À l’occasion de cette fin d’année, je souhaiterais vous donner un aperçu du travail accompli par l’ICANN concernant le Règlement général européen sur la protection des données (RGPD) et vous présenter les perspectives en vue pour l’année 2021.
Recommandations de l’étape 2 de l’EPDP
Comme je l’avais indiqué en octobre, l’équipe en charge de la deuxième étape du processus accéléré d'élaboration de politiques (EPDP) a remis son rapport final au Conseil de l’Organisation de soutien aux extensions génériques (GNSO), qui l’a accepté et l’a soumis au Conseil d’administration de l’ICANN pour examen. Lorsque la GNSO se prononce sur une politique et que le Conseil d’administration nous demande de la mettre en œuvre, l’organisation ICANN doit tout faire pour y parvenir.
Le rapport final de l’étape 2 de l’EPDP contient 22 recommandations, dont 18 portent sur le système normalisé d’accès et de divulgation (SSAD) de données non publiques relatives aux domaines génériques de premier niveau (gTLD). Dans sa réponse, le Conseil d’administration a indiqué son intention de lancer, début 2021, une étape de conception opérationnelle (ODP) destinée à évaluer l’impact opérationnel des 18 recommandations liées au SSAD. L’ODP, à l’instar des évaluations de faisabilité que l’organisation ICANN préparait pour le Conseil d’administration avant tout examen de recommandations de politiques, a pour objectif d’informer le Conseil et d’étudier soigneusement les éventuels risques, les coûts, les ressources et les délais associés à leur mise en œuvre. J’ai demandé aux organisations de soutien et aux comités consultatifs de nous faire parvenir leurs commentaires sur l’étape ODP proposée, avant le 22 janvier 2021.
Les quatre recommandations restantes concernent des questions dont l’examen n’a pas pu être complété par l’EPDP pendant l’étape 1, telles que la durée de conservation des données et l’affichage d’informations provenant des services d'anonymisation et d'enregistrement fiduciaire. Ces quatre recommandations dites « de priorité 2 » ont été publiées pour consultation publique. Je vous encourage à partager vos idées et vos commentaires avant la fin de la consultation, le 22 janvier 2021.
Pendant que le Conseil d’administration examine le rapport de l’étape 2 de l’EPDP, l’équipe EPDP commencera l’étape 2A de son travail, destinée à résoudre deux questions encore en suspens. La première de ces questions concerne le fait de savoir si la politique relative aux données des titulaires de noms doit faire une distinction entre les personnes physiques et les personnes morales. L’examen de cette thématique s’appuiera sur une étude menée par l’organisation ICANN, des avis juridiques et les commentaires reçus pendant la période de consultation publique. La deuxième question concerne la faisabilité d’une adresse email anonymisée uniforme pour les contacts uniques à travers différents enregistrements. En se basant sur les avis juridiques mis à sa disposition, l’équipe évaluera ces questions en profondeur afin de déterminer si d’autres directives politiques ou d’autres exigences devraient être recommandées à ce sujet.
Cet effort a été possible grâce à la communauté de l’ICANN. J’aimerais remercier tous ceux qui ont participé à cet important processus pour le dévouement avec lequel ils ont cherché une solution permettant de mettre en conformité les services d’annuaire de données d’enregistrement avec le RGPD.
Discussions et développements en Europe
En attendant, l’organisation ICANN a poursuivi son dialogue avec la Commission européenne (CE), les Autorités européennes de protection des données et le Comité européen de la protection des données (CEPD). Les 15 et 16 décembre 2020, un ensemble d’initiatives importantes concernant le système des noms de domaine (DNS) ont été dévoilées, dont certaines concernent les données d'enregistrement de noms de domaine et les fournisseurs de services numériques. Nous vous encourageons à lire ce billet de notre équipe en charge de la relation avec les gouvernements pour en savoir plus sur ces initiatives.
