{"id":40,"date":"2019-03-29T03:03:54","date_gmt":"2019-03-29T03:03:54","guid":{"rendered":"https:\/\/privacystandards.ca\/?page_id=40"},"modified":"2019-03-30T18:24:59","modified_gmt":"2019-03-30T18:24:59","slug":"apercu-du-projet-delaboration-de-normes-dacces-aux-donnees-denregistrement-par-des-tiers","status":"publish","type":"page","link":"https:\/\/privacystandards.ca\/?page_id=40","title":{"rendered":"Aper\u00e7u du projet d\u2019\u00e9laboration de normes d\u2019acc\u00e8s aux donn\u00e9es d\u2019enregistrement par des tiers"},"content":{"rendered":"\n

Le pr\u00e9sent projet consistait \u00e0 effectuer des recherches et \u00e0 consulter des parties prenantes pour d\u00e9terminer la pertinence d\u2019\u00e9laborer des normes de certification professionnelle de sp\u00e9cialistes canadiens en cybers\u00e9curit\u00e9 et de tiers requ\u00e9rant l\u2019acc\u00e8s aux donn\u00e9es d\u2019enregistrement. Nous avons choisi de nous concentrer sur l\u2019Internet Corporation for Assigned Names and Numbers (ICANN) \u00e0 cause des efforts investis dans son adaptation aux exigences du nouveau R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es<\/em> <\/span>1<\/sup><\/a><\/span> (RGPD<\/em>) de l\u2019Union europ\u00e9enne. L\u2019ICANN publie depuis 20 ans un r\u00e9pertoire des d\u00e9tenteurs de noms de domaine appel\u00e9 WHOIS. Toutes les parties prenantes ayant un acc\u00e8s gratuit et facile aux donn\u00e9es de ce r\u00e9pertoire souhaitaient le conserver. Les instances qui n\u00e9gocient l\u2019inscription de noms de domaine sont les bureaux d\u2019enregistrement, alors que celles qui g\u00e8rent leur accessibilit\u00e9 sur Internet sont les op\u00e9rateurs de registre. Souhaitant maintenir cette facilit\u00e9 d\u2019acc\u00e8s, aucune de ces instances ne voulait contrevenir au RGPD<\/em> ni s\u2019exposer aux amendes qui en d\u00e9couleraient. Le pr\u00e9sent projet constituait donc une bonne \u00e9tude de cas pour l\u2019application de normes de protection de la vie priv\u00e9e.<\/p>\n\n\n\n

Soci\u00e9t\u00e9 sans but lucratif, l\u2019ICANN a \u00e9t\u00e9 cr\u00e9\u00e9e en 1998 pour g\u00e9rer l\u2019attribution des noms de domaine utilis\u00e9s par les sites Web et les adresses courriel, ainsi que les adresses IP num\u00e9riques correspondant aux sites Web. Les principaux utilisateurs des donn\u00e9es personnelles contenues dans le r\u00e9pertoire WHOIS sont les organismes d\u2019application de la loi, les entreprises de s\u00e9curit\u00e9 informatique qui luttent contre le cybercrime et la diffusion de logiciels malveillants, ainsi que les agences de propri\u00e9t\u00e9 intellectuelle responsables de la protection d\u2019int\u00e9r\u00eats commerciaux et des marques de commerce. La commercialisation d\u2019Internet s\u2019est accompagn\u00e9e d\u2019une croissance de la cybercriminalit\u00e9, notamment sous forme de pourriels, d\u2019hame\u00e7onnage et de vol d\u2019identit\u00e9. Ce sont principalement les experts du secteur priv\u00e9 en s\u00e9curit\u00e9 informatique qui lui font la lutte, recourant fr\u00e9quemment pour ce faire au r\u00e9pertoire WHOIS, d\u2019acc\u00e8s public. Ce r\u00e9pertoire, ou sa plus r\u00e9cente version de services d\u2019annuaire d\u2019enregistrement (RDS), contient les donn\u00e9es personnelles de tous les d\u00e9tenteurs de noms de domaine Internet. Il permet notamment d\u2019emp\u00eacher les abus en rendant possible la v\u00e9rification de l\u2019identit\u00e9 d\u2019un d\u00e9tenteur de nom de domaine ou d\u2019un op\u00e9rateur de site Web soup\u00e7onn\u00e9 de diffuser des logiciels malveillants ou de coordonner des attaques ciblant d\u2019autres utilisateurs d\u2019Internet. Cependant, les personnes effectuant ces v\u00e9rifications sont rarement autoris\u00e9es par la loi \u00e0 obtenir l\u2019acc\u00e8s \u00e0 des renseignements personnels. La facilit\u00e9 d\u2019acc\u00e8s aux donn\u00e9es WHOIS oppose donc les agences de protection de la vie priv\u00e9e et l\u2019ICANN depuis sa cr\u00e9ation pour g\u00e9rer le syst\u00e8me des noms de domaine (DNS).<\/p>\n\n\n\n

