Introduction

Dans un contexte marqué par un renforcement des exigences en matière de protection des données personnelles, la gestion des informations relatives aux titulaires de noms de domaine a connu des évolutions significatives. La pratique actuelle consistant à masquer les données WHOIS s’inscrit dans cette dynamique, mais elle n’est pas sans soulever des interrogations. En effet, elle semble entrer en tension avec le principe de transparence historiquement défendu par l’ICANN. Une question demeure dès lors persistante : l’anonymisation des détenteurs de noms de domaine est-elle réellement compatible avec les règles du système des noms de domaine ?

Qu’est-ce que le WHOIS et pourquoi est-il essentiel ?

Le WHOIS est un système distribué de données d’enregistrement permettant d’identifier le titulaire d’un nom de domaine. Il regroupe des informations clés telles que l’identité du titulaire, ses coordonnées, le bureau d’enregistrement ainsi que les dates d’enregistrement et d’expiration du nom de domaine.

Ce système repose historiquement sur un principe central de l’ICANN: la transparence. Celle-ci permet d’assurer un fonctionnement équilibré de l’écosystème des noms de domaine, en facilitant notamment :

  • Assurer la traçabilité des titulaires de droits ;
  • L’effectivité des mécanismes de protection et de règlement des litiges.

En pratique, le WHOIS constitue un outil de régulation, assurant l’équilibre entre la liberté d’enregistrement des noms de domaine et la nécessaire responsabilité de leurs titulaires.

Le cadre ICANN : transparence et obligations des bureaux d’enregistrement

Le cadre instauré par l’ICANN vise à garantir la fiabilité, l’accessibilité et la transparence des données d’enregistrement des noms de domaine. En vertu du Contrat d’accréditation de bureau d’enregistrement (Registrar Accreditation Agreement (RAA)) de 2013, les bureaux d’enregistrement sont tenus de collecter et de conserver des informations exactes, complètes et vérifiables relatives aux titulaires, ainsi que de mettre en place des mécanismes permettant leur accès dans des conditions encadrées, notamment dans le cadre de procédures contentieuses ou administratives.

Au-delà de ces obligations, le système repose sur un principe essentiel : celui de la responsabilité des titulaires de noms de domaine. L’enregistrement d’un nom de domaine implique que son titulaire puisse être identifié, afin de répondre des usages qui en sont faits. Cette identifiabilité conditionne concrètement l’exercice des droits des tiers, qu’il s’agisse de notifier une atteinte, d’engager une procédure UDRP ou d’assurer l’exécution d’une décision.

A travers son aspect technique, le WHOIS permet ainsi de mettre en application le mécanisme de régulation prévu par l’ICANN en assurant une traçabilité des détenteurs de noms de domaines

Le WHOIS anonymisé : fonctionnement et dérives depuis le RGPD

Depuis l’entrée en vigueur du RGPD le 25 mai 2018, de nombreux bureaux d’enregistrement ont adopté une approche particulièrement prudente dans la gestion des données WHOIS, notamment lorsqu’elles concernent des personnes physiques, conduisant en pratique à une anonymisation largement systématisée, souvent appliquée par défaut.

Dans ce cadre, ils ont progressivement ajusté leurs pratiques afin de concilier les dispositions en matière de protection des données personnelles avec les exigences historiques de transparence du système WHOIS. Cette évolution s’est traduite par une restriction de l’accès public aux données d’identification, ainsi que par le développement de solutions techniques de masquage.

Les données WHOIS masquées repose sur des services de “privacy” proposés par les bureaux d’enregistrement, consistant à substituer les données du titulaire par celles d’un prestataire d’anonymisation. Les informations d’identification sont ainsi masquées, un tiers apparaissant comme point de contact, rendant l’identité réelle du titulaire indirectement accessible.

Si cette évolution répond à des préoccupations légitimes de protection des données personnelles, elle affecte directement l’effectivité de la lutte contre les abus. Elle complique l’identification des titulaires, ralentit le traitement des litiges et entrave les actions de récupération de noms de domaine, tout en favorisant le développement d’usages frauduleux tels que le phishing, la contrefaçon ou le typosquatting.

En pratique, le WHOIS anonymisé tend ainsi à devenir un instrument de dissimulation, en rupture avec la logique de transparence historiquement au fondement du système des noms de domaine. Il en résulte une forme de sur-conformité dans laquelle la protection des données personnelles prévaut, en pratique, sur les exigences de d’accessibilités aux données, fragilisant ainsi l’un des piliers du modèle de régulation de l’ICANN.