Parmi ces initiatives, une attention particulière doit être accordée à la proposition d’une directive révisée sur la sécurité des réseaux et des systèmes d’information (Directive NIS2). Cette proposition exige aux États membres de l’Union européenne de s’assurer que les opérateurs de registre et les bureaux d’enregistrement de noms de domaine « collectent et maintiennent des données d'enregistrement de noms de domaine complètes et exactes » et qu’ils « permettent l’accès à des données d’enregistrement de noms de domaine spécifiques sur la base de demandes d'accès légitimes et dûment justifiées », conformément à la loi de protection des données de l’Union européenne. Dans sa plus récente lettre adressée à l’organisation ICANN, la CE a souligné l’importance de la Directive NIS2, d’autant plus que la proposition « laisse la porte ouverte à la possibilité d’utiliser une interface, un portail ou d’autres outils techniques capables de fournir un système efficace de demande et d’accès aux données d’enregistrement ».
La Directive NIS2 contribue au débat de la communauté autour du RGPD et de l’exactitude des données d’enregistrement. La CE a indiqué a maintes reprises que l’obligation actuellement imposée par le RGPD aux autorités de contrôle de prendre toutes les mesures raisonnables pour garantir l’exactitude des données à caractère personnel eu égard aux finalités pour lesquelles elles sont traitées, suppose déjà un risque de non conformité avec le RGPD pour les données d’enregistrement, au cas où ces mesures ne seraient pas appropriées. Il est ainsi intéressant de noter que la Directive NIS2 proposée par la Commission européenne fait référence explicite à l’exactitude des données d’enregistrement.
La Directive NIS2 se trouve au stade de projet de loi, et une fois décidée et adoptée, il faudra encore un nouveau délai de 18 mois pour qu’elle soit mise en œuvre dans les lois nationales des États membres de l’Union européenne. Entre temps, la loi de protection de données de l’UE actuellement en vigueur pose un certain nombre de difficultés pour la mise en œuvre opportune du SSAD. Parmi ces difficultés figure l'incertitude concernant la légalité des transferts de données depuis l’UE et l’Espace économique européen (EEE) vers des pays tiers, à la suite de l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne. À ceci s’ajoute l’interprétation encore floue des concepts d’autorité de contrôle et de responsable du traitement, notamment dans des modèles multipartites techniquement complexes comme celui du SSAD.
L’organisation ICANN a communiqué ses inquiétudes à cet égard aux autorités de l’UE concernées, y compris le CEPD et la CE. L’organisation ICANN a aussi récemment commenté les mesures proposées par le CEPD qui complètent les outils de transfert pour assurer le respect du niveau européen de protection des données à caractère personnel, les clauses contractuelles types mises à jour de la CE pour le transfert de données personnelles vers des pays tiers, ainsi que la consultation du CEPD sur les concepts d’autorité de contrôle et de responsable du traitement de données.
De plus amples précisions et des orientations des autorités européennes concernées sont nécessaires pour que l'organisation ICANN puisse développer et mettre en œuvre un modèle d’accès viable. Leur contribution est critique pour déterminer si la solution décrite dans le rapport final peut être appliquée en conformité avec le RGPD. Dans sa lettre la plus récente envoyée à l’organisation ICANN, la CE a réitéré sa volonté de faciliter les interactions à cet égard avec les Autorités européennes de protection des données, sachant qu’elle envisage la possibilité d’engager une consultation formelle auprès du CEPD. De par la nature technique de son travail, il est essentiel pour l’organisation ICANN de recevoir ces orientations afin de développer et de mettre en œuvre un système viable qui puisse proposer aux demandeurs ayant un intérêt légitime un moyen stable, prévisible et réalisable d’accéder aux données d'enregistrement non publiques des gTLD. La difficulté demeure celle de trouver un compromis entre l’accès aux données d’enregistrement de noms de domaine au nom de l’intérêt public mondial et le droit à la vie privée des titulaires de noms de domaine. Il s’agit d’une question de politique publique. Lorsqu’une loi qui protège les données des citoyens semble entraver les efforts pour protéger ces citoyens contre des fraudes en ligne ou des cyberattaques, il revient aux législateurs de trancher sur la question.
Pour de plus amples informations, des mises à jour et des documents pertinents, consultez notre page sur les activités de protection des données et de la vie privée. Mes meilleurs vœux de santé et de bonheur pour la nouvelle année, où que vous soyez dans le monde. J’attends avec impatience de travailler ensemble l’année prochaine.
