La demande d’injonction préliminaire du 25 mai de l’Internet Corporation for Assigned Names and Numbers (ICANN) contre le registraire de nom de domaine allemand EPAG, pour le forcer à continuer de collecter et de stocker des informations pour WHOIS, a été refusée par la Cour régionale de Bonn.
Avec cette demande, l’ICANN affirmait rechercher un éclaircissement sur le Règlement général sur la protection des données.
L’ICANN oblige tous les locataires de noms de domaine à fournir, et à mettre à jour le cas échéant, des informations de contacts pour sa base de données publiquement disponible WHOIS, notamment :
- Le nom et l’adresse postale du détenteur du nom de domaine ;
- Le nom, adresse postale, adresse de courriel, le numéro de téléphone et si disponible le numéro de fax du contact technique ;
- Le nom, adresse postale, adresse de courriel, le numéro de téléphone et si disponible le numéro de fax du contact administratif.
L’ICANN impose donc aux registraires de noms de domaines de collecter et de stocker ces données.
Or l’EPAG avait conclu que légalement, elle n’était plus en droit d’exiger ces informations à cause du RGPD, en application depuis le 25 mai 2018.
Avec le rejet de l’injonction, il devient impossible pour l’ICANN d’imposer, au moins en Allemagne, aux entreprises avec des clients européens, un contrat dont les clauses liées à WHOIS sont illégales.
Pour la Cour régionale de Bonn, l’ICANN n’a pas prouvé que le stockage des données autres que celles du détenteur du nom de domaine, était indispensable pour ses buts. Les problèmes criminels, de sécurité, de violation des droits d’auteur et des autres infractions peuvent tous être résolu par les seules données du détenteur du nom de domaine. Aucune autre information, comme les coordonnées du responsable technique, ne sont nécessaires.
La Cour constate également que, le fait d’être autorisé à fournir les mêmes informations pour les trois types de contacts exigés, montre bien que les informations supplémentaires ne sont pas nécessaires pour les objectifs de l’ICANN.
L’ICANN affirme ne pas avoir reçu les clarifications recherchées, puisque la décision de justice ne mentionne pas le RGPD. Elle déclare qu’elle va continuer à discuter avec la Commission européenne et le WP29.
Pour les experts, il était clair, dès le vote du RGPD en 2016, que l’ICANN ne pourrait plus imposer la même collecte et le même stockage de données personnelles pour WHOIS, et que l’organisme n’a cessé de l’ignorer depuis.
WHOIS a été conçue en 1982, quand Internet était uniquement le réseau de quelques militaires, technologistes et académiques, ouvert et basé sur la confiance.
Avec son développement et son adoption par les entreprises comme par le grand public, les noms de domaines sont devenus un enjeu de propriété intellectuelle comme un enjeu commercial.
WHOIS est le service qui a permis tous les abus : les menaces des avocats contre les détenteurs, le harcèlement de ces derniers par des négociants de noms de domaines, le vol de certains noms comme le plus cher, sex.com, les pourriels avec des listes de diffusions constituées à partir des adresses de courriels présentes dans WHOIS, etc.