Demande de l`ASBL European Registry For Internet Domains (EURid)

1/10
Comité sectoriel du Registre national
Délibération RN n° 01/2016 du 6 janvier 2016
Objet : demande de l'ASBL European Registry For Internet Domains (EURid) afin d'accéder à des
informations du Registre national dans le cadre du processus d'enregistrement pour les noms de
domaine ".eu" (RN-MA-2015-425)
Le Comité sectoriel du Registre national (ci-après "le Comité") ;
Vu la loi du 8 août 1983 organisant un Registre national des personnes physiques (ci-après la "LRN") ;
Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de
données à caractère personnel (ci-après la "LVP"), en particulier l'article 31bis;
Vu l'arrêté royal du 17 décembre 2003 fixant les modalités relatives à la composition et au
fonctionnement de certains comités sectoriels institués au sein de la Commission de la protection de
la vie privée;
Vu la demande de l’ASBL EURid, reçue le 09/07/2015 ; Vu les informations complémentaires reçues le
24/07/2015 et le 28/08/2015 ; Vu la délibération RN n° 57/2015 du 30 septembre 2015 ; Vu l'audition
à la demande de l'ASBL EURid le 9 décembre 2015 ;
Vu la demande d'avis technique et juridique adressée au Service public fédéral Intérieur en date du
02/09/2015; Vu l'avis technique et juridique reçu le 29/09/2015 ;
Vu le rapport de la Présidente ;
Émet, après délibération, la décision suivante, le 6 janvier 2016 :
Délibération RN 01 /2016 - 2/10
I. OBJET DE LA DEMANDE
1. La demande vise à ce que l'ASBL European Registry For Internet Domains (EURid), ci-après le
demandeur, soit autorisée à accéder aux informations mentionnées à l'article 3, premier alinéa,
1° (nom et prénoms) et 5° (résidence principale) de la LRN, ainsi qu'aux modifications
automatiques de ces informations, ce dans le cadre de sa désignation par la Commission
européenne en tant que registre du domaine de premier niveau .eu et des missions
d'organisation, de gestion et d'administration du domaine .eu qui en découlent.
II. EXAMEN DE LA DEMANDE
A. LÉGISLATION APPLICABLE
A.1.
Loi du 8 août 1983 (LRN )
2. Conformément à l'article 5, premier alinéa, 2° de la LRN, le Comité accorde une autorisation
d'accéder aux informations du Registre national : 2° aux organismes publics ou privés de droit
belge pour les informations nécessaires à l'accomplissement de tâches d'intérêt général qui leur
sont confiées par ou en vertu d'une loi, d'un décret ou d'une ordonnance ou de tâches reconnues
explicitement comme telles par le comité sectoriel précité ”.
3. Le demandeur est une ASBL de droit belge ayant pour objectif "d'organiser et de gérer des
domaines de premier niveau, en particulier le domaine de premier niveau .eu, et de fournir les
services y afférents." D'après ses statuts, l'association agit "dans l'intérêt général et sur la base
des principes de qualité, d'efficacité, de fiabilité et d'accessibilité" et à cet égard, elle peut
"recourir à tous les moyens contribuant directement ou indirectement à la réalisation de cette
finalité." [Traduction libre effectuée par le Secrétariat de la Commission vie privée, en l’absence
de traduction officielle] 1.
4. Par sa Décision 2003/375/CE et ensuite par sa Décision 2014/207/UE 2, la Commission
européenne a désigné le demandeur en tant que registre du domaine de premier niveau .eu et
l'a ensuite chargé de l'organisation, de l'administration et de la gestion du domaine de premier
niveau .eu, ce conformément aux dispositions du Règlement (CE) n° 733/2002 du Parlement
européen et du Conseil du 22 avril 2002 concernant la mise en œuvre du domaine de premier
niveau .eu et du Règlement (CE) n° 874/2004 de la Commission du 28 avril 2004 établissant les
1
Article 4 des statuts tels que publiés aux Annexes du Moniteur belge du 24 février 2015.
2
Décision d'exécution de la Commission n° 2014/207/EU du 11 avril 2014 relative à la désignation du registre du domaine de
premier niveau .eu.
Délibération RN 01 /2016 - 3/10
règles de politique d'intérêt général relatives à la mise en œuvre et aux fonctions du domaine
de premier niveau .eu et les principes applicables en matière d'enregistrement.
