certains journalistes et blogueurs, le sentiment était différent : « Pour ce que ça vaut, j'ai utilisé WHOIS pour mes besoins en journalisme. Il m'a aidé à contacter des gens pour des entretiens - généralement des propriétaires de petites entreprises ou des blogueurs qui n'essaient pas particulièrement de se cacher mais qui n'ont pas leurs coordonnées sur leurs sites Web actuels ».

Source : ICANN

Et vous ?

Qu'en pensez-vous ?
Quelle utilisation faites-vous de WHOIS ?
Approuvez-vous son fonctionnement actuel ou y trouvez-vous plus d'inconvénients ?
Quelles conséquences cela pourrait-il avoir pour les propriétaires de sites (marques, indépendant, etc.) ?

Voir aussi :

RGPD : Google met à jour sa politique de confidentialité et donne des explications sur sa collecte et son traitement des données utilisateur
À l'approche de l'entrée en vigueur du RGPD, Apple durcit le ton contre les développeurs qui partagent les données des utilisateurs avec des tiers
La version 3.9 de Joomla va intégrer de nouveaux outils de confidentialité, conformément au règlement général sur la protection des données (RGPD)
Unroll.me met un terme à son activité en Europe, le service en ligne de gestion de courriels choisit de ne pas se conformer au RGPD
Vous pouvez échapper au RGPD en excluant l'Europe de votre site, un service de « gdpr-shield.io » propose de bloquer les utilisateurs européens

[Stéphane le calme]

L'ICANN dépose une plainte en Allemagne pour préserver les données WHOIS,
qui sont, selon elle, menacées par une interprétation du RGPD

Le service Whois est un service de recherche fourni par les registres Internet (par exemple les Registres Internet régionaux – RIR) – ou bien les registres de noms de domaine) permettant d'obtenir des informations sur une adresse IP ou un nom de domaine. En clair, Whois est un service qui vous permet de découvrir qui sont les propriétaires de noms de domaine.

L’ICANN, qui avait demandé au groupe de travail G29 (l’organe consultatif européen indépendant sur la protection des données et de la vie privée) un moratoire pour préparer WHOIS à la transition vers une conformité au RGPD, s’est vu refusé sa requête.

Mais l’ICANN ne compte pas en rester là. En effet, vendredi, l’organisation a déposé une demande d'injonction à l'encontre d'EPAG, un bureau d'enregistrement accrédité par l'ICANN basé en Allemagne et faisant partie du groupe Tucows. L'ICANN a pris cette mesure pour demander l'aide du tribunal dans l'interprétation du Règlement général de protection des données de l'Union européenne afin de protéger les données collectées dans le cadre de WHOIS. Le « dépôt unilatéral » de l'ICANN à Bonn, en Allemagne, demande une décision judiciaire afin d’assurer la collecte continue de toutes les données WHOIS, de sorte que ces données restent disponibles aux parties démontrant le but légitime d'y accéder, conformément au RGPD.

L'EPAG a récemment informé l'ICANN que lorsqu'elle vendrait de nouveaux enregistrements de noms de domaine, elle ne collecterait plus d'informations de contact administratives et techniques, car elle estime que la collecte de ces données violerait les règles du RGPD. L'ICANN exige que ces informations soient collectées, via son contrat avec EPAG, qui l'autorise à vendre des enregistrements de noms de domaine génériques de premier niveau. L'ICANN a récemment adopté une nouvelle spécification temporaire concernant la manière dont les données WHOIS devraient être collectées et quelles parties pourraient être publiées, ce que l'ICANN estime être cohérent avec le RGPD.

« Nous déposons une action en Allemagne pour protéger la collecte de données WHOIS et pour demander des précisions sur le fait que l'ICANN peut continuer à exiger sa collecte. C'est le rôle d'intérêt public de l'ICANN de coordonner un WHOIS mondial décentralisé pour le système de domaine de premier niveau générique. L'ICANN exige par contrat la collecte de données à plus de 2 500 bureaux d'enregistrement et registres qui aident l'ICANN à maintenir cette ressource d'information mondiale », a déclaré John Jeffrey, avocat général et secrétaire de l'ICANN. « Nous apprécions que l'EPAG ait partagé avec nous ses plans, afin que nous puissions rapidement demander des précisions à la Cour allemande sur cette question importante.Nous apprécions également que l'EPAG ait accepté de ne pas supprimer définitivement les données WHOIS collectées, sauf conformément à la politique de l'ICANN ».

