Europol s’inquiète des conséquences des nouvelles règles sur la protection des données

Fin possible des listes de propriétaires de sites internet. [Japanexpertna.se/ Flickr]

Les règles européennes de protection des données pourraient compliquer l’accès des bases de données listant les propriétaires des sites internet lors des enquêtes policières.

Les autorités nationales de protection des données doivent décider si le système de bases de données sur les noms de domaines Internet (WHOIS) peut rester en ligne.

Le WHOIS liste les informations personnelles (noms, adresses email, etc.) des personnes ayant enregistré un nom de domaine, et peut s’avérer utile lors d’enquêtes de police, comme ça a été le cas après la cyberattaque massive WannaCry, estiment les forces de police.

La Commission européenne et l’agence policière Europol ont contacté l’ICANN, l’organisation américaine supervisant les registres internet, afin de trouver un moyen de garder ces informations en ligne sans pour autant enfreindre les règles plus strictes qui entreront en vigueur le mois prochain pour l’UE. Europol a notamment demandé à ce que les autorités policières soient exclues de toute nouvelle restriction d’accès au système.

L’organisation a proposé des solutions comme un système d’accréditation pour contrôler l’accès aux bases de données, ou une version offrant des informations plus succinctes. À ce jour, l’avenir du système WHOIS est donc encore très flou.

Pourtant, le temps presse. Le nouveau règlement général sur la protection des données (RGPD) entre en vigueur le 25 mai, et l’ICANN s’inquiète. Göran Marby, son PDG, estime que les régulateurs européens doivent publier des conseils juridiques afin que les gestionnaires de WHOIS puissent s’assurer de ne rien faire d’interdit qui les exposerait à des amendes.

Ces gestionnaires ont raison de s’alarmer, le RGPD prévoit des sanctions records, jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial annuel. La législation confère aussi aux autorités nationales un arsenal de nouveaux pouvoirs.

« À présent c’est vraiment à elles [les autorités nationales] de dire ‘nous estimons qu’il est important que la police ait accès à ces informations’ », souligne Göran Marby.

Le groupe de coordination des régulateurs, appelé Groupe de travail Article 29 sur la protection des données (G29), se rencontrera à Bruxelles les 10 et 11 avril. Göran Marby  leur a demandé de rédiger un avis juridique sur l’application du RGPD. Le programme de travail de ces deux jours de rencontre n’a cependant pas encore été rendu public.

« Si nous n’obtenons pas d’orientations claires, cet aspect fondamental, qui existe depuis les débuts d’internet, pourrait être fragmenté, ce qui pourrait avoir des conséquences graves », assure-t-il. « Jusqu’à la publication d’orientations, nous resterons dans une position difficile. »

Les CNIL européennes renforcent leur force de frappe commune

En préparation de la nouvelle loi, les autorités de surveillance nationales de protection des données vont unir leurs efforts pour enquêter, voire sanctionner les entreprises qui rechignent à se plier aux règles.

Le renforcement européen de la protection des données privées fait des vagues. Le gouvernement américain s’est exprimé sur les effets potentiels du RGPD sur le WHOIS. La suppression des données du système aurait en effet un impact sur le travail des forces de l’ordre en dehors de l’UE.

Lors d’une réunion de l’ICANN le mois dernier, un représentant de l’administration Trump a prévenu que « les États-Unis n’accepteront pas que les informations du WHOIS ne soient pas disponibles ou qu’il soit si difficile d’y avoir accès que le système en deviendra inutile pour ses utilisations légitimes essentielles à la stabilité et à la sécurité d’internet », selon le site spécialisé The Register.

Göran Marby explique qu’il est difficile de prédire quelles seraient les conséquences immédiates du RGPD sur le système WHOIS parce que les entreprises qui gèrent des bases de données ont besoin d’un « vrai temps d’adaptation » pour ajuster la publication des informations aux nouvelles règles.

Sans conseils juridiques, les gestionnaires devraient donc interpréter eux-mêmes le texte de loi. « Je pense que cela ne serait bon ni pour la protection de la vie privée ni pour les forces de l’ordre qui utilisent ces données. C’est le pire scénario possible », assure le PDG de l’ICANN.

« Aujourd’hui, nous ne savons pas quel est l’équilibre correct entre le droit à la vie privée et le besoin d’informations dans le RGPD, parce que la limite n’a pas été fixée », conclut-il.

Bruxelles fait pression sur les États retardataires sur la protection des données

L’Allemagne et l’Autriche sont les seuls pays européens prêts pour une révision majeure des règles européennes sur la vie privée, qui entrera en vigueur en mai.

Subscribe to our newsletters

Subscribe