OVH vs ICANN : la protection des données personnelles sur Internet (presque) victorieuse

Depuis peu, l'ICANN, l'organisme privé qui régit mondialement les noms de domaines de premier niveau, permet aux registrars, comme OVH, de proposer aux clients des nouvelles extensions (gLTD) du type ".paris" ou encore ".hardware". Ce qui pourrait, par exemple, donner "www.comptoir.hardware". Mais pour qu'un registrar puisse proposer ce genre d'extensions, il lui faut signer un contrat avec l'ICANN, le RAA 2013. Ce nouveau contrat impose aux registrars de conserver pendant 2 ans les données de contact du client à la fin de la relation contractuelle et 6 mois pour les données de communication et de paiement. Problème : la France et l'Europe sont stricts sur la durée de rétention des données.

En effet, selon le G29 (Groupe de travail européen sur la protection des données) et la CNIL (Commision nationale de l'informatique et des libertés) la durée de conservation des données de deux ans viole l'article 6-5° de de la loi du 16 janvier 1978 modifiée qui prévoit, au même titre que la Directive 95/46/CE, que des données personnelles ne peuvent être conservées que "pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées". Ici, la CNIL et le G29 considèrent que deux ans est une durée trop longue au regard de la finalité qui est de maintenir la responsabilité et la transparence des détenteurs des noms de domaines.

Dès le mois de décembre 2013, OVH a donc déposé auprès de l'ICANN une demande d'exemption afin de ne pas appliquer cette durée de rétention des données de deux ans et a souhaité voir cette durée raccourcie d'un an. L'ICANN a accepté, en janvier dernier, d'étudier la requête de la société roubaisienne. Puis, le 12 mars dernier, l'organisme a répondu favorablement à la demande d'OVH en acceptant de réduire la durée de rétention des données personnelles à 12 mois après la fermeture du compte.

La durée de 12 mois n'est pas anodine, elle a été choisie par OVH suite au décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne. Si ce décret n'a pas été prévu, à la base, pour la conservation des données des registrars, OVH s'appuie dessus. Mais rien ne dit que les 12 mois ne seront pas jugés excessifs par la CNIL et le G29.

Car le G29 a une opinion toute tranchée sur la question : les données personnelles des détenteurs d'un nom de domaine ne doivent pas être conservées par l'entité privée après la résiliation du contrat, à moins que les autorités nationales du pays de résidence du consommateur imposent un tel mécanisme. Le G29 a peur que les nombreux registrars à travers le monde ne conservent pas tous ces données de manière très sécurisée, faisant planer un risque de vol de ces données personnelles, qui regroupent les données de contacts (nom, prénom, adresse postale et mail) ainsi que les données de communication (type de paiement, référence du paiement, adresses IP, date et heure, etc.).

L'Europe vient de dégainer le G29 ...

Pour le moment, OVH est le seul registrar à avoir réalisé une demande d'exemption pour retenir les données de contact qu'un an au lieu des deux ans prévus par l'ICANN dans son contrat. Il sera maintenant intéressant de voir comment vont réagir les autres registrars français et s'ils feront également la demande à l'ICANN en se basant sur le même délai de 12 mois.