François Charlet

Actualités, opinions et analyses juridiques et technologiques internationales et suisses

Base de données Whois : transparence vs protection des données

26/11/2012 6 Min. lecture Droit François Charlet

La question m’est apparue comme un flash, suite aux récents changements sur ce blog : pourquoi les données personnelles des détenteurs de noms de domaine du “.ch” sont-elles librement accessibles sur Internet dans une base de données Whois alors que d’autres pays, comme la France pour le “.fr”, permettent de les masquer voire le font automatiquement ?

(Avant d’aller plus loin, je précise que je suis au courant qu’il est possible pour certains noms de domaine de masquer toutes les informations relatives au titulaire. En ce qui me concerne, c’est par choix que j’ai pris un nom de domaine en “.ch”.)

Ressources d’adressage

En Suisse, un nom de domaine (comme francoischarlet.ch) est une ressource d’adressage. Ces ressources permettent d’identifier les utilisateurs se servant d’outils de télécommunications afin d’acheminer les informations vers leurs terminaux. La ressource d’adressage la plus connue est le numéro de téléphone.

Une ressource d’adressage doit nécessairement être liée à une personne. De manière générale, cela se fait de façon contractuelle (un abonnement téléphonique chez un opérateur, par ex.). Comme des données personnelles sont collectées au moment de la conclusion du contrat, un lien direct est créé entre ces données et la ressource d’adressage.

Les ressources d’adressage sont traitées tant dans la loi sur les télécommunications (LTC) que dans l’Ordonnance sur les ressources d’adressage dans le domaine des télécommunications (ORAT).

Le Message du Conseil fédéral de 1996 (pp. 1392-1393) concernant la LTC disait ceci au sujet des ressources d’adressage :

Les ressources d’adressage sont un bien mathématiquement limité. […] Les autres principes de base de la politique de numérotation sont l’attribution transparente et non discriminatoire, l’usage rationnel et judicieux des ressources d’adressage ainsi que l’adaptation de la réglementation et des plans de numérotation aux éventuels nouveaux services de télécommunication.

L’art. 28 LTC prévoit donc une attribution transparente (même s’il ne le dit pas expressément), ce qui implique nécessairement un conflit avec la protection des données. Toutefois, ces données personnelles liées à une ressource d’adressage ne doivent pas être considérées en lien avec une communication ; elles doivent être prises dans le sens où elles constatent un état, c’est-à-dire l’attribution d’une ressource d’adressage à un individu (Bondallaz Stéphane, La protection des personnes et de leurs données dans les télécommunications, Thèse, 2007).

Pourquoi cette transparence ?

Alors qu’on autorise expressément - depuis l’entrée en vigueur de la LTC en 1997 - les individus à décider s’ils veulent figurer dans un annuaire téléphonique (art. 12d LTC), cette possibilité n’existe pas pour la base de donnée Whois pour les noms de domaine du “.ch”.

Les usagers doivent donc pouvoir décider eux-mêmes, compte tenu de la structure des annuaires, des données à faire figurer dans ces derniers. Ainsi la protection de la personnalité est renforcée. (Message du Conseil fédéral de 1996)

A l’inverse, l’art. 14h ORAT impose la publication des données que l’individu doit fournir afin de bénéficier d’un nom de domaine en “.ch”. Ainsi, “le nom complet du titulaire” et “l’adresse postale du domicile ou du siège du titulaire, indiquant le nom de la rue ou un numéro de case postale, la localité, le code postal, l’Etat ou la province (le canton pour la Suisse) et le pays” doivent être rendus publics et librement accessibles pour tout un chacun. La protection de la personnalité énoncée plus haut concernant les annuaires semblent avoir ici beaucoup moins de poids.

Cette transparence semble commandée par les modes alternatifs de règlement des différends (Alternative Dispute Resolution [ADR]). Les ADR permettent à une personne de demander une sorte d’arbitrage, en particulier dans le cas où elle doit faire face à un enregistrements de nom de domaine qui viole ses droits, en matière de propriété intellectuelle notamment.

Ce développement des ADR tient aux difficultés d’accéder à la justice (durée, complexité et coût des procédures, en particulier lors de litiges transfrontaliers avec des conflits de loi et de juridiction), difficultés qui se sont accentuées dans le monde immatériel, sans frontières et en rapide évolution de l’internet.

(Message du Conseil fédéral de 2003 concernant la révision de la LTC, p. 7275)

Dès lors, et selon le règlement d’utilisation de la base de données Whois de Switch, cette base de données doit servir à vérifier si un nom de domaine est déjà enregistré ou non, et interroger les données concernant un nom de domaine afin d’identifier le détenteur de ce nom de domaine.

Les données à publier ont été sélectionnées parmi celles recommandées se trouvant dans le Rapport final concernant le processus de consultation de l’OMPI sur les noms de domaine de l’Internet (paragraphes 73 et 81). Leur disponibilité publique vient notamment de l’OCDE qui explique que “l’identification facile des entreprises en ligne est un élément clé pour la confiance des consommateurs dans le marché électronique” de même que “l’importance de la transparence des entreprises pour la confiance du consommateur en ligne” Considérations du point de vue de la politique à l’égard des consommateurs sur l’importance d’avoir des données Whois exactes et disponibles).

Pourtant, en France

Pourtant, en France, pour le “.fr”, il est possible de masquer les données personnelles au public et de ne les révéler qu’à certaines conditions. L’AFNIC (Association Française pour le Nommage Internet en Coopération) explique qu’il est possible de ne pas rendre publiquement disponible dans la base de données Whois les informations liées à l’attribution du nom de domaine.

Cette protection des données personnelles pour les particuliers est même réalisée systématiquement par l’AFNIC. Les données personnelles (nom, adresse, téléphone, etc..) que vous avez fournies à l’enregistrement sont bien enregistrées mais elles sont remplacées par la mention “Diffusion restreinte” sur la fiche correspondant à votre nom de domaine dans l’annuaire Whois. Ces coordonnées sont accessibles, sur demande expresse et motivée, à la Direction juridique de l’AFNIC et sous conditions. Notez que cette protection ne s’applique pas aux coordonnées professionnelles fournies par le représentant d’une personne morale (titulaire, contact administratif ou contact technique).

S’il faut s’adresser au titulaire du nom de domaine, un lien dans la base de données Whois permet de remplir un formulaire qui enverra un e-mail au titulaire sans que ses données personnelles soient révélées au tiers. En cas de litige, le tiers pourra s’adresser à l’AFNIC (ou à un tribunal) afin de lever l’anonymat.

Si le système est évidemment moins transparent et implique de s’adresser à un organisme avant de pouvoir, le cas échéant, contacter le titulaire d’un nom de domaine, il a l’avantage de ne pas divulguer au monde entier nos noms et adresses postales. De plus, il ne me semble pas nécessaire de divulguer des données personnelles afin de prouver que le nom de domaine est déjà pris ; une simple réponse négative devrait suffire. Si cette dernière ne convient pas, il suffit de prendre les mesures qui s’imposent.