Le présent projet consistait à effectuer des recherches et à consulter des parties prenantes pour déterminer la pertinence d’élaborer des normes de certification professionnelle de spécialistes canadiens en cybersécurité et de tiers requérant l’accès aux données d’enregistrement. Nous avons choisi de nous concentrer sur l’Internet Corporation for Assigned Names and Numbers (ICANN) à cause des efforts investis dans son adaptation aux exigences du nouveau Règlement général sur la protection des données 1 (RGPD) de l’Union européenne. L’ICANN publie depuis 20 ans un répertoire des détenteurs de noms de domaine appelé WHOIS. Toutes les parties prenantes ayant un accès gratuit et facile aux données de ce répertoire souhaitaient le conserver. Les instances qui négocient l’inscription de noms de domaine sont les bureaux d’enregistrement, alors que celles qui gèrent leur accessibilité sur Internet sont les opérateurs de registre. Souhaitant maintenir cette facilité d’accès, aucune de ces instances ne voulait contrevenir au RGPD ni s’exposer aux amendes qui en découleraient. Le présent projet constituait donc une bonne étude de cas pour l’application de normes de protection de la vie privée.
Société sans but lucratif, l’ICANN a été créée en 1998 pour gérer l’attribution des noms de domaine utilisés par les sites Web et les adresses courriel, ainsi que les adresses IP numériques correspondant aux sites Web. Les principaux utilisateurs des données personnelles contenues dans le répertoire WHOIS sont les organismes d’application de la loi, les entreprises de sécurité informatique qui luttent contre le cybercrime et la diffusion de logiciels malveillants, ainsi que les agences de propriété intellectuelle responsables de la protection d’intérêts commerciaux et des marques de commerce. La commercialisation d’Internet s’est accompagnée d’une croissance de la cybercriminalité, notamment sous forme de pourriels, d’hameçonnage et de vol d’identité. Ce sont principalement les experts du secteur privé en sécurité informatique qui lui font la lutte, recourant fréquemment pour ce faire au répertoire WHOIS, d’accès public. Ce répertoire, ou sa plus récente version de services d’annuaire d’enregistrement (RDS), contient les données personnelles de tous les détenteurs de noms de domaine Internet. Il permet notamment d’empêcher les abus en rendant possible la vérification de l’identité d’un détenteur de nom de domaine ou d’un opérateur de site Web soupçonné de diffuser des logiciels malveillants ou de coordonner des attaques ciblant d’autres utilisateurs d’Internet. Cependant, les personnes effectuant ces vérifications sont rarement autorisées par la loi à obtenir l’accès à des renseignements personnels. La facilité d’accès aux données WHOIS oppose donc les agences de protection de la vie privée et l’ICANN depuis sa création pour gérer le système des noms de domaine (DNS).
Or, l’entrée en vigueur du Règlement général sur la protection des données en Europe en mai 2018 a poussé les bureaux d’enregistrement (qui négocient la vente des noms de domaine) à couper tout accès aux données WHOIS pour éviter l’imposition d’amendes salées. En 2014, un groupe de travail d’experts 2 a recommandé de ne plus publier les données des détenteurs dans WHOIS, mais de plutôt recourir à des technologies permettant de mieux protéger la vie privée des détenteurs en n’accordant qu’à des utilisateurs autorisés un accès progressif aux données personnelles. Cependant, les parties prenantes ont opposé plusieurs arguments à la mise en œuvre de cette recommandation, notamment un manque de sérieux face aux lois sur la protection de la vie privée. C’est par contre l’impossibilité d’en arriver à des critères d’admissibilité et à une liste de fins légitimes en lien avec l’accès aux données personnelles qui a pesé le plus lourd dans la balance. La certification des requérants, les mécanismes d’approbation des demandes et le respect des normes professionnelles de protection des données personnelles pourraient constituer une solution innovante dérivée de la longue tradition de chef de file du Canada en matière de protection de la vie privée. Ces nouvelles normes, axées sur des pratiques de gestion de la sécurité et de la vie privée, permettraient à des tiers, dont les organismes d’application de la loi et les responsables d’enquêtes sur la propriété intellectuelle, d’obtenir une certification et de pouvoir ainsi utiliser ces données personnelles dans le cadre de leur travail tout en mettant sur pied des systèmes de réputation sur la base de renseignements personnels et d’une analyse du trafic Internet.
Internet n’a bien sûr que faire des frontières géographiques, et nombreuses sont les entreprises canadiennes qui se sont déjà engagées à respecter le nouveau RGPD. Plusieurs des plus gros bureaux d’enregistrement de la planète sont au Canada, ce qui permettrait dans le cadre d’une certification d’autoriser, en conformité avec la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), un accès automatique et authentifié à certains renseignements personnels des détenteurs enregistrés. Ceci contribuerait à accroître la reddition de comptes et la transparence attendue des responsables luttant au Canada contre le cybercrime et les autres formes de transgression en ligne.