5. L'article 4, 2, a) du Règlement européen n° 733/2002 dispose ce qui suit : "Le registre organise,
administre et gère le TLD.eu dans l'intérêt général et selon les principes de qualité, d'efficacité,
de fiabilité et d'accessibilité.". L'article 4, 2, f) du même Règlement dispose que "le registre veille
à l'intégrité des bases de données des noms de domaine".
L'article 3, deuxième alinéa du Règlement européen n° 874/2004 dispose notamment que :
"Toute inexactitude matérielle dans les éléments indiqués aux points a) 3 à d) constitue une
violation des conditions d'enregistrement".
6. Le demandeur explique que l'absence de contrôle de l'exactitude des coordonnées indiquées par
le demandeur ou le titulaire d'un nom de domaine a pour conséquence que des cybercriminels
et des fraudeurs peuvent facilement enregistrer des noms de domaine .eu sans s'identifier
correctement à cet effet, par exemple lorsqu'ils indiquent un faux nom et/ou une adresse
inexacte ou inexistante. Le demandeur explique qu'il faut éviter de tels enregistrements, étant
donné que les titulaires de tels noms de domaine tentent – généralement via des sites Internet
ou des e-mails frauduleux portant ces noms de domaine – de collecter des données à caractère
personnel en vue de pratiques abusives, voire illégales. Dans le cadre de la lutte contre de tels
fraudeurs, le demandeur souhaite confronter les coordonnées susmentionnées aux informations
reprises en la matière dans le Registre national. Selon le demandeur, des données validées
préalablement permettent au moins de raccourcir considérablement la durée de l'exposition
éventuelle du public à des noms de domaines .eu frauduleux.
7. Le Comité estime que les missions décrites ci-avant dans le chef du demandeur peuvent être
qualifiées de tâche d'intérêt général. En vertu de l'article 5, premier alinéa, 2° de la LRN, le
demandeur entre dès lors en ligne de compte pour être autorisé à obtenir la communication
d'informations du Registre national.
A.2.
Loi du 8 décem bre 1992 (LVP )
8. En vertu de l'article 4 de la LVP, les informations du Registre national constituent des données à
caractère personnel dont le traitement n'est autorisé que pour des finalités déterminées,
explicites et légitimes. Les données à caractère personnel doivent, en outre, être adéquates,
pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées.
3
Le point a) concerne le nom et l'adresse de la partie qui introduit la demande d'enregistrement d'un nom de domaine .eu.
Délibération RN 01 /2016 - 4/10
B. FINALITÉS
9. Le demandeur souhaite accéder aux informations demandées du Registre national dans le cadre
de sa désignation par la Commission européenne en tant que registre du domaine de premier
niveau .eu et des missions d'organisation, de gestion et d'administration du domaine .eu qui en
découlent.
10. En tant que registre du domaine de premier niveau .eu, le demandeur a notamment les
obligations suivantes, en vertu de l'article 4 du Règlement n° 733/2002 :
•
l'organisation, l'administration et la gestion du domaine de premier niveau .eu dans
l'intérêt général et selon les principes de qualité, d'efficacité, de fiabilité et d'accessibilité ;
•
l'enregistrement, via un bureau d'enregistrement .eu accrédité, de noms de domaine dans
le domaine de premier niveau .eu qui sont demandés par :
o
des entreprises ayant leur siège statutaire, leur administration centrale ou leur
lieu d'établissement principal dans la Communauté, ou ;
o
des organisations établies dans la Communauté, sans préjudice du droit national
applicable, ou ;
o
•
des personnes physiques résidant dans la Communauté ;
la surveillance de l'intégrité des bases de données des noms de domaine.
11. En vertu de l'article 3 du Règlement n° 874/2004, une demande d'enregistrement d'un nom de
domaine doit toujours comporter les éléments suivants :
•
le nom et l'adresse de la partie qui introduit la demande ;
•
une déclaration par laquelle la partie qui introduit la demande confirme qu'elle satisfait
aux critères d'éligibilité (cf. supra) ;
•
une déclaration par laquelle la partie qui introduit la demande affirme qu'à sa
connaissance, la demande d'enregistrement du nom de domaine est faite de bonne foi et
n'empiète pas sur des droits détenus par des tiers ;
•
une déclaration par laquelle la partie qui introduit la demande s'engage à respecter toutes
les conditions relatives à l'enregistrement.
