Système d’accès aux données Whois : quelles évolutions sous l’impulsion de l’ICANN ?

Introduction

Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018, l’accès aux données d’enregistrement de noms de domaine via le WHOIS a été profondément bouleversé. Face à l’opacité croissante qui pénalise titulaires de marques, professionnels de la cybersécurité et autorités judiciaires, l’ICANN a engagé une refonte structurelle de son architecture d’accès aux données. Du projet SSAD au RDRS, en passant par l’adoption du protocole RDAP et la nouvelle Registration Data Policy, le cadre normatif se réinvente, avec des implications concrètes et immédiates pour tout acteur de la propriété intellectuelle.

Le WHOIS à l’épreuve du RGPD : une remise en cause structurelle

Pendant plus de trente ans, la base WHOIS a constitué l’outil de référence pour identifier le titulaire d’un nom de domaine. À la suite de l’entrée en vigueur du RGPD en 2018, l’ICANN a demandé aux bureaux d’enregistrement de retirer ou de masquer les données à caractère personnel des titulaires dans la base publique WHOIS, donnant naissance à ce que la pratique a qualifié de « blackout du WHOIS ».

Pour les praticiens de la propriété intellectuelle, l’impact est à la fois immédiat et durable : l’opacité nouvelle entourant l’identité des titulaires complique directement la mise en œuvre des droits en matière de contrefaçon. Désormais, l’unique possibilité consiste à solliciter le bureau d’enregistrement concerné, sans aucune assurance quant à l’issue de la demande, ni quant aux délais de traitement ou à l’existence d’une procédure harmonisée.

Cette évolution place l’ICANN dans une situation particulièrement sensible : elle doit concilier sa mission de préservation de la stabilité et de la sécurité du DNS mondial avec le respect d’obligations légales en matière de protection des données, dont la portée extraterritoriale est désormais acquise. La réponse institutionnelle à cet enjeu s’est construite par étapes successives, chacune visant à affiner et structurer davantage le dispositif.

Le SSAD : une ambition normative freinée par sa propre complexité

La genèse du projet

Le SSAD (System for Standardized Access/Disclosure) constitue un projet de système centralisé destiné à encadrer le traitement des demandes d’accès aux données d’enregistrement non publiques et publié en 2022 par l’ICANN. Il s’inscrit dans la continuité des recommandations 1 à 18 issues du rapport final de la phase 2 EPDP (Expedited Policy Development Process) de la GNSO (Generic Names Supporting Organization). L’objectif poursuivi est de mettre en place un point d’accès unique permettant à des demandeurs accrédités d’obtenir des données, le cas échéant anonymisées, dans des conditions prévisibles, transparentes et conformes aux exigences du RGPD.

Sur le plan opérationnel, ce dispositif envisage notamment l’instauration d’un processus unifié de création et de vérification des comptes des demandeurs, un mécanisme standardisé de soumission des requêtes, ainsi qu’une automatisation partielle des divulgations dans certaines hypothèses limitées, afin d’alléger la charge d’identification pesant sur les parties contractantes.

Les obstacles qui ont mis le projet en suspens

Malgré sa cohérence conceptuelle, le SSAD s’est heurté à des contraintes économiques et techniques déterminantes, de nature à en compromettre la viabilité. Selon l’évaluation de la conception opérationnelle publiée par l’ICANN, sa mise en œuvre aurait nécessité un investissement initial compris entre 20 et 27 millions de dollars au titre des coûts de développement, auquel se seraient ajoutés des coûts d’exploitation annuels susceptibles d’excéder 100 millions de dollars, en fonction du niveau d’adoption du dispositif.

À ces contraintes financières s’ajoutait un calendrier de déploiement particulièrement long : le développement du système, externalisé auprès d’un prestataire, était estimé entre 31,5 et 42 mois, auxquels s’étaient déjà ajoutées près de deux années de travaux préparatoires conduits par l’équipe de révision interne de l’ICANN.

Dans ce contexte, en février 2023 , soit près de cinq ans après l’entrée en vigueur du RGPD, l’ICANN a officiellement décidé de mettre le projet SSAD en suspense. Elle a donc choisi d’abandonner, à ce stade, le projet initial au profit d’une solution plus progressive et moins ambitieuse sur le plan normatif, mais pouvant être mise en œuvre plus rapidement : le RDRS.