Pour en savoir plus concernant les usages frauduleux des noms de domaine, nous vous invitons à consulter notre article précédemment publié.

Comment concilier la protection des données (RGPD) et les exigences de transparence de l’ICANN ?

La généralisation du WHOIS anonymisé révèle une tension reposant sur une nécessaire mise en balance des intérêts en présence.

  • D’une part : la protection des données personnelles ;
  • D’autre part : la nécessité de transparence et d’identifiabilité des titulaires.

C’est dans cette logique qu’ont émergé des mécanismes visant à en assurer la conciliation et au premier rang desquels figurent les dispositifs d’accès différencié aux données.

Si les informations WHOIS ne sont plus librement accessibles au public, elles peuvent être communiquées à des acteurs justifiant d’un intérêt légitime, notamment dans un contexte contentieux. Ce modèle, communément désigné sous le terme de “gated Whois”, tend à préserver la confidentialité des données tout en garantissant l’effectivité des droits.

Cette évolution s’inscrit dans le cadre de la Spécification temporaire relative aux données d’enregistrement des gTLD (« Temporary Specification for gTLD Registration Data ») adoptée par l’ICANN en 2018, en réaction à l’entrée en vigueur du RGPD. Ce dispositif a remanié les modalités d’accès aux données WHOIS, créant la pratique d’une anonymisation par défaut tout en organisant des mécanismes d’accès encadré.

Ce principe trouve une illustration concrète dans le cadre des procédures UDRP. Lorsqu’une plainte est introduite, le centre d’arbitrage sollicite le bureau d’enregistrement afin d’obtenir une “registrar verification”, permettant d’identifier le titulaire réel du nom de domaine malgré l’anonymisation des données.

processus verification titulaire

Toutefois, en dehors de ces mécanismes encadrés, l’accès aux données demeure fragmenté et largement dépendant des pratiques des bureaux d’enregistrement. Les conditions de divulgation, ainsi que les délais de traitement, varient sensiblement, ce qui en limite l’efficacité, en particulier dans les situations nécessitant une intervention rapide.

Conclusion

La conciliation entre RGPD et exigences d’accessibilité des données ne repose pas uniquement sur les textes, mais sur la mise en œuvre de mécanismes opérationnels fiables, permettant un accès proportionné, sécurisé et effectif aux données. À défaut, le risque est de voir s’installer un système dans lequel la protection des données, pourtant légitime, compromet l’efficacité des outils de régulation et de défense des droits.

 

Le cabinet Dreyfus accompagne ses clients dans la gestion de dossiers de propriété intellectuelle complexes, en proposant des conseils personnalisés et un soutien opérationnel complet pour la protection intégrale de la propriété intellectuelle.

Dreyfus & Associés est en partenariat avec un réseau mondial d’avocats spécialisés en Propriété Intellectuelle.

Nathalie Dreyfus avec l’aide de toute l’équipe du cabinet Dreyfus.

 

FAQ

 

1. Les données WHOIS peuvent-elles être considérées comme des données personnelles ?

Oui, dès lors qu’elles permettent d’identifier une personne physique, elles entrent dans le champ du RGPD.

2. Le RGPD impose-t-il l’anonymisation totale du WHOIS ?

Non, le RGPD impose une protection des données personnelles, mais n’exige pas une anonymisation systématique. Celle-ci résulte souvent d’une interprétation prudente des acteurs.

3. Les données WHOIS sont-elles toujours exactes ?

Elles doivent l’être. Les bureaux d’enregistrement ont une obligation contractuelle de collecter des données exactes et à jour, même si elles ne sont pas publiques.

4. Peut-on obtenir les données WHOIS en dehors d’une procédure UDRP ?

Oui, via des demandes de divulgation (“disclosure requests”), mais leur issue dépend des pratiques du bureau d’enregistrement et de l’appréciation de l’intérêt légitime invoqué.

5. Peut-on engager une procédure UDRP sans connaître le titulaire ?

L’anonymisation du WHOIS n’empêche pas d’engager une procédure UDRP. La plainte peut être déposée contre le titulaire “inconnu” ou le service de confidentialité, étant précisé que l’identité du titulaire est ensuite révélée par le registrar dans le cadre de la procédure.

 

Cette publication a pour objet de fournir des orientations générales au public et de mettre en lumière certaines problématiques. Elle n’a pas vocation à s’appliquer à des situations particulières ni à constituer un conseil juridique.