Toute inexactitude matérielle dans les éléments précités constitue une violation des conditions
d'enregistrement.
Délibération RN 01 /2016 - 5/10
12. Afin de lutter contre des demandes trompeuses et frauduleuses (où la personne concernée ne
s'identifie pas correctement), le demandeur souhaite confronter les coordonnées indiquées, en
particulier le nom et l'adresse, aux informations reprises en la matière dans le Registre national.
13. Après comparaison avec les informations du Registre national, les coordonnées de la banque de
données du demandeur obtiennent la mention "exact" ou "inexact", sans "correction" des
données proprement dites. Le demandeur conserve donc toujours dans sa banque de données
les coordonnées telles qu'indiquées par le demandeur ou le titulaire d'un nom de domaine (via le
bureau d'enregistrement).
14. Pour les coordonnées qui, après contrôle dans le Registre national, se révèlent "inexactes", la
personne concernée est priée/sommée par le demandeur de fournir des données correctes, à
défaut de quoi le nom de domaine .eu demandé est refusé ou un nom de domaine .eu attribué
est supprimé.
15. Le Comité estime que les finalités précitées qui sont poursuivies sont déterminées, explicites et
légitimes au sens de l'article 4, § 1, 2° de la LVP. Les traitements que le demandeur effectue se
fondent sur l'article 5, premier alinéa, e) de la LVP.
C. PROPORTIONNALITÉ
C.1. Quant aux inform ations du Registre national
16. Le demandeur souhaite accéder aux informations "nom et prénoms" (article 3, premier alinéa,
1° de la LRN) et "résidence principale" (article 3, premier alinéa, 5° de la LRN) des personnes
physiques qui sont demandeuses ou titulaires d'un nom de domaine .eu. Le demandeur souhaite
en outre obtenir la communication automatique des modifications apportées à ces informations.
17. Ces informations du Registre national (article 3, premier alinéa, 1° et 5° de la LRN) permettent
uniquement de vérifier si la combinaison du nom et de l'adresse mentionnée par celui qui
demande ou qui est titulaire d'un nom de domaine .eu, est exacte. Un accès à ces informations
ne permet toutefois pas de vérifier si une combinaison ‘nom et adresse’ éventuellement correcte
en soi, appartient effectivement à celui qui la mentionne. Le Comité constate que l’accès
demandé ne contribue pas à réaliser de manière concluante la finalité visée, qui est de lutter
contre les demandes trompeuses et frauduleuses (où la personne concernée ne s'identifie pas
correctement). Cependant, le Comité constate également qu'il appartient en fait à l'Europe, qui
prévoit l'attribution de noms de domaine .eu dans le Règlement (CE) n° 733/2002 du Parlement
européen et du Conseil du 22 avril 2002 et dans le Règlement (CE) n° 874/2004 de la Commission
du 28 avril 2004, de dès lors mettre à disposition les moyens appropriés au niveau européen
Délibération RN 01 /2016 - 6/10
permettant une bonne identification et surtout une bonne authentification des personnes qui
demandent un nom de domaine .eu. Toutefois, l'Europe reste en défaut sur ce plan.
18. Le système proposé par le demandeur n'est pas optimal et n'empêchera donc nullement tous les
abus (et surtout les abus "amateuristes") ; il pourra néanmoins quand même intercepter une
partie des noms de domaine frauduleux. De plus, le Comité estime que la performance du
système peut en outre être améliorée en ajoutant à la demande/l'enregistrement d'un nom de
domaine .eu, outre le nom, le prénom et l'adresse, également la date de naissance comme
donnée obligatoire, qui peut aussi être utilisée lors de l'accès au Registre national pour le contrôle
de l'exactitude.
19. La communication automatique des modifications permet également au demandeur - que ce soit
de manière concluante ou non -, même après la demande initiale, d'assurer le suivi de
l'exactitude des coordonnées des titulaires d'un nom de domaine .eu et, le cas échéant, de
prier/sommer les personnes concernées d'actualiser leurs données, par exemple en cas de
déménagement.
20. À la lumière de ce qui précède, le Comité conclut que l'accès demandé, avec l'ajout de
l'information "date de naissance" (article 3, premier alinéa, 2° de la LRN) peut provisoirement
(cf. ci-dessous "durée de l'autorisation") être considéré comme adéquat, pertinent et non
excessif au regard de la finalité visée et est donc conforme à l'article 4, § 1, 3° de la LVP.