Or, l\u2019entr\u00e9e en vigueur du R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es<\/em> en Europe en mai 2018 a pouss\u00e9 les bureaux d\u2019enregistrement (qui n\u00e9gocient la vente des noms de domaine) \u00e0 couper tout acc\u00e8s aux donn\u00e9es WHOIS pour \u00e9viter l\u2019imposition d\u2019amendes sal\u00e9es. En 2014, un groupe de travail d\u2019experts <\/span>2<\/sup><\/a><\/span> a recommand\u00e9 de ne plus publier les donn\u00e9es des d\u00e9tenteurs dans WHOIS, mais de plut\u00f4t recourir \u00e0 des technologies permettant de mieux prot\u00e9ger la vie priv\u00e9e des d\u00e9tenteurs en n\u2019accordant qu\u2019\u00e0 des utilisateurs autoris\u00e9s un acc\u00e8s progressif aux donn\u00e9es personnelles. Cependant, les parties prenantes ont oppos\u00e9 plusieurs arguments \u00e0 la mise en \u0153uvre de cette recommandation, notamment un manque de s\u00e9rieux face aux lois sur la protection de la vie priv\u00e9e. C\u2019est par contre l\u2019impossibilit\u00e9 d\u2019en arriver \u00e0 des crit\u00e8res d\u2019admissibilit\u00e9 et \u00e0 une liste de fins l\u00e9gitimes en lien avec l\u2019acc\u00e8s aux donn\u00e9es personnelles qui a pes\u00e9 le plus lourd dans la balance. La certification des requ\u00e9rants, les m\u00e9canismes d\u2019approbation des demandes et le respect des normes professionnelles de protection des donn\u00e9es personnelles pourraient constituer une solution innovante d\u00e9riv\u00e9e de la longue tradition de chef de file du Canada en mati\u00e8re de protection de la vie priv\u00e9e. Ces nouvelles normes, ax\u00e9es sur des pratiques de gestion de la s\u00e9curit\u00e9 et de la vie priv\u00e9e, permettraient \u00e0 des tiers, dont les organismes d\u2019application de la loi et les responsables d\u2019enqu\u00eates sur la propri\u00e9t\u00e9 intellectuelle, d\u2019obtenir une certification et de pouvoir ainsi utiliser ces donn\u00e9es personnelles dans le cadre de leur travail tout en mettant sur pied des syst\u00e8mes de r\u00e9putation sur la base de renseignements personnels et d\u2019une analyse du trafic Internet.<\/p>\n\n\n\n

Internet n\u2019a bien s\u00fbr que faire des fronti\u00e8res g\u00e9ographiques, et nombreuses sont les entreprises canadiennes qui se sont d\u00e9j\u00e0 engag\u00e9es \u00e0 respecter le nouveau RGPD<\/em>. Plusieurs des plus gros bureaux d\u2019enregistrement de la plan\u00e8te sont au Canada, ce qui permettrait dans le cadre d\u2019une certification d\u2019autoriser, en conformit\u00e9 avec la Loi sur la protection des renseignements personnels et les documents \u00e9lectroniques<\/em> (LPRPDE<\/em>), un acc\u00e8s automatique et authentifi\u00e9 \u00e0 certains renseignements personnels des d\u00e9tenteurs enregistr\u00e9s. Ceci contribuerait \u00e0 accro\u00eetre la reddition de comptes et la transparence attendue des responsables luttant au Canada contre le cybercrime et les autres formes de transgression en ligne.<\/p>\n\n\n\n