Si les actions d'EPAG venaient à être maintenues, des parties ayant des finalités légitimes (chercheurs en sécurité pour prévenir d’une brèche, forces de l’ordre, organisme de droits de propriété intellectuelle, etc.) pourraient ne plus accéder aux enregistrements WHOIS complets.

L'ICANN insiste sur le fait qu’elle ne cherche pas à obliger ses parties contractantes à violer la loi. La position de l'EPAG a identifié un désaccord avec l'ICANN et d'autres sur la manière dont le RGPD devrait être interprété. Cette poursuite vise à clarifier cette différence d'interprétation. Dans son adoption du 17 mai 2018 de la spécification temporaire pour les données d'enregistrement gTLD, le Conseil d'administration de l'ICANN a noté que l'intérêt public mondial est servi par la mise en œuvre d'une politique unifiée régissant les aspects des données d'enregistrement gTLD.

« L'organisation ICANN s'engage à appliquer nos contrats dans toute la mesure permise par la loi et à préserver l'intégrité du système WHOIS », a déclaré Göran Marby, président et chef de la direction de l'ICANN.

Source : ICANN

Et vous ?

Que pensez-vous de l'action de l'ICANN ?

Voir aussi :

RGPD : la version européenne de USA Today pèse 500 Ko contre 5,2 Mo pour la version originale, d'après les mesures d'un webmaster
RGPD : les achats programmatiques de publicités en Europe chutent de 25 à 40 % dans certains cas, quelques heures après l'entrée en vigueur de la loi
Google et Facebook sous le coup de 4 accusations dans 4 pays pour avoir enfreint le RGPD, quelques heures seulement après son entrée en vigueur
RGPD : Google met à jour sa politique de confidentialité et donne des explications sur sa collecte et son traitement des données utilisateur
Unroll.me met un terme à son activité en Europe, le service en ligne de gestion de courriels choisit de ne pas se conformer au RGPD

[Stéphane le calme]

WHOIS : le Contrôleur européen de la protection des données estime que la proposition de l'ICANN
ne respecte pas le RGPD

Les régulateurs de données européens ont refusé la dernière proposition du superviseur Internet ICANN sur le service de données Whois. C’est la troisième fois qu’une proposition de l’ICANN sur la conformité du service au RGPD est refusée.

Dans une lettre adressée aux systèmes de nommage et d'adressage de l'Internet américain, le président du Contrôleur européen de la protection des données (CEPD) a d’abord rappelé le contexte :

« Le 25 mai, le Contrôleur européen de la protection des données (CEPD) a approuvé l’assertion du G29 concernant WHOIS. Cette assertion confirme les attentes du CEPD envers l’ICANN qui devrait développer un modèle d’utilisation de WHOIS par des parties pertinentes, comme les forces de l’ordre, des données de personnes inscrites qui soit conforme avec le RGPD, ceci sans conduire à la publication illimité de ces données.

« Le CEPD a également pris note de la spécification temporaire adoptée par l’ICANN le 17 mai 2018, dans laquelle le Bureau de l’ICANN, les opérateurs gTLD ainsi que les bureaux d’enregistrement continuent de se conformer aux obligations contractuelles existantes de l’ICANN et aux politiques communautaires à la lumière du RGPD ».

Par la suite, le CEPD a indiqué clairement que ce plan « intérimaire » de l'organisation est fondamentalement erroné.

Bien qu'existant uniquement pour développer des règles pour l'infrastructure sous-jacente d'Internet et disposant d'un budget annuel de 100 millions de dollars, l'ICANN s'est mise en position de sous-traiter efficacement le service Whois à un groupe de bureaucrates à Bruxelles.