Le RDRS : le pont opérationnel jusqu’en 2027

Architecture et fonctionnement du service

Le RDRS (Registration Data Request Service) est un dispositif mondial, gratuit et centralisé de gestion des demandes d’accès aux données d’enregistrement non publiques des gTLD (Domaines génériques de premier niveau). Il fonctionne comme une plateforme de mise en relation entre, d’une part, les demandeurs justifiant d’un intérêt légitime et, d’autre part, les bureaux d’enregistrement accrédités par l’ICANN qui ont choisi d’y adhérer.

Concrètement, le service propose un cadre unifié pour le dépôt des requêtes, permet de joindre des pièces juridiques à l’appui, d’enregistrer des modèles de demandes réutilisables, de suivre l’avancement des dossiers et d’acheminer directement les requêtes vers les bureaux d’enregistrement participants.

L’accès au RDRS est réservé à certaines catégories d’utilisateurs, notamment les autorités publiques , les praticiens de la propriété intellectuelle, les acteurs de la protection des consommateurs, les spécialistes de la cybersécurité ainsi que les représentants d’organismes publics.

Exemple pratique : Un cabinet spécialisé en propriété intellectuelle, mandaté pour identifier le titulaire d’un nom de domaine reproduisant une marque de renommée, peut déposer via le RDRS une demande d’accès aux données d’enregistrement accompagnée des justificatifs pertinents (titre de propriété industrielle, éléments de preuve de la contrefaçon). Le bureau d’enregistrement saisi doit alors se prononcer dans un certain délai, sans que la communication des données sollicitées soit pour autant automatique ou acquise.

Limites structurelles du dispositif

Le RDRS a pour objet d’uniformiser la procédure de soumission des demandes, sans toutefois harmoniser les décisions relatives à la divulgation des données. Chaque bureau d’enregistrement conserve une autonomie décisionnelle et procède à sa propre analyse juridique, en statuant au cas par cas conformément au droit applicable et aux politiques de l’ICANN.

Par ailleurs, la participation au dispositif n’étant pas obligatoire, celui-ci ne couvre qu’une partie des noms de domaine. À cet égard, le Comité consultatif gouvernemental (GAC) a indiqué, lors de l’ICANN84 à Dublin, que le RDRS ne permet d’accéder, au mieux, qu’à environ 60 % des gTLD.

Enfin, par décision en date du 30 octobre 2025, le Conseil d’administration de l’ICANN a prorogé le dispositif jusqu’en décembre 2027, dans l’attente des travaux de la communauté de l’ICANN, en vue de définir un mécanisme pérenne d’accès et de divulgation standardisé, tel que le SSAD ou tout système qui lui succéderait.

Cette prolongation instaure un environnement hybride pour les deux prochaines années : les titulaires de droits et les services d’enquête disposent toujours d’un canal opérationnel pour soumettre leurs demandes ; le Conseil d’administration de l’ICANN encourage une utilisation aussi large que possible par les demandeurs et les bureaux d’enregistrement, sans instaurer à ce stade d’obligation générale ; parallèlement, l’ICANN a lancé une consultation publique sur une feuille de route visant à traiter les lacunes structurelles, notamment l’accès aux données via des services proxy, les délais applicables aux demandes urgentes ainsi que les mécanismes d’authentification.

La Registration data policy et le protocole (RDAP) : le nouveau socle normatif

La Registration Data Policy entrée en vigueur le 21 août 2025

La Registration Data Policy (RDP) adoptée par l’ICANN, entrée en vigueur le 21 août 2025, instaure un cadre normatif harmonisé et structuré encadrant la collecte, le traitement, la publication ainsi que la divulgation des données d’enregistrement des noms de domaine par les bureaux d’enregistrement et les opérateurs de registres. Elle se substitue aux mesures provisoires mises en place en 2018 à la suite de l’entrée en vigueur du RGPD et vise à uniformiser les pratiques relatives à la gestion des données à l’échelle de l’ensemble des gTLD.