Les agences de protection de la vie privée s’intéressent depuis longtemps aux normes comme outil de conformité à la loi. Les agences des pays membres de l’Union européenne ont assidûment participé aux rencontres notamment du Groupe de travail « article 29 » et harmonisé leurs réponses à celles des lois nationales sur la vie privée en vigueur en Europe qui se conformaient à la Directive 95/46/CE sur la protection des données 3. D’autres ont pour leur part appuyé les travaux du Groupe de travail international sur la protection des données dans les télécommunications, surnommé « Groupe de Berlin ». Ces deux groupes se sont entendus pour souhaiter l’instauration de normes de conformité aux lois sur la protection des données personnelles et le respect d’exigences en matière de sécurité. Nous avons résumé dans notre rapport leurs documents les plus pertinents, et fourni les liens nécessaires dans le résumé de notre analyse. [lien dynamique]
Les articles 40 à 43 du nouveau RGPD traitent de l’élaboration, de l’approbation et du suivi de codes de conduite, ainsi que des mécanismes de certification afférents, toutes activités validées par les agences pertinentes de protection de la vie privée sans pour autant empêcher ces dernières de s’acquitter de leurs autres obligations officielles. Ces dispositions législatives illustrent le type de processus d’élaboration de normes que nous jugeons utile pour débloquer l’impasse à l’ICANN en lien avec l’accès aux données WHOIS.
Notre proposition initiale était donc d’étudier la situation qui prévaut à l’ICANN, puis d’organiser un atelier dans le cadre de la rencontre annuelle tenue en octobre 2018 à Barcelone, en Espagne, avant de mener des consultations auprès des parties prenantes sur les normes qu’ils souhaiteraient et leur application. Étant donné l’intérêt qui en est résulté, nous avons aussi offert de préparer un rapport de besoins et d’en saisir des organismes d’élaboration de normes pour qu’ils en arrivent à de nouvelles en matière de protection de la vie privée.
Dans l’entretemps, le débat s’est poursuivi sur les données WHOIS et les services d’annuaire d’enregistrement. Le rapport de 2014 du groupe de travail d’experts a mené à la mise sur pied d’une équipe de spécialistes en politiques qui ont discuté de 2016 à 2018 de la possibilité d’accéder aux données à des fins légitimes tout en protégeant la vie privée des détenteurs de noms de domaine et des personnes impliquées dans le processus de leur enregistrement.
C’est désormais au secteur privé qu’incombe la tâche de lutter contre les comportements malveillants sur Internet, soit les attaques automatisées qui sont son lot. Pour leur part, les organismes gouvernementaux d’application de la loi se concentrent sur une criminalité plus grave, comme le trafic de personnes ou le blanchiment d’argent, et ont abandonné aux entreprises de télécommunication et aux fournisseurs de services Internet le soin de s’occuper de la sécurité des réseaux. Certaines instances se sont créées pour répondre à la demande, tel l’Anti-Phishing Working Group (APWG), un organisme privé sans but lucratif qui s’est donné pour mandat de colliger le plus d’informations possible sur les menaces et de résoudre rapidement et de façon collaborative toute faille de sécurité. Les spécialistes en cybercriminalité peuvent travailler pour de grandes sociétés informatiques comme Microsoft ou Symantec, pour des entreprises de télécommunication ou des fournisseurs de services Internet comme Rogers ou Bell Canada, ou à leur compte de leur domicile. Certaines analyses exigent de pouvoir accéder à des données personnelles, mais ces « enquêteurs » sont rarement reconnus comme tels par les organismes d’application de la loi et ne peuvent donc pas s’assurer d’un droit légal d’accès à ces données. Les agences de protection de la vie privée n’ont que rarement été saisies de ce problème, bien qu’il ait occupé le devant de la scène dans la polémique sur l’accès aux données WHOIS qui a accaparé l’ICANN durant l’élaboration des services d’annuaire d’enregistrement RDS.
Au début de 2018, à l’approche de l’entrée en vigueur du nouveau RGPD, les instances de l’ICANN ont convenu d’un mécanisme provisoire interdisant la publication des données, mettant fin par le fait même aux travaux de l’équipe de spécialistes en politiques affectée aux services RDS. Dans la foulée, l’organisme a mis sur pied un nouveau groupe de travail chargé d’élaborer une politique qui respecterait la législation sur la vie privée tout en permettant un accès légitime aux données personnelles contenues dans le répertoire. Le 20 février 2019, ce groupe de travail a publié son premier rapport, lequel a ensuite été approuvé le 4 mars 2019 par le Conseil de l’Organisation de soutien aux politiques des noms génériques (GNSO) 4. La deuxième phase des travaux doit porter sur les mécanismes et les attributions liés à la communication de données personnelles à des tiers légitimes, les mêmes thèmes que ciblent nos recherches et nos recommandations.
