Demande de l`ASBL European Registry For Internet Domains (EURid)
Transcription
Demande de l`ASBL European Registry For Internet Domains (EURid)
1/10 Comité sectoriel du Registre national Délibération RN n° 01/2016 du 6 janvier 2016 Objet : demande de l'ASBL European Registry For Internet Domains (EURid) afin d'accéder à des informations du Registre national dans le cadre du processus d'enregistrement pour les noms de domaine ".eu" (RN-MA-2015-425) Le Comité sectoriel du Registre national (ci-après "le Comité") ; Vu la loi du 8 août 1983 organisant un Registre national des personnes physiques (ci-après la "LRN") ; Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (ci-après la "LVP"), en particulier l'article 31bis; Vu l'arrêté royal du 17 décembre 2003 fixant les modalités relatives à la composition et au fonctionnement de certains comités sectoriels institués au sein de la Commission de la protection de la vie privée; Vu la demande de l’ASBL EURid, reçue le 09/07/2015 ; Vu les informations complémentaires reçues le 24/07/2015 et le 28/08/2015 ; Vu la délibération RN n° 57/2015 du 30 septembre 2015 ; Vu l'audition à la demande de l'ASBL EURid le 9 décembre 2015 ; Vu la demande d'avis technique et juridique adressée au Service public fédéral Intérieur en date du 02/09/2015; Vu l'avis technique et juridique reçu le 29/09/2015 ; Vu le rapport de la Présidente ; Émet, après délibération, la décision suivante, le 6 janvier 2016 : Délibération RN 01 /2016 - 2/10 I. OBJET DE LA DEMANDE 1. La demande vise à ce que l'ASBL European Registry For Internet Domains (EURid), ci-après le demandeur, soit autorisée à accéder aux informations mentionnées à l'article 3, premier alinéa, 1° (nom et prénoms) et 5° (résidence principale) de la LRN, ainsi qu'aux modifications automatiques de ces informations, ce dans le cadre de sa désignation par la Commission européenne en tant que registre du domaine de premier niveau .eu et des missions d'organisation, de gestion et d'administration du domaine .eu qui en découlent. II. EXAMEN DE LA DEMANDE A. LÉGISLATION APPLICABLE A.1. Loi du 8 août 1983 (LRN ) 2. Conformément à l'article 5, premier alinéa, 2° de la LRN, le Comité accorde une autorisation d'accéder aux informations du Registre national : 2° aux organismes publics ou privés de droit belge pour les informations nécessaires à l'accomplissement de tâches d'intérêt général qui leur sont confiées par ou en vertu d'une loi, d'un décret ou d'une ordonnance ou de tâches reconnues explicitement comme telles par le comité sectoriel précité ”. 3. Le demandeur est une ASBL de droit belge ayant pour objectif "d'organiser et de gérer des domaines de premier niveau, en particulier le domaine de premier niveau .eu, et de fournir les services y afférents." D'après ses statuts, l'association agit "dans l'intérêt général et sur la base des principes de qualité, d'efficacité, de fiabilité et d'accessibilité" et à cet égard, elle peut "recourir à tous les moyens contribuant directement ou indirectement à la réalisation de cette finalité." [Traduction libre effectuée par le Secrétariat de la Commission vie privée, en l’absence de traduction officielle] 1. 4. Par sa Décision 2003/375/CE et ensuite par sa Décision 2014/207/UE 2, la Commission européenne a désigné le demandeur en tant que registre du domaine de premier niveau .eu et l'a ensuite chargé de l'organisation, de l'administration et de la gestion du domaine de premier niveau .eu, ce conformément aux dispositions du Règlement (CE) n° 733/2002 du Parlement européen et du Conseil du 22 avril 2002 concernant la mise en œuvre du domaine de premier niveau .eu et du Règlement (CE) n° 874/2004 de la Commission du 28 avril 2004 établissant les 1 Article 4 des statuts tels que publiés aux Annexes du Moniteur belge du 24 février 2015. 2 Décision d'exécution de la Commission n° 2014/207/EU du 11 avril 2014 relative à la désignation du registre du domaine de premier niveau .eu. Délibération RN 01 /2016 - 3/10 règles de politique d'intérêt général relatives à la mise en œuvre et aux fonctions du domaine de premier niveau .eu et les principes applicables en matière d'enregistrement. 