En janvier dernier, nous avons publié[1] un aperçu complet des types de changements auxquels les gestionnaires de domaines pouvaient s’attendre, à mesure que les registres nationaux de domaines en Europe commençaient à adapter leurs politiques pour se conformer à la directive NIS2[2].
Cette mise à jour est la première, mais probablement pas la dernière, de cet article initial afin de fournir des informations plus concrètes sur les changements apportés à chaque extension de domaine européenne. Ce volet se concentre sur le Danemark (.dk), l’Allemagne (.de) et la Pologne (.pl).
S’il y a une expression que les gestionnaires de domaines doivent intégrer à leur vocabulaire, c’est « approche basée sur le risque ». Plutôt que d’imposer des modifications affectant 100 % des titulaires de domaines, les registres mentionnés aujourd’hui donnent des signes qu’ils utilisent des outils automatisés pour examiner les données des titulaires et n’exigent une action que dans les cas où un niveau de risque élevé est identifié.
Passons maintenant aux changements spécifiques dont nous avons obtenu plus d’informations depuis janvier :
Danemark
Se connecter à un registre avec une identité numérique est un moyen logique et efficace de garantir l’utilisation de données de titulaire valides. Le MitID du Danemark est utilisé à cette fin et est obligatoire pour les titulaires de domaines qui spécifient une adresse dans le pays[3].
Comme de nombreux registres de domaines nationaux européens, Punktum permet aux entreprises étrangères d’enregistrer des domaines .dk sans nécessairement avoir de succursale ou de représentant au Danemark. La tâche de Punktum, le registre du .dk, était donc de développer une méthode de vérification pour les titulaires étrangers qui n’ont pas de MitID.
Afin d’assurer un niveau de rigueur comparable à celui appliqué aux titulaires locaux, Punktum a conclu un partenariat avec une entreprise externe pour effectuer une vérification des données des titulaires[4]. Une évaluation des risques est effectuée sur les données fournies et, si un titulaire est signalé, il doit fournir des documents justificatifs.
L’exigence documentaire pour les entreprises étrangères est lourde : une preuve d’enregistrement de l’entreprise provenant de deux sources gouvernementales différentes ainsi qu’une facture de services publics pour prouver l’adresse.
En pratique, IP Twins a observé que des données légitimes de titulaires ont été « signalées » sans contenir les signes habituels et évidents de fausseté (ex. : mentions « N/A », numéros séquentiels tels que 00000, 12345, ou anonymisation du nom ou de l’organisation). En particulier pour un client qui n’a jamais enregistré de domaine .dk auparavant, les gestionnaires de portefeuilles doivent être prêts à répondre à ces exigences afin d’assurer le maintien actif d’un nom de domaine .dk.
Allemagne
Comparé à ses homologues, DENIC en Allemagne a tendance à demander moins de données à ses titulaires et à afficher très peu d’informations sur son service de recherche de domaines publics. Les changements en cours dans le cadre de NIS2 vont dans la direction opposée.
À partir de ce mois-ci, les nouvelles demandes d’enregistrement devront inclure un numéro de téléphone du titulaire du domaine. Il n’a pas été annoncé si les numéros de téléphone collectés joueront un rôle dans la vérification des données, par exemple en exigeant que le titulaire saisisse un code envoyé par SMS.
En plus de l’obligation d’indiquer un numéro de téléphone, DENIC a également annoncé un plan plus général pour demander une vérification supplémentaire des titulaires. Comme Punktum, ces vérifications seront basées sur l’« approche basée sur le risque ». Contrairement à Punktum, deux niveaux de risque distincts sont identifiés[5] :
- Niveau de risque « Suspect » : Le domaine reste actif, tandis que des informations supplémentaires (et peut-être des documents) sont demandées au bureau d’enregistrement du domaine.
- Niveau de risque « Élevé » : Le domaine est placé en quarantaine.
Comme mentionné ci-dessus, la requête publique de domaine sur le site de DENIC (ou via son service WHOIS) affiche actuellement un minimum de données : un statut « enregistré » ou « disponible » et, dans le premier cas, les serveurs de noms associés au domaine. En juin 2025[6], cet affichage devrait inclure le nom de l’organisation, le bureau d’enregistrement responsable et la date d’enregistrement.
Pologne
NASK, le registre des domaines .pl de la Pologne, implique ses bureaux d’enregistrement dans les procédures de vérification des données dans une mesure plus importante que les autres registres. Avec certains bureaux d’enregistrement allant jusqu’à suggérer qu’ils pourraient ne pas continuer à prendre en charge les nouvelles inscriptions de .pl pendant une période de transition, on s’attendait à ce que les changements apportés par le registre polonais NASK modifient de manière significative les procédures d’enregistrement. Jusqu’à présent, cela ne s’est pas produit, et la seule nouvelle information concerne les procédures de signalement des domaines abusifs et les sanctions associées.
Ce qui est unique à NASK (jusqu’à présent), c’est la décision d’imposer des amendes aux bureaux d’enregistrement, plutôt que de se limiter à la suspension ou à la suppression du domaine comme seule sanction pour des données de titulaire inexactes.
NASK informera les bureaux d’enregistrement des cas de données de titulaire potentiellement inexactes, qui seront ensuite signalés au propriétaire du domaine. Un délai court est accordé pour corriger ces données, ce qui nécessite de fournir des documents justificatifs.
Des amendes distinctes peuvent être infligées au bureau d’enregistrement : une amende spécifique pour les cas où des données inexactes ont été fournies dès le départ ET une amende journalière si la correction des données dépasse le délai imparti.
Comme pour DENIC, il y a un changement dans les résultats des requêtes de domaine, bien que plus mineur : les domaines .pl ayant un statut « BLOQUÉ » continueront d’afficher les détails du titulaire, alors qu’auparavant un message indiquait que la « période de facturation du nom de domaine était terminée ».
Conclusion
À l’exception de l’obligation de fournir un numéro de téléphone pour les enregistrements .de (que IP Twins demandait déjà), aucun document ou donnée supplémentaire n’est encore requis au moment de l’enregistrement. Le changement pour les domaines .dk, .de et .pl réside plutôt dans le fait que les gestionnaires de domaines doivent être de plus en plus conscients que les données fournies font l’objet d’une « évaluation des risques » et qu’ils doivent être prêts à collecter une documentation importante si les données soumises sont signalées.
D’autres mises à jour suivront à mesure que les politiques d’autres pays seront communiquées. Restez à l’écoute !
Notes
[1] S. Pechansky, « Directive NIS2 et gestion des noms de domaine : anticipez les changements à venir », iptwins.com, 2025-01-21.
[2] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2).
[3] Procedure new dk registrant | Punktum dk.
[4] ID check at Punktum dk | Punktum dk
[5] NIS 2 – A Law that Concerns All of Us! The NIS 2 Working Groups at DENIC
[6] .DE NIS 2 Domain Registration Requirements: Enom Customer Support
