La directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 », dont il convient de préciser qu’elle se trouve au stade de proposition (eur-lex.europa.eu), comporte des obligations pour tous les registres de domaines de premier niveau (TLD) et les entités d’enregistrement (Art. 2.2.a.iii). Le Considérant 15 fixe un objectif : « maintenir et préserver un système de noms de domaines (DNS) fiable, résilient et sécurisé », l’ambition étant d’assurer la confiance dans l’économie numérique.
À cette fin, la directive imposera aux registres et aux bureaux d’enregistrement, considérés comme des « entités essentielles », un certain nombre d’obligations :
- maintenir des données WhoIs exactes et complètes (Cons. 61 et Art. 23) ;
- en assurer l’intégrité ;
- les rendre disponibles conformément au Règlement Général sur la Protection des Données (RGPD) (Cons. 59), et ce « dans les meilleurs délais » (Cons. 62).
Il convient de mettre l’accent sur une obligation en particulier. En effet, conformément au Considérant 60 et à l’Article 23.3, les registres et les bureaux d’enregistrement devront « établir des politiques et des procédures aux fins de collecter et maintenir des données d’enregistrement exactes et complètes » (Cons. 60 et Art. 23.3). Une telle obligation pourrait se traduire, par exemple, par la vérification systématique de l’identité de la personne qui procède à l’enregistrement du nom de domaine ou par l’interdiction du recours aux cartes bancaires prépayées. Quant aux sanctions, l’article 29.6 prévoit la possibilité d’engager la responsabilité des personnes physiques qui ont manqué à leur « devoir de veiller au respect des obligations énoncées dans la présente directive ».