5. L'article 4, 2, a) du Règlement européen n° 733/2002 dispose ce qui suit : "Le registre organise, administre et gère le TLD.eu dans l'intérêt général et selon les principes de qualité, d'efficacité, de fiabilité et d'accessibilité.". L'article 4, 2, f) du même Règlement dispose que "le registre veille à l'intégrité des bases de données des noms de domaine". L'article 3, deuxième alinéa du Règlement européen n° 874/2004 dispose notamment que : "Toute inexactitude matérielle dans les éléments indiqués aux points a) 3 à d) constitue une violation des conditions d'enregistrement". 6. Le demandeur explique que l'absence de contrôle de l'exactitude des coordonnées indiquées par le demandeur ou le titulaire d'un nom de domaine a pour conséquence que des cybercriminels et des fraudeurs peuvent facilement enregistrer des noms de domaine .eu sans s'identifier correctement à cet effet, par exemple lorsqu'ils indiquent un faux nom et/ou une adresse inexacte ou inexistante. Le demandeur explique qu'il faut éviter de tels enregistrements, étant donné que les titulaires de tels noms de domaine tentent – généralement via des sites Internet ou des e-mails frauduleux portant ces noms de domaine – de collecter des données à caractère personnel en vue de pratiques abusives, voire illégales. Dans le cadre de la lutte contre de tels fraudeurs, le demandeur souhaite confronter les coordonnées susmentionnées aux informations reprises en la matière dans le Registre national. Selon le demandeur, des données validées préalablement permettent au moins de raccourcir considérablement la durée de l'exposition éventuelle du public à des noms de domaines .eu frauduleux. 7. Le Comité estime que les missions décrites ci-avant dans le chef du demandeur peuvent être qualifiées de tâche d'intérêt général. En vertu de l'article 5, premier alinéa, 2° de la LRN, le demandeur entre dès lors en ligne de compte pour être autorisé à obtenir la communication d'informations du Registre national. A.2. Loi du 8 décem bre 1992 (LVP ) 8. En vertu de l'article 4 de la LVP, les informations du Registre national constituent des données à caractère personnel dont le traitement n'est autorisé que pour des finalités déterminées, explicites et légitimes. Les données à caractère personnel doivent, en outre, être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées. 3 Le point a) concerne le nom et l'adresse de la partie qui introduit la demande d'enregistrement d'un nom de domaine .eu. Délibération RN 01 /2016 - 4/10 B. FINALITÉS 9. Le demandeur souhaite accéder aux informations demandées du Registre national dans le cadre de sa désignation par la Commission européenne en tant que registre du domaine de premier niveau .eu et des missions d'organisation, de gestion et d'administration du domaine .eu qui en découlent. 10. En tant que registre du domaine de premier niveau .eu, le demandeur a notamment les obligations suivantes, en vertu de l'article 4 du Règlement n° 733/2002 : • l'organisation, l'administration et la gestion du domaine de premier niveau .eu dans l'intérêt général et selon les principes de qualité, d'efficacité, de fiabilité et d'accessibilité ; • l'enregistrement, via un bureau d'enregistrement .eu accrédité, de noms de domaine dans le domaine de premier niveau .eu qui sont demandés par : o des entreprises ayant leur siège statutaire, leur administration centrale ou leur lieu d'établissement principal dans la Communauté, ou ; o des organisations établies dans la Communauté, sans préjudice du droit national applicable, ou ; o • des personnes physiques résidant dans la Communauté ; la surveillance de l'intégrité des bases de données des noms de domaine. 11. En vertu de l'article 3 du Règlement n° 874/2004, une demande d'enregistrement d'un nom de domaine doit toujours comporter les éléments suivants : • le nom et l'adresse de la partie qui introduit la demande ; • une déclaration par laquelle la partie qui introduit la demande confirme qu'elle satisfait aux critères d'éligibilité (cf. supra) ; • une déclaration par laquelle la partie qui introduit la demande affirme qu'à sa connaissance, la demande d'enregistrement du nom de domaine est faite de bonne foi et n'empiète pas sur des droits détenus par des tiers ; • une déclaration par laquelle la partie qui introduit la demande s'engage à respecter toutes les conditions relatives à l'enregistrement. Toute inexactitude matérielle dans les éléments précités constitue une violation des conditions d'enregistrement. Délibération RN 01 /2016 - 5/10 12. Afin de lutter contre des demandes trompeuses et frauduleuses (où la personne concernée ne s'identifie pas correctement), le demandeur souhaite confronter les coordonnées indiquées, en particulier le nom et l'adresse, aux informations reprises en la matière dans le Registre national. 