Bruxelles veut restreindre l’accès aux registres publics des sites Internet

Bruxelles envisage de restreindre l’accès aux registres des propriétaires de sites Internet, le système n’étant pas conforme aux nouvelles règles sur la protection des données. Une position qui agace les Etats-Unis.

Les autorités policières et judiciaires ne pourront bientôt plus accéder si facilement au système WHOIS, qui liste les propriétaires de nombreux sites Internet.

A la faveur de l’entrée en vigueur de la nouvelle loi européenne sur la protection des données, le 25 mai prochain, la Commission européenne a prévenu que certaines informations personnelles sur les propriétaires des sites Internet ne devraient plus figurer dans les annuaires WHOIS.

Le système WHOIS (contraction de « who is » en anglais, ou qui est-ce) est public et contient des noms, des adresses email, des numéros de téléphone et d’autres informations sur les personnes qui enregistrent des noms de domaine sur Internet.

Il a suscité un conflit entre les forces de police et les défenseurs de la vie privée. La Commission a quant à elle fait pression pour réformer l’Internet Corporation for Assigned Names and Numbers (ICANN), l’organisation qui gère les noms de domaine.

Les annuaires en ligne contenant des informations personnelles entreront probablement en conflit avec la nouvelle loi européenne, qui exige une justification de la part des organisations cherchant à obtenir les données personnelles d’Européens.

Trois commissaires européens ont écrit à l’ICANN le 29 janvier pour demander de modifier le système afin de « limiter le nombre d’enregistrements accessibles par période de temps donnée ».

La lettre du commissaire européen chargé des affaires intérieures Dimitris Avramopoulos, de la commissaire à la justice Vera Jourova et du commissaire à la sécurité Julian King propose à l’ICANN de restreindre l’accès à certains types de données. L’exécutif suggère plusieurs possibilités pour réformer la base de données et demande que toute restriction « réponde aux besoins des services policiers, notamment en ce qui concerne la grande quantité de demandes et la rapidité d’accès ».

Menace pour la cybersécurité

Les autorités chargées de l’application de la loi sont farouchement opposées à un accès limité à l’information permettant d’identifier les personnes qui gèrent des sites Web.

Le mois dernier, EC3, la division cybercriminalité de l’agence de police européenne Europol, a envoyé à l’ICANN un document décrivant sa position dans la réforme. L’agence demande qu’il n’y ait pas de restrictions limitant l’accès des analystes qui utilisent WHOIS pour empêcher les atteintes à la cybersécurité. EC3 rappelle notamment que les enquêteurs ont utilisé la base de données l’année dernière suite à la cyberattaque WannaCry et à une attaque sur les réseaux de la Deutsche Telekom affectant 900 000 clients.

WHOIS « est un élément essentiel des efforts déployés par la communauté de la cybersécurité pour maintenir la sécurité et la stabilité globales de l’Internet dans le monde. Toute perte d’accès compromettrait gravement ces efforts », écrit EC3.

Tout accès limité au WHOIS pourrait également avoir des répercussions en dehors de l’UE. En réponse aux propositions de l’ICANN, le gouvernement américain a prévenu qu’il « ne [pouvait] pas accepter une situation dans laquelle le système WHOIS est fracturé » si, par exemple, de nouvelles règles ne s’appliquaient qu’aux sites web enregistrés en Europe.

Bruxelles fait pression sur les États retardataires sur la protection des données

L’Allemagne et l’Autriche sont les seuls pays européens prêts pour une révision majeure des règles européennes sur la vie privée, qui entrera en vigueur en mai.

Réformes

En janvier, l’ICANN a publié une liste de trois options qu’elle envisage pour réformer WHOIS, à savoir un système d’accès très limité aux données par ordonnance judiciaire, un programme d’accréditation et un processus plus simple permettant aux personnes qui s’auto-certifient d’utiliser les annuaires.

La Commission a déclaré à l’ICANN qu’elle préférait une combinaison des trois options pour sortir de l’impasse. Le 23 janvier, les diplomates des États membres de l’UE ont approuvé une solution similaire aux exigences de la Commission, selon une source proche du dossier.

L’exécutif est maintenant confronté à mouvement de résistance. Des défenseurs de la protection de la vie privée ont reproché à la Commission d’accorder trop d’importance aux préoccupations des autorités policières.

« Nous aurions aimé que la Commission défende le règlement général sur la protection des données avec plus de mordant », a déclaré Maryant Fernández Pérez, conseillère politique à l’ONG European Digital Rights, qui s’est prononcée en faveur des propositions les plus restrictives de l’ICANN.

Les CNIL européennes renforcent leur force de frappe commune

En préparation de la nouvelle loi, les autorités de surveillance nationales de protection des données vont unir leurs efforts pour enquêter, voire sanctionner les entreprises qui rechignent à se plier aux règles.

WHOIS a déjà fait l’objet d’un examen minutieux de la part des autorités européennes de protection de la vie privée, les CNIL, qui ont  averti l’ICANN dans une lettre en décembre que « la publication illimitée des données personnelles des titulaires de noms de domaine individuels soulève de sérieuses inquiétudes quant à la légalité de cette pratique ». L’ICANN accepte les commentaires du public sur ses propositions jusqu’à mi-février.

L’organisation veut annoncer d’ici la fin du mois comment elle rendra le système plus privé. Cela donnera trois mois aux annuaires WHOIS qui affichent des données à caractère personnel sur les propriétaires de sites web, pour se conformer aux nouvelles règles de confidentialité avant que la loi européenne entre en vigueur. Mais ce calendrier a également suscité la controverse.

La Commission estime que l’ICANN doit attendre la grande réunion qui aura lieu à la mi-mars avec les parties prenantes (universitaires, ONG et lobbyistes de l’industrie technologique) avant d’annoncer sa solution.

« Nous estimons qu’il serait préférable de retarder la décision finale de l’ICANN afin de parvenir à une bonne solution pour toutes les parties concernées », a écrit la Commission dans son analyse des propositions de l’ICANN.

Une porte-parole de l’ICANN a déclaré que la demande de la Commission pour attendre un mois de plus avant de prendre une décision laissait trop peu de temps pour rendre le système privé.