Les grandes obligations introduites par la RDP incluent notamment :

• Publication limitée : seules les données non personnelles peuvent être rendues publiques via WHOIS/RDAP ;
• Divulgation contrôlée : toute demande d’accès doit être justifiée, documentée et traitée via une procédure standardisée ;
• Exactitude et fiabilité : vérification régulière des informations du titulaire ;
• Conservation et sécurité : protection et conservation des données pour la durée minimale définie par l’ICANN (deux ans) ;
• Responsabilité et conformité : documentation adéquate, mesures techniques et coopération aux audits ICANN.

Le protocole RDAP

Depuis le 28 janvier 2025, le protocole RDAP (Registration Data Access Protocol) est devenu le mécanisme de référence pour l’accès aux données d’enregistrement des noms de domaine de premier niveau génériques, appelé à se substituer ainsi au système WHOIS dont les services sont en cours d’extinction progressive.À la différence du WHOIS, fondé sur des réponses en texte brut, le RDAP repose sur des formats web standardisés et structurés permettant un traitement automatisé des données par des systèmes informatiques. Il intègre également des fonctionnalités avancées, notamment en matière d’internationalisation, de sécurisation de l’accès aux données, de découverte de services et de gestion d’un accès différencié aux données d’enregistrement.

Implications stratégiques pour les titulaires de droits de PI

La logique RGPD au cœur des décisions de divulgation

Pour les acteurs européens, toute demande de divulgation via le RDRS s’inscrit dans le cadre de l’article 6, paragraphe 1, point f) du RGPD, relatif à l’intérêt légitime.

Conformément à la politique temporaire adoptée par l’ICANN en matière de données d’enregistrement, les bureaux d’enregistrement peuvent accorder un accès aux données à caractère personnel à des tiers qui démontrent un intérêt légitime.

Toutefois, cet accès n’est pas automatique : il suppose une mise en balance entre l’intérêt du demandeur et les droits et libertés fondamentaux du titulaire du nom de domaine. La divulgation ne peut intervenir que si l’intérêt légitime invoqué ne porte pas une atteinte disproportionnée à ces droits.

Vers un futur SSAD renforcé par la directive NIS2

La directive NIS2, avec sa référence aux « demandeurs légitimes », renforce la probabilité qu’une version aboutie du SSAD devienne une politique officielle de l’ICANN. Les perspectives envisagées comprennent une accréditation préalable des demandeurs, une participation obligatoire des bureaux d’enregistrement, contrairement au volontariat qui caractérise le RDRS, et une modulation des droits d’accès selon le profil du demandeur (autorités judiciaires, forces de l’ordre, titulaires de droits de PI).

À retenir :
• Le RDRS est opérationnel jusqu’en décembre 2027, mais sa couverture reste partielle (~60 % des gTLD) ;
• La Registration Data Policy du 21 août 2025 constitue désormais le nouveau socle contractuel pour tous les bureaux d’enregistrement ;
• Le RDAP a vocation à se substituer progressivement au WHOIS pour l’accès aux données d’enregistrement des noms de domaine, une étape clé de cette transition ayant été fixée au 28 janvier 2025.
• Un système pérenne (SSAD ou successeur) reste à construire ; son architecture définitive sera déterminée lors de la période de prolongation du RDRS.

Conclusion

Le système d’accès aux données WHOIS traverse une transformation profonde, dont les contours définitifs ne seront probablement arrêtés qu’à l’horizon 2027-2028. Entre l’ambition normative du SSAD, la pragmatique opérationnelle du RDRS et la consolidation réglementaire portée par la Registration Data Policy et le protocole RDAP, l’ICANN construit pas à pas un écosystème d’accès aux données d’enregistrement conforme au RGPD, sans pour autant sacrifier les intérêts légitimes des titulaires de droits.

Pour les professionnels de la propriété intellectuelle, cette période transitoire exige une double vigilance : maîtriser la procédure RDRS disponible dès aujourd’hui, tout en anticipant les évolutions normatives qui remodèleront l’accès aux données dans les prochaines années. La cybersécurité, la lutte contre le cybersquatting et la défense des marques en ligne en dépendent directement.