13. Après comparaison avec les informations du Registre national, les coordonnées de la banque de données du demandeur obtiennent la mention "exact" ou "inexact", sans "correction" des données proprement dites. Le demandeur conserve donc toujours dans sa banque de données les coordonnées telles qu'indiquées par le demandeur ou le titulaire d'un nom de domaine (via le bureau d'enregistrement). 14. Pour les coordonnées qui, après contrôle dans le Registre national, se révèlent "inexactes", la personne concernée est priée/sommée par le demandeur de fournir des données correctes, à défaut de quoi le nom de domaine .eu demandé est refusé ou un nom de domaine .eu attribué est supprimé. 15. Le Comité estime que les finalités précitées qui sont poursuivies sont déterminées, explicites et légitimes au sens de l'article 4, § 1, 2° de la LVP. Les traitements que le demandeur effectue se fondent sur l'article 5, premier alinéa, e) de la LVP. C. PROPORTIONNALITÉ C.1. Quant aux inform ations du Registre national 16. Le demandeur souhaite accéder aux informations "nom et prénoms" (article 3, premier alinéa, 1° de la LRN) et "résidence principale" (article 3, premier alinéa, 5° de la LRN) des personnes physiques qui sont demandeuses ou titulaires d'un nom de domaine .eu. Le demandeur souhaite en outre obtenir la communication automatique des modifications apportées à ces informations. 17. Ces informations du Registre national (article 3, premier alinéa, 1° et 5° de la LRN) permettent uniquement de vérifier si la combinaison du nom et de l'adresse mentionnée par celui qui demande ou qui est titulaire d'un nom de domaine .eu, est exacte. Un accès à ces informations ne permet toutefois pas de vérifier si une combinaison ‘nom et adresse’ éventuellement correcte en soi, appartient effectivement à celui qui la mentionne. Le Comité constate que l’accès demandé ne contribue pas à réaliser de manière concluante la finalité visée, qui est de lutter contre les demandes trompeuses et frauduleuses (où la personne concernée ne s'identifie pas correctement). Cependant, le Comité constate également qu'il appartient en fait à l'Europe, qui prévoit l'attribution de noms de domaine .eu dans le Règlement (CE) n° 733/2002 du Parlement européen et du Conseil du 22 avril 2002 et dans le Règlement (CE) n° 874/2004 de la Commission du 28 avril 2004, de dès lors mettre à disposition les moyens appropriés au niveau européen Délibération RN 01 /2016 - 6/10 permettant une bonne identification et surtout une bonne authentification des personnes qui demandent un nom de domaine .eu. Toutefois, l'Europe reste en défaut sur ce plan. 18. Le système proposé par le demandeur n'est pas optimal et n'empêchera donc nullement tous les abus (et surtout les abus "amateuristes") ; il pourra néanmoins quand même intercepter une partie des noms de domaine frauduleux. De plus, le Comité estime que la performance du système peut en outre être améliorée en ajoutant à la demande/l'enregistrement d'un nom de domaine .eu, outre le nom, le prénom et l'adresse, également la date de naissance comme donnée obligatoire, qui peut aussi être utilisée lors de l'accès au Registre national pour le contrôle de l'exactitude. 19. La communication automatique des modifications permet également au demandeur - que ce soit de manière concluante ou non -, même après la demande initiale, d'assurer le suivi de l'exactitude des coordonnées des titulaires d'un nom de domaine .eu et, le cas échéant, de prier/sommer les personnes concernées d'actualiser leurs données, par exemple en cas de déménagement. 