RGPD et WHOIS de noms de domaine : point à date

Whois et RGPD : quelle problématique ?

Le RGPD encadre le traitement de données à caractère personnel au regard de l’Union européenne de façon bien plus stricte que par le passé. Dans cette dynamique, le nouveau règlement européen oblige désormais les offices d’enregistrement (registry) et les bureaux d’enregistrement (registrar), ces intermédiaires entre l’ICANN et le réservataire gérant la réservation de noms de domaine, à obtenir le consentement des réservataires pour la collecte de leurs données à caractère personnel et interdit leur divulgation au public. En effet, le WHOIS soulevait un problème pour la protection de la vie privée des personnes. La diffusion publique de l’identité, voire d’autres informations relatives au détenteur d’un nom de domaine, ainsi que celles des contacts administratifs et techniques qui peuvent être des personnes physiques, ouvrait la porte à l’exploitation commerciale de ces données sans consentement préalable. Or, il s’agit précisément d’une des problématiques que le règlement entendait traiter. Des changements relatifs à l’accès aux données à caractère personnel des fiches Whois étaient dès lors essentiels pour une mise en conformité effective.  Le modèle de Whois a également été remis en cause par le registrar allemand EPAG. Ce dernier qui fait une interprétation stricte du règlement a cessé de collecter les données des contacts administratif et technique pour les nouveaux enregistrements. L’ICANN a alors engagé une action judiciaire devant le tribunal régional de Bonn afin de requérir la continuation de la collecte de toutes les données WHOIS, et maintenir ainsi l’intégrité de la base de données WHOIS. Déboutée en première instance, l’ICANN a fait appel, action qui a conduit le tribunal de Bonn à se ressaisir de l’affaire.

La mise en conformité de l’ICANN

L’ICANN a donc été contrainte de faire évoluer sa politique de WHOIS. A cet effet, elle a modifié le 31 juillet 2017 ses contrats avec les registry concernant la collecte de données à caractère personnel (point 2.18 du contrat d’accréditation de Registry). La modification porte sur les relations entre regitry et registrar en imposant à ces derniers, lors de l’enregistrement de nom de domaine, d’obtenir le consentement des réservataires quant à la collecte et au traitementde leurs données pour inscription dans la base WHOIS et leur traitement conformément au contrat d’enregistrement des noms de domaine.  Dans cette optique, l’ICANN a retenu le 28 février 20184un modèle provisoire de WHOIS nommé le « Calzone Model » réduit à son minimum et appliqué à tous les titulaires de noms de domaine, dans et hors de l’Union européenne. Son but est de mettre en conformité à court terme l’exploitation de la base WHOIS avec les dispositions du RGPD, préalablement à une révision totale du système afin de permettre un équilibre optimal entre la lutte contre la cybercriminalité et la protection des données à caractère personnel. Les informations mises à disposition du public seront notamment le nom de domaine lui-même, les informations administratives et techniques (dates, statuts, nom du bureau d’enregistrement, serveurs dns), l’état et le pays du titulaire, le nom de l’organisation s’il s’agit d’une société ainsi qu’un moyen de contacter le titulaire (email anonymisé ou formulaire).  Dans le Calzone Model, les autres informations ne sont pas publiées et seuls des utilisateurs accrédités selon des critères non définis à ce jour pourront y avoir accès. Les utilisateurs accrédités envisagés seraient par exemple les autorités policières et judiciaires… et les titulaires de droits. Les propositions initiales de l’ICANN relatifs aux critères d’accréditation ont été rejetées par le Comité Européen de la Protection des Données (CEPD – anciennement G29). A ce jour, l’accès aux données complètes WHOIS est incertain et soumis à la seule appréciation des registrars.

Une application hétérogène par les registrars

En raison du rejet des propositions de l’ICANN par le CEPD et la mise en place dans la précipitation d’un modèle intérimaire, nous constatons une grande hétérogénéité dans les nouvelles politiques de confidentialité.  Par exemple, certains registrars masquent toutes les données tandis que d’autres n’appliquent pas encore les règles fixées par l’ICANN. Afin de communiquer avec le titulaire du nom de domaine enregistré, il est possible d’utiliser un formulaire en ligne qui permet de contacter directement le déposant (GoDaddy, Etats-Unis). D’autres bureaux ont mis en place un service proxy permettant la confidentialité des données à caractère personnel des réservataires (Namecheap). A l’inverse, certains registrars chinois continuent pour l’instant de divulguer les informations des titulaires européens.

Quelle stratégie adopter ?

L’application des dispositions du RGPD au regard des noms de domaine est aujourd’hui disparate.

Le cabinet Dreyfus suit l’évolution de la situation et élabore de nouvelles stratégies de défense des marques sur Internet pour s’adapter aux dispositions transitoires mises en place parl’ICANN. Il est en effet nécessaire de voir comment avancera le dialogue des différents acteurs afin de finaliser un modèle de Whois conforme aux dispositions du RGPD et garantissant un accès aux données à des tiers autorisés. Pour l’heure, le seul changement notoire à noter est l’impossibilité d’identifier via les données Whois des cybersquatteurs « à répétition » et d’engager des actions visant plusieurs noms de domaine simultanément. Nous vous tiendrons informés des avancées concernant ces problématiques.

