Article 29 Groupe de protection des données

Transcription

1 Article 29 Groupe de protection des données 10972/03/FR final WP 76 Avis 2/2003 concernant l'application des principes de protection des données aux annuaires «Whois» Adopté le 13 juin 2003 Le groupe de travail a été établi en vertu de l'article 29 de la directive 95/46/CE. Il s'agit d'un organe consultatif européen indépendant sur la protection des données et de la vie privée. Ses missions sont définies à l'article 30 de la directive 95/46/CE et à l'article 14 de la directive 97/66/CE. Le secrétariat est assuré par la Commission européenne, DG Marché intérieur, Direction E "Services, Propriété Intellectuelle et Industrielle, Médias et Protection des Données", B-1049 Bruxelles - Belgique - Bureau: C100-6/136 Adresse Internet:

2 Avis concernant l'application des principes de protection des données aux annuaires «Whois» LE GROUPE DE TRAVAIL SUR LA PROTECTION DES PERSONNES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL institué par la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre , vu les articles 29 et 30, paragraphes 1 (a) et 3 de ladite directive et l article 14, paragraphe 3 de la directive 97/66/CE du Parlement européen et du Conseil, du 15 décembre 1997, vu son règlement intérieur, et notamment les articles 12 et 14 de ce dernier, a adopté le présent avis: 1. Introduction: Les annuaires «Whois» soulèvent plusieurs problèmes liés à la protection des données. Les données «Whois» se rapportent aux personnes ou entités ayant enregistré un nom de domaine. Elles contiennent des informations spécifiques relatives à l identité du point de contact pour le nom de domaine concerné, en ce compris le numéro de téléphone, l adresse électronique et d autres données à caractère personnel. Depuis le début, ces données sont mises à la disposition du public afin de permettre aux opérateurs de réseaux de contacter, en cas de problème technique, la personne responsable d un autre réseau ou d un autre domaine. Cette finalité est en soi légitime. Le groupe de travail est conscient de l importance grandissante du débat autour des données «Whois», dans la mesure où de plus en plus de particuliers enregistrent leur propre nom de domaine et où des plaintes ont été déposées quant à l utilisation abusive des données «Whois» dans plusieurs pays. Comme nous l expliquerons plus en détail cidessous, l'enregistrement de noms de domaine par des particuliers suscite des interrogations juridiques différentes par rapport à l'enregistrement de noms de domaine par des sociétés ou d'autres personnes morales. Le groupe de travail a dès lors suivi avec intérêt les travaux de la task-force «Whois» de l ICANN ainsi que les travaux entrepris dans ce domaine par le groupe de travail international sur la protection des données dans le secteur des télécommunications 2. Le groupe de travail a appris qu un débat autour des données «Whois» aura lieu dans le cadre de la conférence de l ICANN/GAC qui se tiendra à Montréal à la fin du mois de juin. Le groupe de travail tient à contribuer à ce débat à travers le présent avis dont l'objectif est d'identifier un certain nombre de questions fondamentales soulevées par l'application des principes de protection des données aux annuaires «Whois». Le présent 1 2 Journal officiel n o L 281 du , p. 31, disponible à l adresse suivante: Position commune concernant les aspects liés à la vie privée et à la protection des données de l enregistrement de noms de domaine sur l internet, adoptée lors de la 27 e réunion du groupe de travail les 4 et 5 mai 2000 à Rethymnon / Crète, disponible à l adresse 2

3 avis porte principalement sur les annuaires «Whois»; ceci dit, ces mêmes considérations s appliquent à d autres registres de noms de domaine et adresses IP au niveau régional - tels que RIPE pour l Europe, AP-NIC pour l Asie, etc. - pour autant que le contexte qui s y rapporte soit identique ou approchant. 2. Application des principes de protection des données aux annuaires «Whois»: Du point de vue de la protection des données, il est essentiel de déterminer très explicitement la finalité première du système «Whois» ainsi que la ou les finalité(s) pouvant être considérée(s) comme légitime(s) et compatible(s) avec cette finalité première. Les rapports de la task-force «Whois» n ont pas réussi à répondre à ces questions. Il s agit là d un point extrêmement délicat dans la mesure où la finalité des annuaires «Whois» ne peut s étendre à d autres finalités simplement parce que celles-ci sont considérées souhaitables par certains utilisateurs potentiels de ces annuaires. L une des finalités pouvant découler de problèmes de protection (compatibilité) des données serait par exemple l utilisation des données par des acteurs du secteur public appelés à «gendarmer» eux-mêmes en raison de violations présumées de leurs droits, notamment dans le domaine de la gestion des droits numériques. L article 6(c) de la directive pose des limites explicites à la collecte et au traitement des données à caractère personnel, ces données devant notamment être pertinentes et non excessives au regard des finalités spécifiques pour lesquelles elles sont collectées ou traitées. Dès lors, il est essentiel de limiter le volume de données personnelles à collecter et traiter. Il convient de s en souvenir tout particulièrement lorsque l on considère le souhait de certaines parties d accroître l uniformité des différents annuaires «Whois». L enregistrement de noms de domaine par des particuliers suscite des interrogations juridiques différentes par rapport à l enregistrement de noms de domaine par des sociétés ou d autres personnes morales. - Dans le premier cas, la publication de certaines informations concernant la société ou l organisation (telles que les données d identification et l adresse physique) est exigée par la loi dans le cadre des activités commerciales ou professionnelles exercées par cette société ou organisation. Toutefois, il convient de souligner que, même lorsque des noms de domaine sont enregistrés par des sociétés ou des organisations, aucune personne physique ne peut être obligée à divulguer son nom en tant que point de contact, et cela en raison de son droit d opposition. - Dans le second cas, à savoir lorsqu un particulier enregistre un nom de domaine, la situation est différente. En effet, s il ne fait pas de doute que les données d identification et de contact doivent être connues du fournisseur de services concerné, juridiquement parlant, rien ne justifie la publication obligatoire des données personnelles relatives à cette personne. La publication des données personnelles de particuliers, par exemple leur adresse et leur numéro de téléphone, entrerait en contradiction avec leur droit de décider si les données à caractère personnel les concernant, et lesquelles de ces données, doivent figurer dans un annuaire public 3. La finalité initiale des annuaires «Whois» peut quand même être préservée étant donné que les informations relatives à la personne sont 3 Article 12.2 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive "vie privée et communications électroniques"). 3