20. À la lumière de ce qui précède, le Comité conclut que l'accès demandé, avec l'ajout de l'information "date de naissance" (article 3, premier alinéa, 2° de la LRN) peut provisoirement (cf. ci-dessous "durée de l'autorisation") être considéré comme adéquat, pertinent et non excessif au regard de la finalité visée et est donc conforme à l'article 4, § 1, 3° de la LVP. 21. Le Comité indique certes au demandeur qu'il doit de préférence disposer d'un répertoire de références pour pouvoir bénéficier de cette fonctionnalité. Ce répertoire sert de filtre afin que le demandeur ne reçoive que les informations pertinentes dans le cadre du traitement de ses dossiers. Le Comité estime néanmoins que le demandeur ne doit pas nécessairement créer luimême ce répertoire de références. Il invite dès lors le demandeur à s'intégrer à un répertoire de références existant d'un intégrateur de services tel que la Banque Carrefour de la Sécurité Sociale. Une autre solution consiste à ce que le demandeur communique aux services du Registre national le numéro de Registre national de toutes les personnes pour lesquelles il gère un dossier, après quoi il recevra en retour les données actualisées de ces personnes 4. 4 Voir l'arrêté royal du 24 novembre 2010 déterminant les cas dans lesquels une autorisation d'utiliser le numéro d'identification du Registre national n'est pas requise. Délibération RN 01 /2016 - 7/10 C.2. Quant à la fréquence de l'accès et à la durée de l'autorisation 22. Le demandeur souhaite un accès permanent aux informations du Registre national qui sont demandées étant donné que de nouvelles demandes de noms de domaine .eu peuvent être introduites et enregistrées à tout moment, chaque jour. 23. Le Comité en conclut qu'un accès permanent est approprié (article 4, § 1, 3° de la LVP). 24. Le demandeur souhaite en outre une autorisation d’une durée indéterminée. 25. En 2003, la Commission européenne a désigné le demandeur en tant que registre du domaine de premier niveau .eu par la Décision 2003/375/CE ; le contrat conclu en la matière arrivait à expiration le 12 octobre 2014 5. Par la Décision 2014/207/UE, le demandeur a de nouveau été désigné en tant que registre du domaine de premier niveau .eu et a été chargé de l'organisation, de l'administration et de la gestion du domaine de premier niveau .eu, entraînant de nouveau la conclusion d'un contrat avec la Commission européenne pour une durée initiale de cinq ans (allant du 13 octobre 2014 au 12 octobre 2019), qui peut être prolongée deux fois, chaque fois pour une période supplémentaire de cinq ans au maximum 6. Le demandeur n'est donc actuellement chargé de la tâche de registre du domaine de premier niveau .eu que jusqu'au 12 octobre 2019, ce qui ne justifie pas une autorisation d'une durée indéterminée. 26. En outre, le Comité a constaté que le système proposé par le demandeur n'était pas optimal et ne pouvait donc nullement empêcher (tous) les abus ; il permettra néanmoins quand même d'intercepter une partie des noms de domaine frauduleux et, comme également expliqué lors de l'audition, permettra au moins de raccourcir pour un certain nombre de cas la durée de l'exposition éventuelle du public à des noms de domaine .eu frauduleux. Il appartient par ailleurs à l'Europe, qui gère l'attribution de noms de domaine .eu, de mettre à disposition à cet effet les moyens appropriés au niveau européen permettant une bonne identification et surtout une bonne authentification des demandeurs de ces noms de domaine. 27. Vu ce qui précède, le Comité peut consentir à un accès au Registre national pour une durée limitée de 3 ans, accès qui doit permettre au demandeur d'élaborer, en concertation avec l'Europe au niveau européen (au lieu du niveau national par État membre), une procédure 5 Voir le considérant (2) de la Décision d'exécution de la Commission du 11 avril 2014 relative à la désignation du registre du domaine de premier niveau .eu (Décision 2014/207/UE). Voir l'article 2, deuxième alinéa de la Décision d'exécution de la Commission du 11 avril 2014 relative à la désignation du registre du domaine de premier niveau .eu (Décision 2014/207/UE). 6 Délibération RN 01 /2016 - 8/10 cohérente et efficace d'identification et d'authentification pour les demandeurs d'un nom de domaine .eu 7. C.3. Quant au délai de conservation 28. Les coordonnées qui se révèlent "exactes" après vérification avec les informations du Registre national ne sont pas conservées par le demandeur. 