Bienvenue aux « Rencontres autour d’un café », une série d’entretiens en compagnie d’experts du Digital Brand Services de CSC, au cours desquels nous abordons des problèmes relatifs à la cybersécurité, aux domaines, à la protection de marque et à la lutte contre la fraude.
Nos experts en la matière et moi-même échangeons autour d’un café. Ce mois-ci, je rencontre Patrick Hauss, responsable de la division Corporate Development and Strategic Alliances EMEA, au sujet du service de demande d’accès aux données d’enregistrement (RDRS) d’ICANN. Patrick a pris un cappuccino light avec un trait de sirop. Une boisson des plus originales pour une buveuse de thé telle que moi !
Pourquoi ne pas prendre 5 minutes pour lire notre conversation ? Côté boisson, je vous laisse le choix des armes !
Nous sommes lundi matin et, tasse en main, je commence mon entretien avec Patrick Hauss. Ces échanges ont pour but d’aborder les problèmes relatifs au secteur, et aujourd’hui, Patrick souhaite partager certaines réflexions au sujet de RDRS. Pour commencer, à quoi correspond « RDRS » ? Je demande à Patrick de me fournir une explication rapide.
« RDRS signifie Registration Data Request Service, soit service de demande d’accès aux données d’enregistrement. Il s’agit d’un outil proposé par l’ICANN visant à résoudre les restrictions d’accès aux données, survenues suite au masquage des données personnelles sur les enregistrements WHOIS, après la mise en application du RGPD. Les consultations WHOIS sont utilisées par les enquêteurs en cybersécurité, les experts en marque commerciale et les fournisseurs de services de protection des marques comme CSC, ainsi que par les marques et leurs équipes chargées de la sécurité/de la propriété intellectuelle/des aspects juridiques en tant que processus d’intervention contre les tiers enregistrant des domaines frauduleux, » explique-t-il.
Avant la mise en place du RGPD, l’accès aux données WHOIS (dans leur intégralité) représentait une partie essentielle des enquêtes destinées à prendre des mesures d’intervention en cas de violations de la propriété intellectuelle et d’abus de DNS. La plupart des cas de détournement de marque en ligne commençant par l’enregistrement de noms de domaine trompeurs, les informations relatives aux titulaires pourraient servir à suivre les hackers et à mettre ce contenu illicite hors ligne. Cependant, c’est exactement ce pour quoi le RGPD est conçu, soit protéger les données personnelles.
Les interventions sont devenues plus complexes au moment du masquage des données, et ICANN a fait en sorte que les personnes présentant de requêtes d’accès légitimes puissent accéder à ces données en introduisant RDRS pour une période initiale de deux ans, à partir du 28 novembre 2023. Mais l’obtention d’un accès aux données WHOIS, même avec RDRS, reste complexe. Alors, peut-on identifier la source du problème pour les propriétaires de marques ?
« Une partie du problème réside dans le fait que RDRS est optionnel et nécessite que les registrars de noms de domaine s’inscrivent au service. Cela signifie que le nombre de domaines éligibles à une requête RDRS est quelque peu limité. » Il est donc impossible de couvrir l’ensemble du paysage des noms de domaine de premier niveau (TLD), et les hackers propagent leurs enregistrements dans le monde entier via de multiples TLD, y compris les noms de domaine géographiques (ccTLD), qui sont hors de la portée de RDRS.
Il existe peut-être une bonne raison à cette faible adoption de la part des registrars. La menace des amendes liées au RGPD pèse lourd ; de nombreux registrars peuvent être réticents à l’idée de partager des informations WHOIS masquées, à moins de considérer la requête d’accès comme étant 100 % indiscutable sur le plan juridique. Et pour cause, le risque d’une amende liée au RGPD ferait peur à presque n’importe qui. Malheureusement, moins de 15 % des demandes d’informations via RDRS sont accordées ; en décembre 2023, on en comptait seulement 7 %. La résolution des enquêtes pour détournement de marque prend donc plus de temps, et de même pour les mesures d’intervention ; c’est un effet domino.
D’après Patrick, comment pourrait-on alors améliorer ce processus pour les registrars et autres propriétaires de marques ?
« D’un point de vue concret, encourager autant de registrars que possible à s’inscrire pourrait étendre la portée du TLD, » explique-t-il. Mais le vrai problème, songe-t-il, nécessitera d’adopter un regard plus large sur les politiques relatives aux abus en ligne. Au niveau politique, il existe un fossé entre la définition d’un abus DNS et celle d’un abus/d’une violation de la propriété intellectuelle. « La Commission européenne travaille actuellement à recommander une définition plus large de l’abus DNS, afin d’y inclure l’abus de propriété intellectuelle. Une meilleure définition de l’abus de marque en ligne, en elle-même et par elle-même, serait bénéfique. Si cela devait se produire, les périmètres juridiques en la matière seraient plus clairs, simplifiant ainsi l’identification des demandes légitimes d’informations WHOIS pour les registrars (demande selon une base juridique claire), leur donnant ainsi la garantie de rester en conformité avec le RGPD. »
—
Merci d’avoir lu notre échange sur RDRS. Découvrez le nouvel article de blog de la série, dans lequel j’aborderai d’autres sujets pertinents en compagnie d’experts CSC.
