Qui est derrière le Whois ?

Cette question, on peut la poser dans les deux sens. Si je fais une requête whois, c’est pour savoir qui est derrière tel ou tel nom de domaine. Si j’ai un nom de domaine, je veux savoir qui gère le Whois, selon quelles règles, à quelles conditions.

Depuis des années, la « base Whois » permet, pour chaque extension Internet de premier niveau, d’identifier le titulaire d’un nom en accédant à un ensemble de données techniques et nominatives, qui pour beaucoup d’entre elles revêtent un caractère personnel.

Historiquement, la manière de gérer cette base d’information et les droits d’accès qui sont attachés ont varié entre les extensions génériques (.com, .net….) et les extensions liées au code pays (.fr, .de…)

Le grand soir du Whois, qui serait remplacé par quelque-chose de mieux, en partant du présupposé que la version actuelle ne fonctionne plus, est un grand classique de l’ICANN. Cela fait des années qu’on en discute en son sein, mais également, pour ce qui relève de l’évolution du protocole Whois, au sein de l’IETF. Le PDG de l’ICANN, Fadi Chéhadé, fidèle à son habitude d’avancer rapidement et de refuser que les sujets pourrissent dans des discussions interminables (ce qui est tout à son honneur) a donc décidé, en décembre dernier, de mettre en place un groupe d’experts ayant pour tâche de proposer un « nouveau whois ». https://www.icann.org/en/groups/other/gtld-directory-services

Ce groupe d’experts a remis un rapport fin juin, qui a été présenté par la suite lors de la rencontre ICANN de Durban. http://www.icann.org/en/news/announcements/announcement-3-24jun13-en.htm

S’il est important de rappeler que les propositions de ce groupe n’engagent pour l’instant que lui-même, et qu’elles s’appliquent à priori aux extensions génériques, et non aux extensions liées au code pays comme le .fr, le rapport soulève une série de questions importantes, qui méritent certainement qu’on s’y attarde un peu.

Et les deux innovations majeures qui sont proposées dans ce document sont les suivantes :

• Définir une politique générale d’accès aux données du Whois conférant des droits différents en fonction de la qualité du demandeur d’information et du type de données qu’il recherche ;
• Mettre en place une base de données centrale récupérant les informations de tous les registres et ayant vocation à devenir en quelque sorte le guichet unique des demandes whois.

D’où la question, qui est derrière ce Whois-là ? En d’autres termes, qui va pouvoir définir une politique mondiale de classification des demandeurs et des demandes d’accès aux données du Whois ? Qui va décider de traiter différemment, (ou non), une demande émanant d’une université menant un programme de recherche sur la localisation des titulaires de noms, la demande d’une agence fédérale américaine, celle d’une agence gouvernementale chinoise ?

Qui va garantir à l’ensemble des registres d’extensions génériques que les données qu’ils fournissent à cette base de données centrale sont protégées, qu’elles ne pourront faire l’objet d’une exploitation commerciale sans le consentement explicite de leur titulaire, qu’elles ne pourront être utilisées par des organismes n’ayant aucun droit à connaitre les données personnelles des titulaires de tel ou tel pays ?

Qui va s’assurer du respect des diverses législations protégeant les données à caractère personnel, et appliquer ces législations, à partir d’une base centralisée, aux données des différents titulaires, en fonction du cadre légal qui est sensé leur être appliqué ?

Est-ce que le droit du pays qui hébergera cette base s’appliquera à cette base, comme c’est aujourd’hui généralement le cas, ou la base centrale bénéficiera-t-elle d’un statut innovant, international ?

Combien faudra-t-il payer pour développer cette nouvelle couche de données, qui s’additionne à celle déjà entretenue par les registres eux-mêmes, et qui payera ?

Telles sont entre autres les questions qui se posent aujourd’hui et qui ont été soulevées par de nombreux participants à la récente réunion de Durban.

On peut se réjouir que le débat sur les conditions du traitement des données personnelles présentes dans le Whois soit ainsi lancé, tout autant qu’on peut s’inquiéter de la solution qui semble se dessiner, au moins au sein du groupe d’experts.

Cette proposition centralisatrice, qui va d’ailleurs contre le caractère fondamentalement décentralisé de l’Internet, porte en elle les germes d’un nouveau monopole, celui du data mining sur les données du Whois.

Le modèle économique de ce que l’on appelle désormais le « Big Data » autorise les analystes financiers à annoncer des marchés potentiels de plusieurs dizaines de milliards de dollars dans ce secteur. On peut donc légitimement s’interroger sur les raisons qui poussent à mettre sur la table, aujourd’hui, une solution de centralisation des données du WHOIS qui n’emporte véritablement aucun avantage en matière de protection de la vie privée des utilisateurs.

Nombreux sont ceux qui nous ont interrogés, à l’Afnic, sur notre position quant à cette révolution copernicienne proposée par le groupe d’experts. Nous voulions, avant de prendre une position, échanger avec eux, et entendre leurs arguments. Ce fut le cas à Durban et c’est pourquoi l’Afnic a soumis la semaine dernière un commentaire officiel sur la page dédiée de l’ICANN. Je ne saurais trop encourager ceux d’entre vous qui vous intéressez aux sujets de la protection de la vie privée, et plus généralement, à l’industrie des noms de domaines, à participer vous aussi à cette consultation.

L’Afnic, à la fois en tant qu’Office d’enregistrement du .fr, et à ce titre pionnière pour le respect de la vie privée avec la mise en place de l’anonymisation des informations personnelles relatives aux personnes physiques, et en tant qu’opérateur technique pour 17 nouvelles extensions génériques, a indiqué en substance que la proposition faite méritait d’être amplement retravaillée et approfondie avant d’être soumise aux procédures classiques de « PDP » (policy development process) de l’ICANN. On trouvera l’argumentaire  ici.

Gageons que nous ne serons pas les seuls à alerter l’ICANN sur le besoin d’approfondir le travail et de prendre le temps d’analyser toutes les conséquences économiques, sociales et politiques d’une modification aussi radicale de la gestion du Whois.