Et sur plusieurs questions critiques, les bureaucrates de données sont allés directement contre les positions déclarées de l'ICANN et de ses membres les plus influents, y compris son secteur d'activité, son groupe de propriété intellectuelle, ainsi que des membres externes incluant le gouvernement américain et l'International Trademark Association. .

Dans ce qui est peut-être le plus grand coup porté à la crédibilité de l'ICANN, le CEPD a invalidé l'appel de l'ICANN suite à une décision de justice que l’ICANN a perdue le mois dernier devant un tribunal allemand, affirmant clairement que l’ICANN ne peut forcer les utilisateurs de WHOIS à renseigner des contacts administratifs et techniques supplémentaires pour un nom de domaine donné.

En outre, le CEPD a rejeté l'argument de l'ICANN selon lequel des règles différentes s'appliquent lorsqu'un nom de domaine est enregistré par un individu ou une entité juridique comme une société. Ce n'est pas le cas, a déclaré le CEPD, indiquant que si une adresse e-mail personnelle est donnée pour un site Web d'entreprise, elle relève encore de la législation sur la vie privée RGPD.

En plus de cela, la lettre pose un gros point d'interrogation sur l'affirmation de l'ICANN selon laquelle elle peut conserver les données de domaine bien plus longtemps que la limite de deux ans requise, disant que l'organisation devrait « justifier explicitement et documenter pourquoi il est nécessaire de conserver données personnelles pour cette période ».

Le CEPD s’est également attaqué aux efforts de transparence de l'ICANN qui a évoqué la création d’un modèle d'accès qui donnerait aux défenseurs de la propriété intellectuelle le droit de voir toutes les données Whois. Le CEPD a fait valoir que les codes de conduite et d'accréditation ne sont pas un modèle suffisamment solide pour accéder aux données personnelles et que l'ICANN et ses registres et bureaux d'enregistrement seront tenus légalement responsables de toute mauvaise utilisation ultérieure des données.

Toutefois, pour l'ICANN, en incluant des termes dans ses contrats qui forcent les signataires à dire qu'ils sont des contrôleurs de données, cela devrait imputer, d'une manière ou d'une autre, des obligations légales qui pourraient lui incomber. Mais la lettre du CEPD est claire et estime que ce n’est pas du tout le cas : l'ICANN pourrait donc être condamnée à payer des amendes de plusieurs millions de dollars si elle n'est pas conforme au RGPD.

En somme, pour la troisième fois consécutive, les efforts de l'ICANN pour conserver son système existant en s'appuyant sur des arguments juridiquement discutables ont échoué.

Source : lettre du CEPD (en pièce jointe)

Voir aussi :

RGPD : la version européenne de USA Today pèse 500 Ko contre 5,2 Mo pour la version originale, d'après les mesures d'un webmaster
RGPD : les achats programmatiques de publicités en Europe chutent de 25 à 40 % dans certains cas, quelques heures après l'entrée en vigueur de la loi
Google et Facebook sous le coup de 4 accusations dans 4 pays pour avoir enfreint le RGPD, quelques heures seulement après son entrée en vigueur
RGPD : Google met à jour sa politique de confidentialité et donne des explications sur sa collecte et son traitement des données utilisateur
Unroll.me met un terme à son activité en Europe, le service en ligne de gestion de courriels choisit de ne pas se conformer au RGPD

[redcurve]

ICANN devrait simplement bloquer les utilisateurs européens un point c'est tout

[Stéphane le calme]

RGPD : la justice allemande rejette la demande d'injonction de l'ICANN,
et devient la première à appliquer le nouveau règlement sur les données

L'article 5 du RGPD, qui est relatif au traitement des données à caractère personnel, stipule que les données à caractère personnel doivent être:

• traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
• collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
• adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
• exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
• conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
• traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).

Il faut rappeler que l'EPAG, un bureau d'enregistrement accrédité par l'ICANN basé en Allemagne et faisant partie du groupe Tucows, a récemment informé l'ICANN que lorsqu'elle vendrait de nouveaux enregistrements de noms de domaine, elle ne collecterait plus d'informations de contact administratives et techniques, car elle estime que la collecte de ces données violerait les règles du RGPD. L'ICANN exige que ces informations soient collectées, via son contrat avec EPAG, qui l'autorise à vendre des enregistrements de noms de domaine génériques de premier niveau. L'ICANN a récemment adopté une nouvelle spécification temporaire concernant la manière dont les données WHOIS devraient être collectées et quelles parties pourraient être publiées, ce que l'ICANN estime être cohérent avec le RGPD.

