L’entrée en vigueur du règlement général sur la protection des données ou RGPD, le 25 mai 2018, a provoqué un séisme en imposant le mutisme de la plupart des bases de données des registres relatifs aux noms de domaine. Les fiches Whois ne parlent que sous la contrainte. L’Internet Corporation for Assigned Names and Numbers (ICANN) a résisté autant et aussi longtemps qu’elle le pouvait, mais elle avait dû se résoudre à soumettre les registres des génériques et les bureaux d’enregistrement au respect de la loi européenne. Cependant, le Département américain du commerce et l’Administration américaine des télécommunications et de l’information s’y opposaient si catégoriquement que l’on pouvait s’attendre à une riposte. La contre-attaque est en marche.
Le 26 février 2020, M. Bob Latta, membre du Congrès des États-Unis, a présenté une proposition de loi visant à contrer les effets du RGPD (eur-lex.europa.eu) sur les bases de données Whois. Selon M. Latta, les motifs justifiant la nécessaire accessibilité des informations permettant d’identifier les titulaires de noms de domaine sont multiples :
- la protection de la sécurité nationale et économique des États-Unis ;
- le respect des droits de propriété intellectuelle ;
- la cybersécurité ;
- la santé ; et
- la vie privée.
En résumé, M. Latta rappelle que la fiche Whois, c’est un peu la carte d’identité d’un site Internet. Si les fiches Whois sont muettes, l’identification des auteurs d’actes illicites est rendue plus difficile (latta.house.gov).
Ajoutons, pour notre part, que cette identification est retardée, ce qui est pour le moins handicapant dans les situations où la promptitude doit s’imposer.
Si une telle loi était adoptée aux États-Unis, la question qui se poserait avec le plus d’acuité serait celle de son application dans l’espace. Il est certain qu’elle n’aurait absolument aucun impact sur les bases de données ressortissant des États membres de l’Union européenne et de l’Union européenne elle-même. En revanche, elle s’imposerait évidemment aux registres et aux bureaux d’enregistrement ayant leur siège social dans le ressort territorial des États-Unis. Dès lors, ces derniers devraient-ils rendre aux fiches Whois leur loquacité d’antan ? Certainement puisque la loi leur imposerait. Mais ce faisant, en divulguant les données personnelles de citoyens de l’Union européenne, ne prendraient-ils pas le risque d’une (lourde) condamnation sur le fondement du RGPD ?
À vrai dire, un assouplissement du RGPD devrait être envisagé, qui consisterait à obliger les registres et les bureaux d’enregistrement à divulguer ne serait-ce que les adresses postales et électroniques professionnelles des sociétés titulaires de noms de domaine. Il n’est nul besoin, dans ces adresses, de faire référence à quelque donnée personnelle que ce soit. Certes, les parties concernées ne se satisferaient pas d’une solution qui maintiendrait les données des personnes physiques à l’abri. Il faut bien avouer qu’une telle position peut se comprendre dans la mesure où les cyberdélits sont, le plus souvent, commis par des personnes physiques et non par des personnes morales. Toutefois, il est tout aussi certain que la Commission européenne restera droite dans ses bottes. Au final, il est probable que les registres et bureaux d’enregistrement américains soient contraints de ne libérer les informations Whois que des titulaires de noms de domaine qui n’élisent pas domicile dans le ressort de l’Union européenne.