Procédure de divulgation des données des contacts de nom de domaine.

Préambule :

Destinataires :

Ce document est à destination :

  • Des employés du Groupe Gandi susceptibles de devoir transmettre des données de contact de nom de domaine
  • Des tiers requérant des données de contact de nom de domaine
  • Des contacts de noms de domaine dont les données qu’ils ont renseigné lors de l’enregistrement du nom de domaine peuvent être communiquées

Contexte :

Sauf « opt-in » de la part des contacts de nom de domaine, les données de ceux-ci sont masquées dans les réponses de Gandi à des requêtes « Whois », en conformité avec les règles édictées par l’ICANN ou les registres et les lois relatives à la protection des données à caractère personnel.

Toutefois, des tiers tels que définis dans le II, peuvent demander à ce que les informations de contact de nom de domaine leur soient divulguées.

Cette procédure encadre les modalités selon lesquelles Gandi divulgue ou non ces informations.

Champ d’application :

Cette procédure vise la seule divulgation des données des contacts de nom de domaine (propriétaire, administratif, technique, facturation, revendeur le cas échéant) masquées dans les réponses à des requêtes « Whois ».

Cette procédure ne vise pas :

  • la divulgation des données de contact des titulaires de services d’hébergement.
  • la divulgation des autres données collectées ou traitées (correspondances, logs d’adresses IP, etc.).

Ces informations sont protégées par le secret professionnel.

Procédure :

Les demandes de divulgation de données doivent être adressées au service juridique de Gandi : legal@support.gandi.net. Conformément au principe de minimisation, seuls les champs de données spécifiquement demandés peuvent être divulgués.

I. Le contact visé par la demande est une personne morale

Les données de contact relatives aux personnes morales peuvent être divulguées librement à toute personne en faisant la demande, à l ‘exception des champs « Name » et « Email » dans la mesure où ils peuvent contenir des données à caractère personnel.

Exemple pour une demande de divulgation des données de contact du propriétaire de « [Company name] » :

Données de contact non-publiques : Données susceptibles d’être divulguées :
Registrant Name: [Firstname Lastname]
Registrant Organization: [Company name]
Registrant Street: [Number/Street name]
Registrant City: [city name]
Registrant State/Province:
Registrant Postal Code: [postal code]
Registrant Country: [country code]
Registrant Phone: [phone number]
Registrant Phone Ext:
Registrant Fax: [fax number]
Registrant Fax Ext:
Registrant Email: [email address]
Registrant Organization: [Company name]
Registrant Street: [Number/Street name]
Registrant City: [city name]
Registrant State/Province:
Registrant Postal Code: [postal code]
Registrant Country: [country code]
Registrant Phone: [phone number]
Registrant Phone Ext:
Registrant Fax: [fax number]
Registrant Fax Ext:
Registrant Email: [email address]
| Registrant Email: [email address] | |

Ici, le champ « Name » n’est pas divulgué, celui-ci contenant des données à caractère personnel.

Dans le cas où les champs « Name » et « Email » seraient génériques, ils sont susceptibles d’être également divulgués. Exemple pour une demande de divulgation des données de contact de l’« Admin » de « [Company name]» :

Exemple pour une demande de divulgation des données de contact de l’« Admin » de « [Company name]» :
Admin Name: NOC [Company name]
Admin Organization: [Company name]
Admin Street: [Number/Street name]
Admin City: [city name]
Admin State/Province:
Admin Postal Code: [postal code]
Admin Country: [country code]
Admin Phone: [phone number]
Admin Phone Ext:
Admin Fax: [fax number]
Admin Fax Ext:
Admin Email: [generic email address]
| Admin Email: [generic email address] |

En cas d’ambiguïté sur le caractère personnel ou non de la donnée demandée, celle-ci sera considérée comme étant celle d’une personne physique, et donc Gandi appliquera la procédure relative à la divulgation des données d’une personne physique.

II. Le contact visé par la demande est une personne physique

Gandi distingue deux catégories de requérants :

  • Les tiers de confiance : les autorités des pays de l’Espace Économique Européen (EEE) ou d’un pays reconnu comme assurant un niveau de protection des données personnelles adéquat par la Commission européenne étant authentifiées comme telles ;
  • Les simples tiers : les autorités de pays hors EEE ou non-adéquat, détenteurs de droits de marque, CPI, partie à un litige, etc.

A. Le requérant est un tiers de confiance.

Gandi vérifie l’authenticité du requérant (documents joints, SPF, adresse IP, adresse e-mail, etc.). En cas de doute, ou refus de fournir des informations additionnelles, le requérant est considéré comme un simple tiers.

Les tiers de confiance peuvent formuler de simples demandes de divulgation à Gandi sans faire référence à un texte légal spécifique. L’intérêt légitime de leur demande est ici présumé.

Toutefois, le tiers de confiance devra justifier que sa demande n’est pas abusive. Le requérant devra par exemple mentionner le cadre de l’enquête ou du dossier (escroquerie, usurpation d’identité, etc.).

B. Le requérant est un simple tiers.

1. Nécessité d’identification

Tout tiers requérant la divulgation de données de contact de nom de domaine doit justifier de sa propre identité et de la qualité en laquelle il présente sa demande. En complément, toute personne agissant pour un tiers devra justifier d’une autorisation formelle dudit tiers. Gandi pourra demander toute pièce justificative complémentaire, à sa discrétion.

Seuls les avocats inscrits à un barreau sont dispensés de justifier d’une telle autorisation, qui est alors présumée du fait de leurs règles de déontologie.

2. Critères légaux

Lorsque le requérant est un simple tiers, il doit impérativement viser :

  • Les textes de lois applicables, et notamment les points pertinents du RGPD.
  • Dans le cas d’un gTLD, la Spécification Temporaire ;
  • Dans le cas d’un ccTLD, les règles du registre concerné autorisant la divulgation des données, si elles existent.

En tout état de cause, le requérant doit motiver sa demande en droit et en fait, afin de permettre à Gandi d’apprécier l’intérêt légitime du requérant.

3. Évaluation de la pertinence de la demande

Afin d’apprécier la pertinence de la demande, Gandi prend en compte de façon non-exhaustive : le nom de domaine en lui-même, l’utilisation qui en est éventuellement faite, le contenu vers lequel il pourrait pointer, ou encore le nombre de demandes de divulgation.

Gandi apprécie la pertinence de la demande à sa seule discrétion.