A ce stade, notre équipe se tient à votre entière disposition pour toute question ou information complémentaire.

La protection de catalogues de maisons de vente aux enchères par le droit d’auteur

La protection de catalogues de maisons de vente aux enchères par le droit d’auteurLa société Camard, maison de vente aux enchères, avait fait appel à un photographe afin de réaliser des photographies pour différents catalogues de vente aux enchères. Ces derniers ont par la suite constaté que Artprice.com avait numérisé et mis en ligne sur sa base de données lesdits catalogues, sans autorisation. Le photographe et la société Camard ont alors assigné Artprice.com en contrefaçon au motif que le site portait atteinte à leurs droits d’auteur sur les photographies et les catalogues en question. Le TGI de Paris  rejette la demande de la société Camard et du photographe pour l’absence d’originalité au sens du droit d’auteur. Ces derniers ont alors interjeté appel contre ce jugement.

La Cour d’appel de Paris a reconnu que la numérisation desdits catalogues sur le site Internet Artprice.com constituait un acte de contrefaçon car lesdits catalogues étaient protégeables au titre du droit d’auteur.  Les juges d’appel infirment le jugement et condamnent Artprice.com au paiement de 120 000 euros au titre de dommages-intérêts en réparation d’actes de contrefaçon de droits d’auteur par reproduction des catalogues.

La Cour de Cassation va confirmer cet arrêt suite au pourvoi formé par Artprice.com. Pour ce faire, les juges ont effectué une étude approfondie des photographies et des catalogues afin d’apprécier leur originalité au regard des articles L.111-1 et L.112-2 du code de la Propriété Intellectuelle.

Ils ont constaté que les catalogues étaient présentés suivant une « présentation méthodique et ordonnée des lots, une notice biographique des auteurs des œuvres et une description de celle-ci qui les replace dans leur contexte historique, culturel et social ».  Le mobilier était également représenté par des photographies anciennes des salles où ils étaient exposés, présentés de manière « organisée par motifs, périodes, écoles ou régions… ». Tous ces éléments traduisent donc un « parti pris esthétique empreint de la personnalité des auteurs des catalogues ».

Les juges ont également admis que les photographies présentées dans les catalogues étaient le fruit de « choix esthétiques arbitraires » des auteurs, au regard notamment de leurs choix sur le positionnement, le cadre ou la prise de vue particulière des objets ou encore par la création d’une dynamique particulière entre les objets présentés et l’ajustement des couleurs et des contrastes.

Cette décision clôt cette affaire riche d’enseignements puisqu’elle permet de mieux cerner l’appréciation du critère de l’originalité par les juges, notion abstraite en droit d’auteur. Dans cette espèce, les auteurs n’ont pas seulement élaboré des catalogues avec une représentation fidèle des objets de la vente mais ils ont effectué un véritable travail, fruit de choix arbitraires et de partis pris esthétiques.

RGPD : des réactions déjà vives

RGPD : des réactions déjà vives

Alors que les questionnements fusaient au sujet de la mise en œuvre du RGPD à l’approche de son entrée en application le 25 mai 2018, les premières réactions relatives à sa mise en conformité émergent.

 Tandis que beaucoup d’entreprises espéraient une entrée en vigueur du règlement dans des conditions clémentes de la part des autorités de contrôle des Etats membres, les associations de consommateurs étaient, contre toute attente, au pied levé lors de l’entrée en vigueur du texte. Elles ont rapidement profité d’opportunités que leur offraient certains articles du RGPD de reprendre la maitrise de leurs données personnelles. Notamment, l’article 77 qui énonce que « toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle (…) si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. ». Les plaintes individuelles ainsi que les actions de groupes abondent.

Dès le 25 mai 2018, jour de l’entrée en application du RGPD, Facebook, Google, Instagram, WhatsApp ont fait l’objet de plaintes pour non-conformité au RGPD déposées auprès de différentes autorités nationales par Maximilian Schrems, avocat autrichien et activiste de la protection des données personnelles. Trois jours après, l’association « La quadrature du Net », disant réunir plus de 12 000 plaignants, a lancé de mêmes plaintes contre Amazon, Google, Facebook, LinkedIn, et Apple. Des plaintes fondées sur la non-conformité aux conditions fixées par le RGPD pour l’obtention du consentement des consommateurs dans la collecte de leurs données personnelles. Selon les attaquants, le consentement à la collecte et l’utilisation des données personnelles n’est pas cédé librement. Il serait plutôt question d’une politique du « tout ou rien », une acceptation forcée à défaut de quoi les consommateurs ne peuvent pas utiliser les services visés. Les grandes entreprises profiteraient ainsi de leur situation de domination. Ces plaintes pourraient coûter cher aux entreprises puisque les amendes pour infraction au RGPD peuvent représenter jusqu’à 4% du chiffre d’affaire mondial de l’entreprise.

La façon dont ces plaintes seront traitées et de quelle manière les peines seront appliquées reste en suspens. Les différentes autorités nationales de protection des données personnelles seront amenées à travailler ensemble pour aboutir à une décision unique concernant chacune des entreprises. Les prochaines décisions seront donc décisives et sont très largement attendues.