Deux enjeux pour les bases WHOIS : Les données personnelles et l’accès à la base de données
Les données de la base WHOIS sont essentielles et sont nécessaires aux tiers qui veulent par exemple identifier la personne physique titulaire d’un nom de domaine ou procéder à une recherche de disponibilité complète incluant les noms ressemblant à la dénomination concernée. La situation est différente de celle des bases de données de marques et les enjeux sont importants, en termes de dynamisme de l’extension et de sécurité juridique pour les tiers.
La comparaison entre la base WHOIS et les registres des marques.
L’extrait WHOIS du nom de domaine peut être comparé au certificat d’enregistrement de la marque, puisque ces deux documents identifient le nom enregistré et le titulaire.
A la différence du certificat d’enregistrement, l’extrait WHOIS a également une fonction technique, puisqu’il identifie le registre en charge de l’extension et de la base WHOIS associée, ainsi que le bureau d’enregistrement ou registrar qui enregistre et héberge le nom de domaine.
Les bases de données des offices nationaux des marques comportent des données qui peuvent être des données personnelles lorsque le déposant est une personne physique. La mention de ces données est prévue et rendue obligatoire par la loi, ce n’est pas le cas pour les noms de domaine. Lorsque le titulaire est une personne physique, les données le concernant portent dans les deux cas sur le nom et l’adresse postale. Pour les noms de domaine, elles portent aussi sur son adresse électronique et son numéro de téléphone. La divulgation des adresses électroniques pose une difficulté spécifique car la base WHOIS est utilisée comme source d’adresses pour les spammeurs. Cet aspect rend la question très sensible. Elle est une différence essentielle entre les noms de domaine et les marques.
La base WHOIS et la protection des données personnelles.
La base WHOIS de chaque registre est gérée selon les critères définis dans le contrat d’accréditation entre l’ICANN (Internet Corporation for Assigned Names and Numbers) et le registre. Les standards de l’Internet qui encadrent la gestion de la base WHOIS sont les Request for Comments (RFC). Les RFC les plus importantes sont la RFC 1591 de mars 1994 et la RFC 3912 de septembre 2004 qui précise que "le protocole WHOIS ne dispose pas d’une forte sécurité. WHOIS est déficient en ce qui concerne les mécanismes de contrôle d’accès, l’intégralité et la confidentialité. En conséquence, les services basés sur WHOIS ne devraient être utilisés que pour des données non sensibles et accessibles à tous".
Les règles de droit interne sont également applicables à chaque registre. Pour la France, les deux textes de référence sur les noms de domaine sont la réglementation communautaire sur la gestion de la base WHOIS du .EU (règlements (CE) n° 733/2002 du 22 avril 2002 et n° 874/2004 du 26 avril 2004) et la réglementation nationale relative à la gestion de la base WHOIS de la zone .FR, avec l’article L. 45 du Code des Postes et des Communications Electroniques et son décret d’application (article R. 20-44-48 du même Code). Pour la protection des données personnelles, il s’agit de la loi n° 78-17 du 6 Janvier 1978, modifiée, relative à l’informatique, aux fichiers et aux libertés.
La loi pose le principe de la centralisation des données WHOIS par un organisme unique, tandis que le décret précise que "les offices collectent, en tant que de besoin auprès des bureaux d’enregistrement, et conservent les données de toutes natures nécessaires à l’identification des personnes morales ou physiques titulaires de noms de domaine. Ils mettent en place une base de données publiques d’informations relatives aux titulaires des noms de domaine, dans le respect de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés" (article L 45-I al.5).
Les règlements communautaires posent également le principe de la conformité de la base de données WHOIS au droit communautaire sur la protection des données et de la vie privée (règlement du 22 avril 2002, 12ème considérant et articles 2 et 4). Le règlement de 2004 précise quant à lui que "la base de données WHOIS contient des informations sur le titulaire d’un nom de domaine, qui sont pertinentes et non excessives par rapport à la finalité de la base de données. Si les informations ne sont pas strictement nécessaires par rapport à la finalité de la base de données et si le titulaire est une personne physique, les informations devant être rendues publiques doivent être soumises au consentement sans équivoque du titulaire du nom de domaine" (article 16 alinéa 2). Les seules informations portées à la connaissance des tiers dans tous les cas de figure sont celles relatives au contact administratif et au contact technique. Ces informations doivent être "raisonnablement exactes et actuelles".
La gestion des données personnelles du .EU et du .FR : une évolution convergente.
Dès sa création, le registre du .EU (EURid) a mis en place une procédure en ligne de communication des données personnelles. C’est depuis décembre 2007, que l’AFNIC a mis en place une procédure comparable pour lever l’anonymat. Il est important qu’une telle procédure existe car le risque est sinon de favoriser les pratiques de piratage par des personnes physiques peu scrupuleuses qui se sentent protégées par l’anonymat de la procédure d’enregistrement.
