Une semaine avant l’entrée en vigueur du RGPD, un léger vent de panique souffle sur l’Icann et ses contractants. Rappel des griefs : l’Icann a tardé à prendre en compte sérieusement l’impact des nouvelles mesures prévues par le règlement général sur la protection des données, qui doit entrer en vigueur le 25 mai. Celles-ci entrent notamment en conflit avec la façon dont le service WHOIS fonctionne : celui-ci expose publiquement et par défaut des noms et adresses mails de différents internautes ayant enregistré des noms de domaines. Une disposition contraire au RGPD, qui préférerait que le service protège les données personnelles de ces personnes et ne les expose pas sur Internet.

 

Le service WHOIS est principalement géré par l’Icann, qui en impose la mise en place à ses contractants, les bureaux d’enregistrement de noms de domaine. Ceux-ci se retrouvaient dans une position délicate : s’ils suivaient les recommandations de l’Icann, ils s’exposaient à des sanctions de la part des autorités de protection des données européennes à compter du 25 mai. Mais s’ils décidaient de se mettre en conformité avec le RGPD, ils s’exposaient également au risque de ne pas respecter les clauses du contrat les liants à l’Icann. Pris en étau, ceux-ci avaient donc demandé une solution, l’Europe ayant refusé d’accorder un délai spécifique aux contractants de l’Icann afin de leur laisser le temps de se mettre en conformité.

Vitesse et précipitation 

La direction de l’Icann a donc fini par se résoudre à publier un texte détaillant la nouvelle politique de l’autorité à l’égard du WHOIS. Publié la semaine dernière, ce texte est transitoire, mais l’Icann précise à ses contractants que celui-ci reste obligatoire et que les dispositions évoquées dans celui-ci devront être implémentées au 25 mai. L’absence de conformité pourrait bien sûr exposer les contractants à une amende de la part des autorités de protection des données européennes, mais aussi à des sanctions de la part de l’Icann qui annonce se préparer à mener des audits sur ce point particulier.

Les bureaux d’enregistrement ne sont pourtant pas sortis de l’auberge. La nouvelle politique de l’Icann étant encore considérée comme temporaire, celle-ci peut être amenée à changer au cours du temps. Comme le rapporte le Register, des changements ont déjà été apportés deux jours après la publication de celle-ci et d’autres peuvent encore intervenir dans les jours à venir. De plus, de nombreux points abordés par cette nouvelle politique restent encore à éclaircir : ainsi, la nouvelle politique prévoit que les bureaux d’enregistrement devront mettre en place un système permettant aux autorités compétentes d’accéder aux données identifiants les propriétaires de noms de domaines. Mais le document ne précise pas comment celui-ci doit être mis en place ni ce que désigne exactement le terme « autorité compétente. »

Dans tous les cas, cette politique expirera d’ici 90 jours : celle-ci est en effet une simple politique transitoire, que l’Icann pourra corriger ou revoir au terme de cette période de temps. Pour résumer, les contractants vont devoir l’implémenter, tout en sachant pertinemment que celle-ci pourrait être amenée à changer. Pas vraiment rassurant, surtout quand on sait que cette situation a été largement provoquée par l’inaction de l’Icann à l’égard de cette échéance.

Source Article from http://www.zdnet.fr/actualites/rgpd-et-whois-une-semaine-avant-l-echeance-toujours-pas-de-clarte-39868366.htm#xtor=RSS-1
Source:ZDNet News