Le 25 novembre 2020, la Commission européenne a publié son « plan d’action en faveur de la propriété intellectuelle afin de soutenir la reprise et la résilience dans l’Union européenne » (COM(2020) 760 final : eur-lex.europa.eu). Sur le plan subjectif, la Commission y affirme notamment son intention de renforcer la coopération entre tous les acteurs concernés par la lutte contre les atteintes aux droits de propriété intellectuelle, y compris les plateformes de marché, les médias sociaux, le secteur de la publicité, les services de paiement, les entreprises de transport et de logistique. La Commission y inclut également les registres de domaines de premier niveau et les bureaux d’enregistrement de noms de domaine. Sur le plan objectif, la Commission imagine une « boîte à outils » destinée notamment à « clarifier les rôles et les responsabilités », à « déterminer les modalités de la collaboration » et à faciliter le partage de données (ibid.).
Pour rappel, l’entrée en vigueur du Règlement Général pour la Protection des Données (RGPD : eur-lex.europa.eu) avait plongé les titulaires de droit de propriété intellectuelle et leurs représentants dans la stupeur. En effet, le RGPD a ajouté un obstacle supplémentaire dans l’identification des auteurs de crimes et délits (civils ou pénaux, pour ces derniers) commis dans l’espace numérique. Les atteintes à la propriété intellectuelle perpétrées par ou via l’enregistrement ou l’utilisation d’un nom de domaine illustrent bien le problème puisque les données WhoIs destinées à identifier le titulaire d’un nom de domaine présumément nuisible sont rendues plus difficiles d’accès.
Le 17 mai 2018, le conseil d’administration de l’ICANN a adopté la Spécification temporaire relative aux données d’enregistrement des gTLDs (icann.org). Ces dispositions permettent notamment aux bureaux d’enregistrement accrédités par l’ICANN de continuer à se conformer au cadre contractuel de l’ICANN à la lumière du RGPD. Adoptée dans l’urgence, la Spécification temporaire est entrée en vigueur le 25 mai 2018, initialement pour une période initiale de 90 jours. Cependant, le 21 août 2018, le conseil d’administration avait décidé de la prolonger tous les 90 jours pendant un an (Icann.org, 6 nov. 2018). La Spécification temporaire est toujours en vigueur.
Le 6 avril 2022, l’Internet Corporation for Assigned Names and Numbers (ICANN) a répondu à la Commission (icann.org, 2022-04-06). L’ICANN rappelle :
1. que ses statuts prévoient à la fois l’accès aux données et la protection de ces dernières.
2. qu’elle n’a pas la main sur les opérateurs de ccTLD (.FR pour la France, .DE pour l’Allemagne, .IT pour l’Italie, etc.), libres de définir la politique qu’ils entendent appliquer ;
3. les efforts qu’elle a réalisés afin que les entités concernées (notamment les registres et les bureaux d’enregistrement de noms de domaine) se conforment au RGPD grâce à la Spécification temporaire ;
4. les conditions d’accès aux données WhoIs en vertu de la Spécification temporaire ;
5. l’existence WhoIs Accuracy Program Specification, don’t l’article 5 prévoit la possibilité pour le bureau d’enregistrement de suspendre le nom de domaine ou de mettre fin au contrat d’enregistrement (icann.org).
L’ICANN insiste également sur l’impact du RGPD sur sa capacité à enquêter sur l’inexactitude des données d’enregistrement, ce qui pose des difficultés dans le cadre de la lutte contre la cybersécurité.
Les données personnelles des titulaires de noms de domaine sont inaccessibles au public. En contrepartie, ils ont l’obligation de fournir des données exactes en tout temps. Il va de soi qu’il s’agit d’une obligation de résultat. Il revient aux bureaux d’enregistrement de s’assurer de l’exactitude de ces données car ce sont eux qui sont sollicités par les autorités judiciaires ou extrajudiciaires, elles-mêmes saisies par les personnes physiques ou morales qui s’estiment lésées par l’enregistrement ou l’utilisation d’un nom de domaine, y compris les titulaires de droits de propriété intellectuelle. Par conséquent, les registres et les bureaux d’enregistrement forment un maillon essentiel dans la chaine. C’est la raison pour laquelle ils sont au coeur du projet de directive NIS2 (iptwins.com, 2021-11-05). En effet, la directive imposera aux registres et aux bureaux d’enregistrement, considérés comme des « entités essentielles », un certain nombre d’obligations :
- maintenir des données WhoIs exactes et complètes (Cons. 61 et Art. 23) ;
- en assurer l’intégrité ;
- les rendre disponibles conformément au Règlement Général sur la Protection des Données (RGPD) (Cons. 59), et ce « dans les meilleurs délais » (Cons. 62).
Conformément au Considérant 60 et à l’Article 23.3, les registres et les bureaux d’enregistrement devront « établir des politiques et des procédures aux fins de collecter et maintenir des données d’enregistrement exactes et complètes » (Cons. 60 et Art. 23.3). En cas de manquement, ils devraient engager leur responsabilité. Une solution de bon sens.