21. Le Comité indique certes au demandeur qu'il doit de préférence disposer d'un répertoire de
références pour pouvoir bénéficier de cette fonctionnalité. Ce répertoire sert de filtre afin que le
demandeur ne reçoive que les informations pertinentes dans le cadre du traitement de ses
dossiers. Le Comité estime néanmoins que le demandeur ne doit pas nécessairement créer luimême ce répertoire de références. Il invite dès lors le demandeur à s'intégrer à un répertoire de
références existant d'un intégrateur de services tel que la Banque Carrefour de la Sécurité
Sociale. Une autre solution consiste à ce que le demandeur communique aux services du Registre
national le numéro de Registre national de toutes les personnes pour lesquelles il gère un dossier,
après quoi il recevra en retour les données actualisées de ces personnes 4.
4
Voir l'arrêté royal du 24 novembre 2010 déterminant les cas dans lesquels une autorisation d'utiliser le numéro d'identification
du Registre national n'est pas requise.
Délibération RN 01 /2016 - 7/10
C.2. Quant à la fréquence de l'accès et à la durée de l'autorisation
22. Le demandeur souhaite un accès permanent aux informations du Registre national qui sont
demandées étant donné que de nouvelles demandes de noms de domaine .eu peuvent être
introduites et enregistrées à tout moment, chaque jour.
23. Le Comité en conclut qu'un accès permanent est approprié (article 4, § 1, 3° de la LVP).
24. Le demandeur souhaite en outre une autorisation d’une durée indéterminée.
25. En 2003, la Commission européenne a désigné le demandeur en tant que registre du domaine
de premier niveau .eu par la Décision 2003/375/CE ; le contrat conclu en la matière arrivait à
expiration le 12 octobre 2014 5. Par la Décision 2014/207/UE, le demandeur a de nouveau été
désigné en tant que registre du domaine de premier niveau .eu et a été chargé de l'organisation,
de l'administration et de la gestion du domaine de premier niveau .eu, entraînant de nouveau la
conclusion d'un contrat avec la Commission européenne pour une durée initiale de cinq ans
(allant du 13 octobre 2014 au 12 octobre 2019), qui peut être prolongée deux fois, chaque fois
pour une période supplémentaire de cinq ans au maximum 6. Le demandeur n'est donc
actuellement chargé de la tâche de registre du domaine de premier niveau .eu que jusqu'au
12 octobre 2019, ce qui ne justifie pas une autorisation d'une durée indéterminée.
26. En outre, le Comité a constaté que le système proposé par le demandeur n'était pas optimal et
ne pouvait donc nullement empêcher (tous) les abus ; il permettra néanmoins quand même
d'intercepter une partie des noms de domaine frauduleux et, comme également expliqué lors de
l'audition, permettra au moins de raccourcir pour un certain nombre de cas la durée de
l'exposition éventuelle du public à des noms de domaine .eu frauduleux. Il appartient par ailleurs
à l'Europe, qui gère l'attribution de noms de domaine .eu, de mettre à disposition à cet effet les
moyens appropriés au niveau européen permettant une bonne identification et surtout une
bonne authentification des demandeurs de ces noms de domaine.
27. Vu ce qui précède, le Comité peut consentir à un accès au Registre national pour une durée
limitée de 3 ans, accès qui doit permettre au demandeur d'élaborer, en concertation avec
l'Europe au niveau européen (au lieu du niveau national par État membre), une procédure
5
Voir le considérant (2) de la Décision d'exécution de la Commission du 11 avril 2014 relative à la désignation du registre du
domaine de premier niveau .eu (Décision 2014/207/UE).
Voir l'article 2, deuxième alinéa de la Décision d'exécution de la Commission du 11 avril 2014 relative à la désignation du
registre du domaine de premier niveau .eu (Décision 2014/207/UE).
6
Délibération RN 01 /2016 - 8/10
cohérente et efficace d'identification et d'authentification pour les demandeurs d'un nom de
domaine .eu 7.
C.3. Quant au délai de conservation
28. Les coordonnées qui se révèlent "exactes" après vérification avec les informations du Registre
national ne sont pas conservées par le demandeur.