Les agences de protection de la vie priv\u00e9e s\u2019int\u00e9ressent depuis longtemps aux normes comme outil de conformit\u00e9 \u00e0 la loi. Les agences des pays membres de l\u2019Union europ\u00e9enne ont assid\u00fbment particip\u00e9 aux rencontres notamment du Groupe de travail \u00ab article 29 \u00bb et harmonis\u00e9 leurs r\u00e9ponses \u00e0 celles des lois nationales sur la vie priv\u00e9e en vigueur en Europe qui se conformaient \u00e0 la Directive 95\/46\/CE sur la protection des donn\u00e9es <\/span>3<\/sup><\/a><\/span>. D\u2019autres ont pour leur part appuy\u00e9 les travaux du Groupe de travail international sur la protection des donn\u00e9es dans les t\u00e9l\u00e9communications, surnomm\u00e9 \u00ab Groupe de Berlin \u00bb. Ces deux groupes se sont entendus pour souhaiter l\u2019instauration de normes de conformit\u00e9 aux lois sur la protection des donn\u00e9es personnelles et le respect d\u2019exigences en mati\u00e8re de s\u00e9curit\u00e9. Nous avons r\u00e9sum\u00e9 dans notre rapport leurs documents les plus pertinents, et fourni les liens n\u00e9cessaires dans le r\u00e9sum\u00e9 de notre analyse. [lien dynamique]<\/p>\n\n\n\n

Les articles 40 \u00e0 43 du nouveau RGPD<\/em> traitent de l\u2019\u00e9laboration, de l\u2019approbation et du suivi de codes de conduite, ainsi que des m\u00e9canismes de certification aff\u00e9rents, toutes activit\u00e9s valid\u00e9es par les agences pertinentes de protection de la vie priv\u00e9e sans pour autant emp\u00eacher ces derni\u00e8res de s\u2019acquitter de leurs autres obligations officielles. Ces dispositions l\u00e9gislatives illustrent le type de processus d\u2019\u00e9laboration de normes que nous jugeons utile pour d\u00e9bloquer l\u2019impasse \u00e0 l\u2019ICANN en lien avec l\u2019acc\u00e8s aux donn\u00e9es WHOIS.<\/p>\n\n\n\n

Notre proposition initiale \u00e9tait donc d\u2019\u00e9tudier la situation qui pr\u00e9vaut \u00e0 l\u2019ICANN, puis d\u2019organiser un atelier dans le cadre de la rencontre annuelle tenue en octobre 2018 \u00e0 Barcelone, en Espagne, avant de mener des consultations aupr\u00e8s des parties prenantes sur les normes qu\u2019ils souhaiteraient et leur application. \u00c9tant donn\u00e9 l\u2019int\u00e9r\u00eat qui en est r\u00e9sult\u00e9, nous avons aussi offert de pr\u00e9parer un rapport de besoins et d\u2019en saisir des organismes d\u2019\u00e9laboration de normes pour qu\u2019ils en arrivent \u00e0 de nouvelles en mati\u00e8re de protection de la vie priv\u00e9e.<\/p>\n\n\n\n

Dans l\u2019entretemps, le d\u00e9bat s\u2019est poursuivi sur les donn\u00e9es WHOIS et les services d\u2019annuaire d\u2019enregistrement. Le rapport de 2014 du groupe de travail d\u2019experts a men\u00e9 \u00e0 la mise sur pied d\u2019une \u00e9quipe de sp\u00e9cialistes en politiques qui ont discut\u00e9 de 2016 \u00e0 2018 de la possibilit\u00e9 d\u2019acc\u00e9der aux donn\u00e9es \u00e0 des fins l\u00e9gitimes tout en prot\u00e9geant la vie priv\u00e9e des d\u00e9tenteurs de noms de domaine et des personnes impliqu\u00e9es dans le processus de leur enregistrement.<\/p>\n\n\n\n

