Le service WHOIS, annuaire historique des noms de domaine, est au cœur d’un débat réglementaire et technique. Le RGPD et les évolutions techniques modifient profondément la disponibilité des données des titulaires. Ce dossier met en perspective l’arrivée du RDAP et les choix des registrars comme OVH et Gandi.
Les registres européens, notamment AFNIC et EURid, adaptent leurs pratiques pour mieux protéger les personnes physiques. Selon ICANN, la migration vers RDAP vise une structuration et un contrôle d’accès plus fins. Retrouvez maintenant les éléments essentiels dans la rubrique A retenir :
Masquage par défaut des données personnelles des titulaires de domaines
Accès différencié et restreint pour autorités judiciaires et titulaires légitimes
Remplacement progressif du service WHOIS par le protocole RDAP sécurisé
RDAP, progrès technique et cadre réglementaire du WHOIS
Après les éléments synthétiques, il faut détailler le rôle du RDAP dans la modernisation des accès au WHOIS. Selon ICANN, RDAP offre des réponses structurées et des contrôles d’accès authentifiés, adaptés au RGPD. Ce progrès technique impose aux registrars et registres des choix opérationnels précis et traçables.
Genèse et rôle du RDAP pour l’accès aux données
Ce point explique l’origine du RDAP et ses objectifs pour structurer les réponses. RDAP standardise les formats en JSON et facilite l’authentification des requêtes auprès des registres.
Caractéristique
WHOIS
RDAP
Structuration
Formats hétérogènes historiques
Réponses structurées en JSON
Contrôle d’accès
Accès public souvent libre
Accès différencié et authentifié
Sécurité
Protocole sans chiffrement natif
HTTPS et authentification possibles
Conformité RGPD
Masquage partiel et hétérogène
Accès restreint, journalisation et audits
Journalisation
Souvent limitée et non standardisée
Journalisation systématique pour audits
Points techniques essentiels : RDAP oblige à repenser les API et la gestion des identifiants. La sécurisation des flux et la journalisation deviennent des obligations opérationnelles pour les registrars.
Structuration en JSON pour RDAP
Contrôle d’accès par authentification forte
HTTPS obligatoire pour requêtes externes
Journalisation des accès pour audits
Traçabilité et contrôle d’accès dans RDAP
Ce volet montre comment RDAP trace et authentifie chaque requête pour renforcer la conformité. Selon CNIL, la journalisation et l’audit sont essentiels pour respecter le RGPD et les droits. Cette traçabilité prépare la hiérarchisation des accès aux données selon le profil des requérants.
« J’ai demandé l’accès aux coordonnées pour une réclamation de marque, la procédure était stricte mais claire. »
Alice B.
Accès différencié et vérification des données WHOIS
Parce que RDAP renforce la traçabilité, l’accès aux données devient hiérarchisé selon le requérant. Selon ICANN, seuls les utilisateurs accrédités ou les autorités obtiendront un affichage complet des coordonnées. Nous examinons ici les critères d’accès et les preuves demandées pour obtenir les informations.
Critères d’accès et identification des requérants
Ce sous-chapitre détaille qui peut prétendre à un accès complet et sous quelles conditions. Autorités judiciaires, titulaires prouvant un droit, et enquêtes de sécurité figurent parmi les motifs acceptés. Selon CNIL, l’intérêt légitime doit être documenté et proportionné avant toute divulgation de données.
Critères légitimes requis :
Mandat judiciaire ou procédure légale
Justificatif d’intérêt légitime documenté
Preuve d’identité robuste du requérant
Démonstration d’enquête de sécurité cyber avérée
Niveaux d’accès selon le type de requérant
Ce point illustre la hiérarchie des accès en pratique pour les registrars et autorités. Le public non authentifié obtiendra une version anonymisée des données techniques seulement. Les titulaires et autorités auront des accès complets sur justificatif et mandat légal.
Type de requérant
Niveau d’accès
Conditions
Public non authentifié
Accès limité
Affichage technique et anonymisé
Titulaire du domaine
Accès complet
Preuve d’identité et justificatif
Autorités publiques
Accès complet
Mandat ou procédure légale
Parties légitimes privées
Accès conditionnel
Preuve d’intérêt légitime requise
« J’utilise le service privacy d’OVHcloud depuis des années, il réduit le démarchage non sollicité. »
Marc L.
Ce découpage met en lumière la responsabilité accrue des registrars dans la mise en œuvre. Selon AFNIC, des mécanismes de diffusion restreinte ont montré leur efficacité pour les personnes physiques. L’enjeu suivant porte sur la conformité opérationnelle et les services proposés par les registrars.
Responsabilités des registrars et contrôle juridique du WHOIS
Ainsi que le découpage l’indique, les registrars voient leurs obligations encadrées juridiquement et opérationnellement. Selon AFNIC et OVH, les bonnes pratiques incluent vérification d’identité et durée limitée de conservation. Nous passons aux outils concrets, aux sanctions possibles et aux services de privacy proposés.
Services de privacy et limites pratiques
Ce segment examine les offres comme Whois Privacy Service et leurs contraintes en pratique. Selon OVH et Gandi, des services de redirection d’e-mails réduisent le démarchage sans garantir l’anonymat total. Le proxy registration transfère la responsabilité légale au tiers et présente des risques juridiques notables.
Options de protection disponibles :
Substitution d’adresse postale et email
Redirection de courriers et protection anti-spam
Proxy registration avec responsabilité tierce
Service gratuit selon certaines extensions
« En procédure judiciaire la levée d’anonymat s’est révélée nécessaire et justifiée. »
Sophie R.
Contrôles, conformité et procédures de levée d’anonymat
Ce point précise les responsabilités en cas de demande de divulgation et de contrôle par la CNIL. Les registrars doivent vérifier l’identité, limiter les durées de conservation et informer systématiquement le titulaire. En procédure judiciaire, la levée d’anonymat peut être nécessaire, ce qui engage des obligations précises pour chaque acteur.
« La normalisation de l’accès, tout en protégeant les individus, reste la voie raisonnable à privilégier. »
Paul D.
Source : Lexology, « Fin du Whois, remplacé par le RDAP », Lexology ; ZDNet, « WHOIS et RGPD », ZDNet ; OVHcloud, « Le Whois remis en cause par le RGPD », OVHcloud Blog.