L’ICANN a alors décidé de déposer une demande d'injonction à l'encontre d'EPAG. « Nous déposons une action en Allemagne pour protéger la collecte de données WHOIS et pour demander des précisions sur le fait que l'ICANN peut continuer à exiger sa collecte. C'est le rôle d'intérêt public de l'ICANN de coordonner un WHOIS mondial décentralisé pour le système de domaine de premier niveau générique. L'ICANN exige par contrat la collecte de données à plus de 2 500 bureaux d'enregistrement et registres qui aident l'ICANN à maintenir cette ressource d'information mondiale », a déclaré John Jeffrey, avocat général et secrétaire de l'ICANN. « Nous apprécions que l'EPAG ait partagé avec nous ses plans, afin que nous puissions rapidement demander des précisions à la Cour allemande sur cette question importante.Nous apprécions également que l'EPAG ait accepté de ne pas supprimer définitivement les données WHOIS collectées, sauf conformément à la politique de l'ICANN ».

L’ICANN a insisté que si les actions d'EPAG venaient à être maintenues, des parties ayant des finalités légitimes (chercheurs en sécurité pour prévenir d’une brèche, forces de l’ordre, organisme de droits de propriété intellectuelle, etc.) pourraient ne plus accéder aux enregistrements WHOIS complets.

Dans la première décision (disponible uniquement en allemand) appliquant le règlement général sur la protection des données, le tribunal allemand a jugé que la collecte de données excédant ce qui est nécessaire pour atteindre des objectifs commerciaux légitimes viole l'un des principes fondamentaux du RGPD.

Rejetant la demande de l'ICANN, le tribunal régional de Bonn a estimé que la collecte de données sur les contacts techniques et administratifs violerait la règle de minimisation des données. À l'appui de ses constatations, la Cour a noté que les personnes inscrites n'avaient pas auparavant été tenues de fournir des coordonnées techniques et administratives, et l'ICANN n'a pas fourni de preuve suffisante qu'une telle collecte de données était nécessaire.

L'ICANN a fait appel de la décision de la Cour de Bonn devant le tribunal régional supérieur de Cologne, en Allemagne. Les contestations des pratiques de confidentialité de Google et de Facebook au moment de l'entrée en vigueur du RGPD en mai continuent de progresser dans le système, mais cette affaire montre que les organisations à but lucratif et non lucratif doivent prendre en compte les obligations du RGPD. Cette première décision du RGPD rappelle que les entreprises doivent évaluer et documenter les raisons pour lesquelles les données personnelles collectées et traitées sont nécessaires à une finalité spécifique et légitime, et veiller à ce que les informations soient limitées à ce qui est nécessaire pour atteindre cet objectif.

Source : ICANN

[tanaka59]

Lors de la création d'un site , je pense qu'il est tout de même nécessaire d'avoir au minimum une adresse physique pour le nom de domaine ou le site en question . Comme une société / institution / administration en somme .

La raison est simple , en cas de pépin le site doit être joignable (admin , webmaster , propriétaire du nom de domaine , hébergeur ... ) . Le RGPD est assez flou sur les infos obligatoires de contact pour les sites web.

[Max Lothaire]

Lors de la création d'un site , je pense qu'il est tout de même nécessaire d'avoir au minimum une adresse physique pour le nom de domaine ou le site en question . Comme une société / institution / administration en somme .

La raison est simple , en cas de pépin le site doit être joignable (admin , webmaster , propriétaire du nom de domaine , hébergeur ... ) . Le RGPD est assez flou sur les infos obligatoires de contact pour les sites web.

Le problème de whois et que n'importe qui peut accéder à ces informations.
Peut être qui faudrait rendre systématique le mécanisme qui permet de remplacer les coordonnées de propriétaire du domaine par celles du registar, comme c'est le cas il me semble pour les .fr.