Procédure de divulgation des données des contacts de nom de domaine.¶
Préambule :¶
Destinataires :¶
Ce document est à destination :
Des employés du Groupe Gandi susceptibles de devoir transmettre des données de contact de nom de domaine
Des tiers requérant des données de contact de nom de domaine
Des contacts de noms de domaine dont les données renseignées lors de l’enregistrement du nom de domaine peuvent être communiquées
Contexte :¶
Sauf « opt-in » de la part des contacts de nom de domaine, les données de ceux-ci sont masquées dans les réponses de Gandi à des requêtes « Whois », en conformité avec les règles édictées par l’ICANN ou les registres et les lois relatives à la protection des données à caractère personnel.
Toutefois, des tiers tels que définis dans le II, peuvent demander à ce que les informations de contact de nom de domaine leur soient divulguées.
Cette procédure encadre les modalités selon lesquelles Gandi divulgue ou non ces informations.
Champ d’application :¶
Cette procédure vise la seule divulgation des données des contacts de nom de domaine (propriétaire, administratif, technique, facturation, revendeur le cas échéant) masquées dans les réponses à des requêtes « Whois ».
Cette procédure ne vise pas :
la divulgation des données de contact des titulaires de services d’hébergement.
la divulgation des autres données collectées ou traitées (correspondances, logs d’adresses IP, etc.).
Ces informations sont protégées par le secret professionnel.
Cadre légal :¶
Le bureau d’enregistrement Gandi SAS étant une société enregistrée en France, celle-ci est soumise aux lois de ce pays et notamment la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, ainsi qu’au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018.
En tant que bureau d’enregistrement accrédité par l’ICANN, Gandi SAS est également soumise à l’«Accord d’accréditation des bureaux d’enregistrement» de 2013, auquel s’ajoute la « Spécification temporaire relative aux données d’enregistrement des gTLD » adoptée le 17 mai 2018 via les résolutions 2018.05.17.01 et 2018.05.17.09 du Conseil d’administration de l’ICANN.
D’autres règles spécifiques à certains TLD (notamment ccTLD) sont susceptibles de s’appliquer en fonction des extensions concernées, notamment concernant la divulgation des données des contacts de noms de domaine.
Cette procédure est adoptée conformément aux règles susmentionnées auxquelles Gandi SAS est soumise, ainsi qu’à ses Contrats et notamment sa Politique de Protection des Données Personnelles. Les Contacts de noms de domaine sont ainsi informés de ce que leurs données peuvent être divulguées. Une divulgation ne leur est cependant pas notifiée.
Le service « Whois » devant à terme être remplacé par celui dit de « RDAP » (Registration Data Access Protocol), implémentant un accès différencié en fonction de la qualité des requérants, cette procédure se veut avoir une démarche prospective.
Procédure :¶
Les demandes de divulgation de données doivent être adressées au service juridique de Gandi : legal@support.gandi.net. Conformément au principe de minimisation, seuls les champs de données spécifiquement demandés peuvent être divulgués.
Pour toute demande d’accès aux données d’enregistrement non publiques relatives aux domaines génériques de premier niveau (gTLD), vous pouvez également soumettre votre demande via le service de demande de données d’enregistrement (RDRS) de l’ICANN: https://www.icann.org/rdrs-en
I. Le contact visé par la demande est une personne morale¶
Les données de contact relatives aux personnes morales peuvent être divulguées librement à toute personne en faisant la demande, à l ‘exception des champs « Name » et « E-mail » dans la mesure où ils peuvent contenir des données à caractère personnel.
Exemple pour une demande de divulgation des données de contact du propriétaire de « [Company name] » :
Ici, le champ « Name » n’est pas divulgué, celui-ci contenant des données à caractère personnel.
Dans le cas où les champs « Name » et « E-mail » seraient génériques, ils sont susceptibles d’être également divulgués. Exemple pour une demande de divulgation des données de contact de l’« Admin » de « [Company name]» :
En cas d’ambiguïté sur le caractère personnel ou non de la donnée demandée, celle-ci sera considérée comme étant celle d’une personne physique, et donc Gandi appliquera la procédure relative à la divulgation des données d’une personne physique.
II. Le contact visé par la demande est une personne physique¶
Gandi distingue deux catégories de requérants :
Les tiers de confiance : les autorités des pays de l’Espace Économique Européen (EEE) ou d’un pays reconnu comme assurant un niveau de protection des données personnelles adéquat par la Commission européenne étant authentifiées comme telles ;
Les simples tiers : les autorités de pays hors EEE ou non-adéquat, détenteurs de droits de marque, CPI, partie à un litige, etc.
A. Le requérant est un tiers de confiance.¶
Gandi vérifie l’authenticité du requérant (documents joints, SPF, adresse IP, adresse e-mail, etc.). En cas de doute, ou refus de fournir des informations additionnelles, le requérant est considéré comme un simple tiers.
Les tiers de confiance peuvent formuler de simples demandes de divulgation à Gandi sans faire référence à un texte légal spécifique. L’intérêt légitime de leur demande est ici présumé.
Toutefois, le tiers de confiance devra justifier que sa demande n’est pas abusive. Le requérant devra par exemple mentionner le cadre de l’enquête ou du dossier (escroquerie, usurpation d’identité, etc.).
B. Le requérant est un simple tiers.¶
1. Nécessité d’identification¶
Tout tiers requérant la divulgation de données de contact de nom de domaine doit justifier de sa propre identité et de la qualité en laquelle il présente sa demande. En complément, toute personne agissant pour un tiers devra justifier d’une autorisation formelle dudit tiers. Gandi pourra demander toute pièce justificative complémentaire, à sa discrétion.
Seuls les avocats inscrits à un barreau sont dispensés de justifier d’une telle autorisation, qui est alors présumée du fait de leurs règles de déontologie.
2. Critères légaux¶
Lorsque le requérant est un simple tiers, il doit impérativement viser :
Les textes de lois applicables, et notamment les points pertinents du RGPD.
Dans le cas d’un gTLD, la Spécification Temporaire ;
Dans le cas d’un ccTLD, les règles du registre concerné autorisant la divulgation des données, si elles existent.
En tout état de cause, le requérant doit motiver sa demande en droit et en fait, afin de permettre à Gandi d’apprécier l’intérêt légitime du requérant.
3. Évaluation de la pertinence de la demande¶
Afin d’apprécier la pertinence de la demande, Gandi prend en compte de façon non-exhaustive : le nom de domaine en lui-même, l’utilisation qui en est éventuellement faite, le contenu vers lequel il pourrait pointer, ou encore le nombre de demandes de divulgation.
Gandi apprécie la pertinence de la demande à sa seule discrétion.