Le Whois, annuaire historique des noms de domaine, se trouve au cœur d’un changement majeur. L’équilibre entre transparence et protection des données a été redéfini par le RGPD et par de nouvelles normes techniques.
Depuis janvier 2025 le protocole RDAP est devenu la référence pour l’accès aux données d’enregistrement. Ces évolutions imposent des choix opérationnels aux registrars, aux registres et aux autorités, et préparent la synthèse suivante.
RDAP, progrès technique et cadre réglementaire du WHOIS
Après la synthèse, la modernisation technique a favorisé le remplacement du WHOIS par RDAP. Selon ICANN cette démarche vise une meilleure structuration et un contrôle d’accès renforcé pour répondre au EU GDPR et aux exigences locales.
Genèse et rôle du RDAP pour l’accès aux données
Ce sous-ensemble technique justifie des réponses structurées et des codes d’accès plus précis. Le RDAP permet d’authentifier les requérants et de tracer chaque requête pour améliorer la conformité.
Caractéristique
WHOIS
RDAP
Structuration
Historique, formats hétérogènes
Réponses structurées en JSON
Contrôle d’accès
Accès public souvent libre
Accès différencié et authentifié
Sécurité
Protocole sans chiffrement natif
HTTPS et authentification possibles
Conformité RGPD
Masquage partiel et hétérogène
Accès restreint, journalisation et audits
Éléments techniques essentiels : Cette liste fournit des points concrets à garder en tête lors de la migration vers RDAP. Elle met l’accent sur les gains de sécurité et les obligations nouvelles pour les opérateurs techniques.
Structuration en JSON pour RDAP
Contrôle d’accès par authentification forte
HTTPS obligatoire pour les requêtes externes
Journalisation des accès pour audits
Accès différencié et vérification des données WHOIS
Parce que les obligations techniques ont changé, l’accès aux données se hiérarchise désormais entre catégories d’acteurs. Selon CNIL le RGPD impose des critères stricts pour la divulgation des informations personnelles aux tiers.
Critères d’accès et identification des requérants
Ce thème précise qui peut obtenir l’identité d’un titulaire sous conditions et selon les règles locales. Selon ICANN l’accès complet est réservé à des utilisateurs accrédités, à des autorités ou à des titulaires de droits avérés.
Critères d’accès légitimes : Ces critères servent à évaluer la légitimité d’une demande d’accès aux données sensibles. Ils incluent des justificatifs, l’identification robuste et la démonstration d’un intérêt légitime ou d’une obligation légale.
Autorités judiciaires et forces de l’ordre
Titulaire prouvant un droit protégé
Investigations de sécurité cyber avérées
Requêtes avec justification écrite traçable
Type de requérant
Niveau d’accès
Conditions
Public non authentifié
Accès limité
Affichage technique et anonymisé
Titulaire du domaine
Accès complet
Preuve d’identité et justificatif
Autorités publiques
Accès complet
Mandat ou procédure légale
Parties légitimes privées
Accès conditionnel
Preuve d’intérêt légitime requise
« J’ai demandé l’accès aux coordonnées pour une réclamation de marque, la procédure était stricte mais claire. »
Alice B.
Ces dispositions renvoient aux responsabilités des registrars et aux services d’anonymisation qu’ils proposent. Selon EURid et AFNIC certaines extensions nationales ont anticipé des mécanismes de diffusion restreinte efficaces en pratique.
Responsabilités des registrars et bonnes pratiques conformes
Étant donné les règles d’accès, les registrars adaptent leurs process et services pour garantir conformité et service. Selon AFNIC des mécanismes comme la diffusion restreinte ont fait leurs preuves en Europe et inspirent des pratiques locales.
Services d’anonymisation et limites pratiques
Ce point explique l’offre de privacy et ses limites opérationnelles pour les titulaires de domaines. Gandi et OVHcloud proposent des services de protection qui substituent leurs coordonnées aux titulaires, réduisant ainsi le démarchage.
Options de protection disponibles : Ces options varient selon les extensions et selon les règles du registre concerné. Elles peuvent être gratuites pour certains ccTLD ou payantes et partiellement protectrices pour certains gTLD.
Substitution d’adresse postale et email
Redirection de courriers et protection anti-spam
Proxy registration avec responsabilité tierce
Service gratuit selon certaines extensions
« J’utilise le service privacy d’OVHcloud depuis des années, il réduit le démarchage non sollicité. »
Marc L.
Registrar / Registre
Type
Anonymisation offerte
AFNIC
Registre ccTLD (.fr)
Diffusion restreinte par défaut pour personnes physiques
EURid
Registre ccTLD (.eu)
Options de diffusion restreinte selon règle locale
OVHcloud
Registrar
Service OWO de redirection et anonymisation partielle
Gandi
Registrar
Protection de contact et substitution d’e-mail
Conformité, responsabilités et contrôle juridique
En conséquence les obligations légales pèsent sur plusieurs acteurs selon leurs rôles respectifs. La Loi Informatique et Libertés complète le RGPD pour définir les procédures nationales en France et les obligations d’information.
Contrôles et responsabilités : Ces contrôles concernent la vérification d’identité, la limitation des durées de conservation et la justification des traitements. L’ARCEP et la CNIL peuvent intervenir sur la sécurité et le transfert de données lorsque nécessaire.
Vérification d’identité par le registrar
Conservation limitée et justification des durées
Obligations d’information envers le titulaire
Sanctions possibles pour non-conformité
« En procédure judiciaire la levée d’anonymat s’est révélée nécessaire et justifiée. »
Sophie R.
« La normalisation de l’accès, tout en protégeant les individus, reste la voie raisonnable à privilégier. »
Paul D.
Les sources ci-dessous illustrent ces évolutions et précisent les cadres juridiques applicables en Europe et dans le monde. Elles complètent les recommandations pratiques présentées et facilitent la mise en conformité opérationnelle.
Source : Lexology, « Fin du Whois, remplacé par le RDAP », Lexology ; ZDNet, « WHOIS et RGPD », ZDNet ; OVHcloud, « Le Whois remis en cause par le RGPD », OVHcloud Blog.