29. Pour les coordonnées qui se révèlent "inexactes" après vérification avec les informations du Registre national, le demandeur initie une enquête dans le cadre de laquelle le demandeur ou le titulaire d'un nom de domaine .eu est prié/sommé de fournir des données exactes, à défaut de quoi le nom de domaine .eu demandé est refusé ou un nom de domaine .eu attribué est retiré. Le demandeur explique qu'une telle procédure est généralement clôturée dans l'année et il souhaite dès lors, dans ce cas, conserver les informations du Registre national pendant 1 an afin de justifier son éventuelle action de refus ou de retrait du nom de domaine .eu. 30. Le Comité estime que compte tenu de la finalité, le délai de conservation ainsi défini est conforme à l'article 4, § 1, 5° de la LVP. C.4. Usage interne et/ ou com m unication à des tiers 31. Le demandeur n'utilisera qu'en interne les informations du Registre national qui sont demandées. 32. Le Comité en prend acte. D. SÉCURITÉ DE L'INFORMATION D.1. Conseiller en sécurité de l'inform ation 33. Il ressort des documents transmis par le demandeur qu'il dispose d'un conseiller en sécurité de l'information. D.2. P olitique de sécurité de l'inform ation 34. Il ressort des documents transmis par le demandeur qu'il dispose d'une politique de sécurité de l'information, ainsi que d'un plan en application de celle-ci. 35. Le Comité en a pris acte. Le Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE 7 produira prochainement ses effets sur le terrain. Délibération RN 01 /2016 - 9/10 D.3. P ersonnes ayant accès aux inform ations et liste de ces personnes 36. Le demandeur indique qu'au sein de son service juridique, 4 collaborateurs auront accès aux données demandées. Ces collaborateurs sont chargés du contrôle du respect des conditions générales d'enregistrement, dont la fourniture d'informations exactes et fiables, à défaut de quoi des mesures doivent être prises, comme le refus ou le retrait d'un nom de domaine. Le demandeur mentionne par ailleurs qu'au sein de la section IT, une dizaine de collaborateurs auront également accès aux données demandées. Cette section est notamment chargée de gérer l'infrastructure IT (système d'enregistrement) au sein de laquelle les coordonnées sont collectées, enregistrées et gérées. 37. Comme le prescrit l’article 12 de la LRN, le demandeur doit dresser une liste des personnes qui accèderont au Registre national. Cette liste doit être constamment actualisée et tenue à la disposition du Comité. 38. Les personnes figurant sur cette liste doivent en outre signer une déclaration par laquelle elles s'engagent à préserver la sécurité et le caractère confidentiel des informations. PAR CES MOTIFS, le Comité 1° annule la délibération RN n° 57/2015 du 30 septembre 2015 ; 2° autorise l'ASBL EURid, aux conditions exposées dans la présente délibération et en vue de la finalité énoncée au point B, à disposer d'un accès permanent aux informations mentionnées à l'article 3, premier alinéa, 1°, 2° (uniquement la date de naissance) et 5° de la LRN, ainsi qu'à recevoir une communication automatique des modifications de ces données, et ce pendant une durée limitée de 3 ans. L'autorisation prend donc fin de plein droit le 5 janvier 2019. 3° stipule que lors de toute modification ultérieure de l’organisation de la sécurité de l’information pouvant avoir un impact sur les réponses données au questionnaire sécurité fourni au Comité (désignation du conseiller en sécurité de l'information et réponses aux questions relatives à l’organisation de la sécurité), l'ASBL EURid adressera au Comité un nouveau questionnaire relatif à l'état de la sécurité de l'information complété conformément à la vérité. Le Comité en accusera réception et se réserve le droit de réagir ultérieurement, s'il y a lieu ; Délibération RN 01 /2016 - 10/10 4° stipule également que, lorsqu'il enverra à l'ASBL EURid un questionnaire relatif à l'état de la sécurité de l'information, celle-ci devra compléter ce questionnaire conformément à la vérité et le renvoyer au Comité. Le Comité en accusera réception et se réserve le droit de réagir ultérieurement, s'il y a lieu ; L'Administrateur f.f., La Présidente (sé) An Machtens (sé) Mireille Salmon