Le WhoIs a une petite sœur, elle s'appelle RDRS – Un premier pas en faveur d’une meilleure identification des titulaires de nom de domaine

La fiche WhoIs est au nom de domaine ce que la carte d’identité est à la personne physique ; elle permet de connaître l’identité de son titulaire.

Pendant de nombreuses années, les bases de données WhoIs publiques permettaient à tout un chacun d’identifier les titulaires de noms de domaine, et ainsi de les contacter aisément, en particulier en cas de situation litigieuse (sous la réserve, non négligeable, que ces derniers aient renseigné des informations de contact exactes).

L’entrée en vigueur, le 25 mai 2018, du Règlement Général sur la Protection des Données (RGPD) a cependant grandement impacté l’exhaustivité des informations publiquement accessibles dans les bases de données WhoIs.

En effet de très nombreux bureaux d’enregistrement et registres ont alors estimé que pour éviter toute difficulté sur le terrain d’une règlementation sanctionnant sévèrement les traitements illicites de données personnelles, il convenait de ne plus rendre publiquement accessibles les informations d’identification des titulaires de noms de domaine.

Pareille interprétation du RGPD est considérée par une partie de la communauté de l’Internet comme excessive et extrêmement contestable, tant au regard de la teneur réelle des règles invoquées pour ne plus diffuser les informations, qu’au regard des risques d’abus qu’un anonymat généralisé peut engendrer.

Identifier publiquement un titulaire de nom de domaine sous une mention telle que « GDPR MASKED » ou « REDACTED FOR PRIVACY » en lieu et place de ses données d’identification véritables participe à procurer un sentiment d’impunité aux réservataires malintentionnés, tout en complexifiant la tâche des titulaires de droits pour contacter directement les détenteurs de noms de domaine litigieux.

Bien sûr, il demeure possible de contacter les bureaux d’enregistrement ou les registres afin de demander la levée d’anonymat du réservataire indélicat, au besoin après avoir obtenu une décision judiciaire contraignante pour ces derniers.

Néanmoins, outre les frais engendrés par ces démarches, leurs modalités pratiques s’avèrent très différentes d’un bureau d’enregistrement ou d’un registre à l’autre, et ces intermédiaires techniques font preuve d’un degré de coopération très variable en la matière.

Afin de restaurer de la transparence et après des années d’âpres négociations entre les parties prenantes (en particulier, bureaux d’enregistrement, représentants de titulaires de noms de domaine et de titulaires de droits de PI), l’ICANN (l’autorité régulatrice de l’adressage sur Internet) a mis en place le 29 novembre 2023 le Registration Data Request Service (RDRS).

Il s’agit d’un dispositif standardisé et centralisé permettant de demander aux bureaux d’enregistrement participants, via l’ICANN et de manière motivée, la divulgation des données d’identification non publiques des titulaires de nom de domaine génériques de premier niveau (gTLD).

Si ce dispositif permet de simplifier les démarches des titulaires de droits, il n’est toutefois pas parfait pour autant.

En effet, le RDRS est basé sur le volontariat, de sorte que seulement une partie des bureaux d’enregistrement accrédités par l’ICANN y participent.

De plus, le RDRS ne peut être utilisé que lorsque les données du titulaire sont masquées en raison de l’application du RGPD par son bureau d’enregistrement, ce qui exclut les cas où les données sont occultées par le biais d’un service d’anonymisation tiers.

Par ailleurs, les demandes de levée d’anonymat ne peuvent porter que sur les titulaires de noms de domaine enregistrés parmi les extensions génériques de premier niveau (.com, .net, .info, etc.), ce qui exclut les noms de domaine réservés dans les extensions géographiques nationales (ccTLD).

Enfin, ce dispositif se révèle inefficace dans les cas où les titulaires de noms de domaine ont renseigné des données inexactes.

Il n’en reste pas moins que le RDRS participera dans une certaine mesure à la simplification des démarches auprès des bureaux d’enregistrement et contribuera à lever le voile sur l’identité de nombreux titulaires de nom de domaine – tous n’étant pas des fraudeurs.

Plasseraud IP Internet & Data est bien entendu en mesure de vous accompagner dans vos démarches d’investigations et de protection de vos droits de PI contre les atteintes commises sur le Web.