Vous tombez sur une boutique en ligne vendant le même produit que votre client, et l’URL ressemble fortement au nom de marque concernée. Vous faites donc une recherche pour identifier le titulaire. Résultat : REDACTED FOR PRIVACY dans 20 champs différents. Vous comprenez les préoccupations liées à la vie privée, mais vous n’êtes pas un spammeur. Quelqu’un vend des marchandises contrefaisant la marque de votre client ; il faut y mettre un terme. Ne devrait-il pas exister un moyen spécifique permettant aux professionnels comme vous d’obtenir les informations nécessaires ? La réponse courte est oui : il devrait exister un formulaire web dédié. Mais dès qu’ICANN et l’Union européenne entrent en jeu, rien n’est simple.
Acronymes
Quatre politiques/propositions seront évoquées dans cet article, chacune désignée par son acronyme couramment utilisé. Le lecteur est sans doute déjà familier avec certains de ces acronymes, mais pour plus de clarté, commençons par les identifier :
- GDPR (General Data Protection Regulation) : adopté en 2016, ce règlement de l’UE encadre, entre autres, la manière dont les données personnelles peuvent être partagées.
- SSAD (Standardized Access/Disclosure) : proposé en 2020, ce mécanisme visait à centraliser et normaliser les demandes d’accès aux données de domaine.
- NIS2 (révision de la Network and Information Security Directive) : publié en 2022, ce texte législatif de l’UE en matière de cybersécurité précise, entre autres, comment et quand les prestataires de services de noms de domaine doivent fournir les données d’enregistrement.
- RDRS (Registration Data Request Service) : lié directement au SSAD, ce programme pilote lancé en 2023 permet de déposer des demandes d’accès aux données de domaine via un portail unique, indépendamment du bureau d’enregistrement concerné.
Contexte
Avant le GDPR, les données WHOIS des domaines constituaient un outil essentiel pour les professionnels de la propriété intellectuelle. Que ce soit pour enquêter sur un site contrefaisant ou envisager l’acquisition d’un nom de domaine, la consultation du WHOIS était l’étape logique.
Depuis la mise en œuvre généralisée du GDPR, les professionnels de la PI soulignent que la dissimulation des données de titulaires entrave l’application des droits dans les affaires de contrefaçon[1][2]. La seule voie de recours consiste désormais à adresser une demande au bureau d’enregistrement et à espérer une réponse favorable.
SSAD / RDRS
La procédure de demande varie selon les registrars, tout comme les critères d’évaluation de la légitimité des requêtes.
Le SSAD[3], issu d’un groupe de travail de l’ICANN, avait pour objectif d’instaurer un processus centralisé pour ces demandes.
Un tel système représente un chantier immense, et l’ICANN a préféré tester l’idée avec un « proof of concept ». Ainsi est né le RDRS, un programme pilote de deux ans fonctionnant comme un système de tickets : les demandeurs passent par un portail unique, et leurs requêtes sont transmises au registrar concerné[4].
L’usage du RDRS doit éclairer la décision de savoir si et comment poursuivre le développement du SSAD. Des statistiques (nombre de demandes, identité des demandeurs, résultats) sont publiées régulièrement[5].
Les deux ans s’achèvent en novembre (avec une possible prolongation[6]) et aucun consensus n’existe quant à la suite à donner. De nombreux professionnels de la PI ont déjà fait part de leurs retours[7][8], mais le sort du SSAD ne dépend pas directement de la satisfaction vis-à-vis du RDRS. Celui-ci sert avant tout à collecter des données d’usage, pas à être évalué en tant que produit final. Les critiques des utilisateurs sont donc surtout des informations pour l’ICANN sur ce qui doit être amélioré.
NIS2 et ICANN
À peine l’ICANN digérait-elle le GDPR qu’un nouveau texte européen est arrivé : la directive NIS2. Comme le GDPR, ses dispositions sont générales et leur transposition dans les politiques de l’ICANN s’avère complexe. Voici les passages les plus pertinents :
- Les États membres doivent exiger que les registres de TLD et les prestataires d’enregistrement de noms de domaine répondent sans retard injustifié aux demandes de divulgation de données d’enregistrement formulées par des « demandeurs légitimes ».
- La procédure d’accès peut inclure l’utilisation d’une interface, d’un portail ou d’un outil technique permettant un système efficace de demande et d’accès aux données d’enregistrement.
Dès 2021, l’ICANN avait commenté les projets de directive[9], soulignant la lourde charge que représentait, pour les registrars, l’examen de chaque demande. Elle soulevait aussi la question de l’automatisation : une délivrance automatique de données serait-elle compatible avec le GDPR, qui limite les « décisions automatisées » affectant les individus ?
Après l’adoption finale de NIS2, l’ICANN a adressé une lettre à un groupe de travail de la directive[10], mettant en avant le RDRS comme mécanisme apte à répondre aux exigences de NIS2.
Perspectives
Alors que la fin du RDRS approche, voici où nous en sommes : l’ICANN souhaite établir un portail permettant aux acteurs légitimes d’accéder aux données non publiques d’enregistrement et cherche à s’assurer que ce portail réponde aux exigences de NIS2.
Pour être viable, un futur système devrait :
- Accréditation préalable des demandeurs : la légitimité doit être validée avant toute requête. Un accès « pré-validé » permettrait de concilier rapidité et conformité. Les droits d’accès pourraient être modulés selon le profil (autorités judiciaires, services de police, titulaires de droits de PI).
- Participation obligatoire des registrars : contrairement au RDRS, limité au volontariat.
- Automatisation : afin que les données puissent être fournies rapidement, tout en respectant le GDPR.
Conclusion
La fin du pilote RDRS marquera une étape pour le SSAD, mais beaucoup de débats suivront avant la mise en place d’un portail permanent. La directive NIS2, avec sa référence aux « demandeurs légitimes », renforce la probabilité qu’une version du SSAD devienne une politique officielle de l’ICANN.
Pour les professionnels de la PI frustrés par l’absence de données publiques et insatisfaits du RDRS, c’est une évolution encourageante : le tunnel est long, mais une lumière brille au bout.
Cela incite à repenser les stratégies d’application des droits dans un contexte où l’accès à des données fiables sur les titulaires de domaines pourrait redevenir une attente réaliste. Les actions de retrait de noms de domaine et les acquisitions pourraient alors mériter des budgets accrus, car leur succès dépend directement de la possibilité de contacter efficacement les titulaires.
Notes
[1] Balancing GDPR Rights And TM Owner Need For Domain Data | Articles | Finnegan | Leading IP+ Law Firm.
[2] Whois, We Hardly Knew Ye: GDPR Spells Doom For Domain Name Ownership Transparency | Security, Privacy and the Law | Foley Hoag LLP.
[3] ICANN GNSO, Final Report of the Temporary Specification for gTLD Registration Data Phase 2 Expedited Policy Development Process, 31 July 2020.
[4] ICANN Registration Data Request Service Pilot Program Enhancements.
[5] Registration Data Request Service – ICANN.
[6] RDRS may not be dead – Domain Incite.
[7] Nelson Mullins – The Successes and Challenges of ICANN’s Registration Data Request Service (RDRS).
[8] Meeting Report: ICANN’s Registration Data Request Service Requestor Experiences.
[9] ICANN org comments on the Proposal for a Directive of the European Parliament and of the Council on Measures for a High Common Level of Cybersecurity Across the EU, repealing Directive (EU) 2016/1148 (NIS 2 Directive).
[10] Network and Information Systems Cooperation Group Work Stream for art.28 NIS2, 9 November 2023.