29. Pour les coordonnées qui se révèlent "inexactes" après vérification avec les informations du
Registre national, le demandeur initie une enquête dans le cadre de laquelle le demandeur ou le
titulaire d'un nom de domaine .eu est prié/sommé de fournir des données exactes, à défaut de
quoi le nom de domaine .eu demandé est refusé ou un nom de domaine .eu attribué est retiré.
Le demandeur explique qu'une telle procédure est généralement clôturée dans l'année et il
souhaite dès lors, dans ce cas, conserver les informations du Registre national pendant 1 an afin
de justifier son éventuelle action de refus ou de retrait du nom de domaine .eu.
30. Le Comité estime que compte tenu de la finalité, le délai de conservation ainsi défini est conforme
à l'article 4, § 1, 5° de la LVP.
C.4. Usage interne et/ ou com m unication à des tiers
31. Le demandeur n'utilisera qu'en interne les informations du Registre national qui sont demandées.
32. Le Comité en prend acte.
D. SÉCURITÉ DE L'INFORMATION
D.1.
Conseiller en sécurité de l'inform ation
33. Il ressort des documents transmis par le demandeur qu'il dispose d'un conseiller en sécurité de
l'information.
D.2.
P olitique de sécurité de l'inform ation
34. Il ressort des documents transmis par le demandeur qu'il dispose d'une politique de sécurité de
l'information, ainsi que d'un plan en application de celle-ci.
35. Le Comité en a pris acte.
Le Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les
services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE
7
produira prochainement ses effets sur le terrain.
Délibération RN 01 /2016 - 9/10
D.3.
P ersonnes ayant accès aux inform ations et liste de ces personnes
36. Le demandeur indique qu'au sein de son service juridique, 4 collaborateurs auront accès aux
données demandées. Ces collaborateurs sont chargés du contrôle du respect des conditions
générales d'enregistrement, dont la fourniture d'informations exactes et fiables, à défaut de quoi
des mesures doivent être prises, comme le refus ou le retrait d'un nom de domaine.
Le demandeur mentionne par ailleurs qu'au sein de la section IT, une dizaine de collaborateurs
auront également accès aux données demandées. Cette section est notamment chargée de gérer
l'infrastructure IT (système d'enregistrement) au sein de laquelle les coordonnées sont
collectées, enregistrées et gérées.
37. Comme le prescrit l’article 12 de la LRN, le demandeur doit dresser une liste des personnes qui
accèderont au Registre national. Cette liste doit être constamment actualisée et tenue à la
disposition du Comité.
38. Les personnes figurant sur cette liste doivent en outre signer une déclaration par laquelle elles
s'engagent à préserver la sécurité et le caractère confidentiel des informations.
PAR CES MOTIFS,
le Comité
1° annule la délibération RN n° 57/2015 du 30 septembre 2015 ;
2° autorise l'ASBL EURid, aux conditions exposées dans la présente délibération et en vue de la
finalité énoncée au point B, à disposer d'un accès permanent aux informations mentionnées à
l'article 3, premier alinéa, 1°, 2° (uniquement la date de naissance) et 5° de la LRN, ainsi qu'à recevoir
une communication automatique des modifications de ces données, et ce pendant une durée limitée
de 3 ans.
L'autorisation prend donc fin de plein droit le 5 janvier 2019.
3° stipule que lors de toute modification ultérieure de l’organisation de la sécurité de l’information
pouvant avoir un impact sur les réponses données au questionnaire sécurité fourni au Comité
(désignation du conseiller en sécurité de l'information et réponses aux questions relatives à
l’organisation de la sécurité), l'ASBL EURid adressera au Comité un nouveau questionnaire relatif à
l'état de la sécurité de l'information complété conformément à la vérité. Le Comité en accusera
réception et se réserve le droit de réagir ultérieurement, s'il y a lieu ;
Délibération RN 01 /2016 - 10/10
4° stipule également que, lorsqu'il enverra à l'ASBL EURid un questionnaire relatif à l'état de la
sécurité de l'information, celle-ci devra compléter ce questionnaire conformément à la vérité et le
renvoyer au Comité. Le Comité en accusera réception et se réserve le droit de réagir ultérieurement,
s'il y a lieu ;
L'Administrateur f.f.,
La Présidente
(sé) An Machtens
(sé) Mireille Salmon