Le cabinet Dreyfus accompagne ses clients dans la gestion de dossiers de propriété intellectuelle complexes, en proposant des conseils personnalisés et un soutien opérationnel complet pour la protection intégrale de la propriété intellectuelle.

Dreyfus et Associés est en partenariat avec un réseau mondial d’avocats spécialisés en Propriété Intellectuelle.

Nathalie Dreyfus avec l’aide de toute l’équipe du cabinet Dreyfus

FAQ

Quels sont les risques pour les entreprises en cas d’impossibilité d’identifier un titulaire de nom de domaine ?
L’absence d’accès direct à l’identité du titulaire d’un nom de domaine expose les entreprises à plusieurs risques opérationnels et juridiques. Elle ralentit significativement les actions en contrefaçon ou en cybersquatting, en complexifiant l’identification de la partie adverse et la constitution de preuves. Cette opacité peut également retarder les mesures conservatoires (blocage, transfert de domaine) et accroître les coûts liés aux investigations techniques ou judiciaires. À terme, cela fragilise la capacité des entreprises à protéger efficacement leurs actifs immatériels et à réagir rapidement face à des atteintes en ligne.

Les règles d’accès aux données Whois sont-elles identiques selon les extensions de noms de domaine (.com, .fr, .eu) ?
Non, les règles d’accès aux données varient selon les registres et les cadres juridiques applicables à chaque extension. Si les gTLD (.com, .net, etc.) relèvent des politiques de l’ICANN, les ccTLD (.fr, .eu, etc.) sont soumis à des réglementations nationales ou régionales spécifiques. Par exemple, certaines extensions européennes appliquent des règles plus strictes en matière de protection des données personnelles, tandis que d’autres prévoient des mécanismes d’accès encadrés pour les titulaires de droits. Cette hétérogénéité impose une analyse au cas par cas dans toute stratégie de protection internationale.

Les autorités judiciaires disposent-elles de moyens spécifiques pour accéder aux données non publiques ?
Oui, les autorités judiciaires et certaines autorités administratives disposent de mécanismes spécifiques leur permettant d’obtenir l’accès aux données non publiques. Ces accès peuvent intervenir dans le cadre de procédures judiciaires, de réquisitions ou de demandes officielles adressées aux bureaux d’enregistrement. Dans certains cas, des coopérations internationales ou des dispositifs réglementaires sectoriels facilitent cet accès. Toutefois, ces mécanismes restent encadrés et soumis à des exigences strictes en matière de proportionnalité et de protection des données.

Comment les entreprises peuvent-elles adapter leur stratégie de protection des marques face à la limitation d’accès aux données Whois ?
Les entreprises doivent adopter une approche plus proactive et structurée. Cela implique notamment de renforcer les dispositifs de surveillance des noms de domaine, de documenter systématiquement les atteintes (captures, historiques, contenus), et d’utiliser les canaux disponibles tels que le RDRS ou les procédures extrajudiciaires (UDRP, URS). Par ailleurs, le recours à des stratégies complémentaires de propriété intellectuelle (dépôts de marques élargis, enregistrements défensifs de noms de domaine) permet d’anticiper les risques. Enfin, l’accompagnement par des experts devient essentiel pour naviguer dans un environnement juridique plus fragmenté.

Les évolutions de l’ICANN auront-elles un impact sur la lutte contre la cybercriminalité et les fraudes en ligne ?
Oui, ces évolutions ont un impact direct sur l’efficacité des actions contre la cybercriminalité. La limitation de l’accès aux données complique l’identification rapide des auteurs d’activités illicites, ce qui peut ralentir les enquêtes et les mesures de remédiation. Toutefois, les dispositifs en cours de développement visent à rétablir un accès encadré pour les acteurs légitimes, notamment dans un objectif de sécurité et de protection des utilisateurs. L’équilibre recherché entre protection des données et impératifs de sécurité conditionnera, à terme, l’efficacité des mécanismes de lutte contre les fraudes en ligne.

Cette publication a pour objet de fournir des orientations générales au public et de mettre en lumière certaines problématiques. Elle n’a pas vocation à s’appliquer à des situations particulières ni à constituer un conseil juridique.