Il s’agit de concilier la légitime protection des données personnelles avec la protection des droits de propriété intellectuelle et des droits de marques d’une part et avec les droits des consommateurs et du public des internautes, d’autre part. Les acteurs du web doivent pouvoir être identifiés car leurs agissements engagent leur responsabilité. Un internaute qui a subi un dommage causé par une pratique exercée sur un site web doit pouvoir identifier les personnes responsables à l’origine de ce site et le titulaire du nom de domaine peut en faire partie. S’il est vrai que le droit français oblige l’éditeur du site web à s’identifier, cette obligation n’est pas toujours respectée et n’existe pas dans tous les pays.
Chaque registre définit la politique de gestion de sa base WHOIS.
L’autre aspect relatif à la gestion de la base WHOIS réside dans les droits qui peuvent être consentis aux tiers par chaque registre pour interroger sa propre base. Cette interrogation est nécessaire par exemple pour procéder à des recherches d’antériorités ou à des surveillances des nouveaux enregistrements. Le but de ces recherches est d’identifier non seulement les noms de domaine identiques à la dénomination objet de la recherche, mais également les noms de domaine ressemblant à cette dénomination.
En ce qui concerne le registre EURid en charge du .EU, la base WHOIS peut être interrogée pour des recherches à l’identique. En revanche, il n’est pas possible d’interroger la base WHOIS pour procéder à des recherches sur des noms similaires, ni à des recherches par nom de titulaire.
Avec le "service qualifié d’accès aux données WHOIS", l’AFNIC propose depuis décembre 2007 de "fournir à des organismes qui en font la demande et sous certaines conditions la liste des noms de domaines enregistrés chaque jour en .fr, associés aux noms des bureaux d’enregistrement ayant procédé à ces enregistrements". Ce service est payant et l’AFNIC exige que l’organisme apporte "une valeur ajoutée à l'information fournie" et présente "des garanties quant à l’utilisation de cette information".
Elle propose ainsi un accès privilégié à sa base WHOIS. Cet accès est la voie vers des modes d’interrogation élargis de la base WHOIS de la zone FR et par exemple vers des recherches de disponibilité élargies aux noms similaires, voire des recherches par nom de titulaire.
Les conséquences.
Le mode de divulgation des données personnelles et le mode d’accès à la base WHOIS ont des conséquences importantes. Si les recherches sont globalement limitées à des recherches à l’identique, il n’est pas possible d’identifier les noms de domaine portant atteinte à une marque, sous la forme d’une imitation de cette marque. Il n’est pas non plus possible, lors de recherches d’antériorités, d’identifier tous les noms de domaine susceptibles de constituer des droits antérieurs.
Il en résulte :
un moindre dynamisme de la zone puisque la surveillance des nouveaux enregistrements est nécessairement limitée aux noms identiques ;
une certaine insécurité juridique, puisqu’il n’est pas possible de faire des recherches d’antériorités autres que des recherches à l’identique.
Marie-Emmanuelle HAAS
Avocate à la Cour
Cabinet CASALONGA AVOCATS
me.haas@casalonga.com
• Différence entre la base WHOIS et les registres des marques Les bases de données des offices nationaux des marques comportent des données qui peuvent être des données personnelles lorsque le déposant est une personne physique. La mention de ces données est prévue et rendue obligatoire par la loi, ce n’est pas le cas pour les noms de domaine. • Les lacunes de la base WHOIS Le protocole WHOIS ne dispose pas d’une forte sécurité. Le WHOIS est déficient en ce qui concerne les mécanismes de contrôle d’accès, l’intégralité et la confidentialité. En conséquence, les services basés sur WHOIS ne devraient être utilisés que pour des données non sensibles et accessibles à tous. • Textes de référence sur la gestion de la base WHOIS Règlements (CE) n° 733/2002 du 22 avril 2002 et n° 874/2004 du 26 avril 2004 pour le .EU et article L. 45 du Code des Postes et des Communications Electroniques et son décret d’application (article R. 20-44-48 du même Code) pour la zone .FR. • "SQAW" : Service Qualifié d’Accès aux données WHOIS Service d’accès privilégié à la base WHOIS de l’AFNIC permettant une interrogation élargie de la base WHOIS de la zone FR. Il permet également des recherches de disponibilité élargies aux noms similaires, voire des recherches par nom de titulaire. Ces services sont assurés par certains bureaux d’enregistrement spécialement accrédités à cet effet et dont fait partie INDOM.
Lettre gratuite
Sur votre site
RSS
Imprimer la chronique
Envoyer la chronique
= requiert un