C\u2019est d\u00e9sormais au secteur priv\u00e9 qu\u2019incombe la t\u00e2che de lutter contre les comportements malveillants sur Internet, soit les attaques automatis\u00e9es qui sont son lot. Pour leur part, les organismes gouvernementaux d\u2019application de la loi se concentrent sur une criminalit\u00e9 plus grave, comme le trafic de personnes ou le blanchiment d\u2019argent, et ont abandonn\u00e9 aux entreprises de t\u00e9l\u00e9communication et aux fournisseurs de services Internet le soin de s\u2019occuper de la s\u00e9curit\u00e9 des r\u00e9seaux. Certaines instances se sont cr\u00e9\u00e9es pour r\u00e9pondre \u00e0 la demande, tel l\u2019Anti-Phishing Working Group (APWG)<\/a>, un organisme priv\u00e9 sans but lucratif qui s\u2019est donn\u00e9 pour mandat de colliger le plus d\u2019informations possible sur les menaces et de r\u00e9soudre rapidement et de fa\u00e7on collaborative toute faille de s\u00e9curit\u00e9. Les sp\u00e9cialistes en cybercriminalit\u00e9 peuvent travailler pour de grandes soci\u00e9t\u00e9s informatiques comme Microsoft ou Symantec, pour des entreprises de t\u00e9l\u00e9communication ou des fournisseurs de services Internet comme Rogers ou Bell Canada, ou \u00e0 leur compte de leur domicile. Certaines analyses exigent de pouvoir acc\u00e9der \u00e0 des donn\u00e9es personnelles, mais ces \u00ab enqu\u00eateurs \u00bb sont rarement reconnus comme tels par les organismes d\u2019application de la loi et ne peuvent donc pas s\u2019assurer d\u2019un droit l\u00e9gal d\u2019acc\u00e8s \u00e0 ces donn\u00e9es. Les agences de protection de la vie priv\u00e9e n\u2019ont que rarement \u00e9t\u00e9 saisies de ce probl\u00e8me, bien qu\u2019il ait occup\u00e9 le devant de la sc\u00e8ne dans la pol\u00e9mique sur l\u2019acc\u00e8s aux donn\u00e9es WHOIS qui a accapar\u00e9 l\u2019ICANN durant l\u2019\u00e9laboration des services d\u2019annuaire d\u2019enregistrement RDS.<\/p>\n\n\n\n

Au d\u00e9but de 2018, \u00e0 l\u2019approche de l\u2019entr\u00e9e en vigueur du nouveau RGPD<\/em>, les instances de l\u2019ICANN ont convenu d\u2019un m\u00e9canisme provisoire interdisant la publication des donn\u00e9es, mettant fin par le fait m\u00eame aux travaux de l\u2019\u00e9quipe de sp\u00e9cialistes en politiques affect\u00e9e aux services RDS. Dans la foul\u00e9e, l\u2019organisme a mis sur pied un nouveau groupe de travail charg\u00e9 d\u2019\u00e9laborer une politique qui respecterait la l\u00e9gislation sur la vie priv\u00e9e tout en permettant un acc\u00e8s l\u00e9gitime aux donn\u00e9es personnelles contenues dans le r\u00e9pertoire. Le 20 f\u00e9vrier 2019, ce groupe de travail a publi\u00e9 son premier rapport, lequel a ensuite \u00e9t\u00e9 approuv\u00e9 le 4 mars 2019 par le Conseil de l\u2019Organisation de soutien aux politiques des noms g\u00e9n\u00e9riques (GNSO) <\/span>4<\/sup><\/a><\/span>. La deuxi\u00e8me phase des travaux doit porter sur les m\u00e9canismes et les attributions li\u00e9s \u00e0 la communication de donn\u00e9es personnelles \u00e0 des tiers l\u00e9gitimes, les m\u00eames th\u00e8mes que ciblent nos recherches et nos recommandations.<\/p>\n\n\n\n

S\u2019inscrivant dans le contexte des nombreuses et intenses tractations au sein de l\u2019ICANN provoqu\u00e9es par le besoin de se conformer aux exigences du RGPD<\/em>, le pr\u00e9sent projet de recherche comprend :<\/p>\n\n\n\n