4 portées à la connaissance du FSI, lequel peut contacter la personne en cas de problème lié au site 4. Compte tenu du principe de proportionnalité, il convient de privilégier des méthodes moins invasives à même de servir la finalité des annuaires «Whois» sans que l ensemble des données ne soient directement disponibles en ligne à tout un chacun. Comme nous l avons déjà indiqué dans l introduction, les fournisseurs de services internet peuvent jouer, et jouent d ailleurs, un rôle important à cet égard dans certains pays. Quoi qu il en soit, il faudrait mettre en place des mécanismes de filtrage dans le but de contrôler l utilisation faite des données dans les interfaces d accès aux annuaires. Le fait que des données personnelles soient à la disposition du public ne signifie pas que les exigences de la directive relative à la protection des données ne s appliquent pas à ces données. Au contraire, comme le groupe de travail l a déjà souligné dans des avis antérieurs 5, la législation en matière de protection des données montre très clairement, à travers sa formulation, qu elle s applique aux données à caractère personnel mises à la disposition du public: même après avoir été rendues publiques, les données personnelles conservent ce caractère personnel et, partant, les personnes concernées ne peuvent être privées de la protection à laquelle elles ont droit eu égard au traitement de leurs données. Le groupe de travail s inquiète particulièrement des propositions visant à multiplier les fonctionnalités de recherche dans les bases de données «Whois». Dans ce contexte, il tient à mettre en évidence les conclusions de son avis 5/2000 concernant l utilisation des annuaires publics pour des services de recherche inversée ou multi-critère (annuaires par numéros) 6 : le traitement des données à caractère personnel dans les annuaires par numéros ou les services de recherche multi-critère sans le consentement informé et sans ambiguïté de la personne est abusif et illégal. Le groupe de travail tient à apporter son soutien aux propositions concernant la précision des données (qui figure également parmi les principes de la directive européenne sur la protection des données 7 ) et la limitation de l accès en masse (bulk access) à des fins de prospection directe. L utilisation massive de données «Whois» à des fins de prospection directe ne correspond en rien à la finalité pour laquelle les annuaires ont été créés et sont maintenus. En vertu des dispositions visées dans la directive sur les communications électroniques 8, toute utilisation d adresses électroniques à des fins de prospection directe ne peut se faire qu avec le consentement de la personne intéressée. Le groupe de travail encourage l ICANN et la communauté «Whois» à trouver des modes de gestion des annuaires «Whois» qui respectent davantage la vie privée et les droits des particuliers tout en sauvegardant la finalité première de ces annuaires Plusieurs pays tels que la France (via l AFNIC) et le Royaume-Uni ont eu recours à ce système. Au Royaume-Uni, par exemple, les titulaires particuliers de noms de domaine (tag-holders) peuvent laisser leur inscription à la base de données «Whois» aux bons soins de leur FSI; de ce fait, si une personne rencontre un problème sur un site web, celle-ci peut contacter son propriétaire par l intermédiaire du FSI, sans que l adresse du titulaire du nom de domaine, etc., n ait à apparaître sur un annuaire public. Avis 3/99 concernant l information émanant du secteur public et la protection des données à caractère personnel, WP Cf. article 6(d) de la directive. Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive "vie privée et communications électroniques"). 4

5 Dans tous les cas, tout particulier devrait avoir la possibilité d enregistrer un nom de domaine sans que ses données personnelles ne soient divulguées dans un annuaire public. Pour le groupe de travail Le président Stefano RODOTA 5