S’inscrivant dans le contexte des nombreuses et intenses tractations au sein de l’ICANN provoquées par le besoin de se conformer aux exigences du RGPD, le présent projet de recherche comprend :
- L’étude de documents sur des normes qui pourraient aider à résoudre ce défi;
- L’organisation à Barcelone, en Espagne, d’un atelier en octobre 2018, au cours d’une session ordinaire de l’ICANN, pour étudier comment des normes pourraient aider à répondre aux exigences en matière de conformité;
- La consultation d’experts de l’ICANN et de la protection des données pour apprendre leur point de vue sur les défis et les possibilités de la normalisation;
- Une recherche plus poussée en fonction des résultats obtenus dans le cadre des trois premières activités, y compris l’élaboration possible de normes; et
- Le dépôt d’un rapport définitif comprenant des recommandations.
Nous tenons à préciser que cette recherche, menée d’avril 2018 au 31 mars 2019, s’est tenue pendant que l’ICANN s’employait fébrilement à étudier avec ses divers partenaires les incidences du RGPD, les conséquences de la fermeture du répertoire WHOIS et le besoin de concevoir rapidement de nouvelles politiques et des solutions technologiques viables. Les activités de l’ICANN ont évidemment eu un impact sur nos recherches. Peu de gens du milieu, hormis les intellectuels, s’intéressaient à des solutions théoriques comme l’élaboration par l’Organisation internationale de normalisation d’une nouvelle norme de confidentialité des données sous sa rubrique ISO 27002. L’entrée en scène du nouveau protocole d’accès aux données d’enregistrement (RDAP) élaboré par l’Internet Engineering Task Force (IETF) s’est vue accélérée par la mise sur pied en octobre 2018 d’un groupe d’étude technique sur l’accès aux données d’enregistrement non publiques 5. En parallèle, les tiers (dont les représentants gouvernementaux) qui n’avaient plus accès à ces données se penchaient sur la question et avaient saisi l’ICANN de leurs doléances.
La notion d’accès progressif suggérée depuis longtemps par les agences de protection de la vie privée ne ralliait pas suffisamment de suffrages au sein de l’ICANN à l’époque où le groupe de travail d’experts avait déposé son rapport en 2014, et ce malgré le fait que la conception du nouveau protocole RDAP de l’IETF allait justement en ce sens. Cependant, le nouveau groupe d’étude technique n’a pas perdu de temps et a démontré à l’hiver 2019 le bien-fondé de la mise en œuvre du RDAP, déposant son rapport à ce sujet le 6 mars 2019. Pendant que ce groupe se penchait sur le volet technique de l’accès aux données d’enregistrement à partir de dépôts protégés et répartis, nous nous sommes concentrés sur l’une des conclusions les plus intéressantes de notre atelier d’octobre : les fiducies de données.
Le résumé de l’atelier très couru que nous avons organisé en après-midi le 21 octobre dernier 6 se trouve ici. Les deux spécialistes provenant de la société civile canadienne qui ont participé aux travaux ont mis de l’avant une solution innovante aux défis d’un accès contrôlé aux données d’enregistrement. Après avoir étudié plusieurs autres grands répertoires problématiques de données personnelles auxquels des tiers souhaitent un accès en vrac, ces spécialistes nous ont suggéré d’élaborer avec la pleine participation des agences de protection de la vie privée des protocoles et des normes qui encadreraient une fiducie de données distincte et indépendante. Ce concept est relativement nouveau, mais il semble bien répondre aux exigences des articles 40 à 43 du RGPD, en plus de pouvoir s’appliquer à d’autres secteurs au Canada, comme les soins de santé, la vie branchée (maisons, villes et voitures intelligentes) et les données d’abonnés. Nous avons donc axé nos lectures sur ce concept.
Pendant ce temps, le groupe d’étude technique de l’ICANN a conçu un choix de modèles de travail pour la mise en œuvre du nouveau protocole RDAP, reposant sur la prémisse qu’il reviendrait à l’ICANN de gérer et de contrôler l’accès et la certification. Nos recherches visent à démontrer pourquoi pareille approche ne serait pas souhaitable d’un point de vue de politiques, en plus de proposer d’autres concepts reposant sur des normes de protection de la vie privée et la notion d’un fiduciaire indépendant.
- https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679
- https://whois.icann.org/sites/default/files/files/rds-final-report-06jun14-fr.pdf
- Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:31995L0046&from=fr
- https://www.icann.org/news/announcement-2019-03-04-fr
- https://www.icann.org/news/announcement-2018-12-14-fr
- https://63.schedule.icann.org/meetings/901739