Article 28 Base des données d’enregistrement des noms de domaine

Le maintien à jour des bases de données précises et complètes de données d’enregistrement de noms de domaine (données WHOIS) ainsi que la fourniture d’un accès licite à ces données sont essentiels pour garantir la sécurité, la stabilité et la résilience du DNS, lequel contribue en retour à assurer un niveau élevé commun de cybersécurité dans l’Union. À cette fin spécifique, les registres de noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine devraient être tenus de traiter certaines données nécessaires à cette fin. Un tel traitement devrait constituer une obligation légale au sens de l’article 6, paragraphe 1, point c), du règlement (UE) 2016/679. Cette obligation est sans préjudice de la possibilité de collecter des données relatives à l’enregistrement de noms de domaine à d’autres fins, par exemple sur la base de dispositions contractuelles ou d’exigences légales établies dans d’autres dispositions du droit de l’Union ou du droit national. Cette obligation vise à obtenir un ensemble complet et précis de données d’enregistrement et ne devrait pas aboutir à recueillir les mêmes données à de multiples reprises. Les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine devraient coopérer entre eux afin d’éviter la duplication de cette tâche.

La disponibilité et l’accessibilité, en temps utile, des données relatives à l’enregistrement des noms de domaine pour les demandeurs d’accès légitimes sont essentielles pour prévenir et combattre les abus de DNS, ainsi que pour prévenir et détecter les incidents et y réagir. Par «demandeurs d’accès légitimes», il convient d’entendre toute personne physique ou morale qui formule une demande en vertu du droit de l’Union ou du droit national. Il peut s’agir des autorités compétentes en vertu de la présente directive et des autorités compétentes en vertu du droit de l’Union ou du droit national en matière de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites en la matière, et des CERT ou des CSIRT. Les registres des noms de domaine de premier niveau ainsi que les entités qui fournissent des services d’enregistrement des noms de domaine devraient être tenus de permettre aux demandeurs d’accès légitimes conformément au droit de l’Union et au droit national d’accéder légalement à des données spécifiques d’enregistrement des noms de domaine qui sont nécessaires aux fins de la demande d’accès. La demande des demandeurs d’accès légitimes devrait être accompagnée d’une motivation permettant d’évaluer la nécessité de l’accès aux données.

Afin d’assurer la disponibilité de données exactes et complètes sur l’enregistrement des noms de domaine, les registres des noms de domaine de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine devraient collecter et garantir l’intégrité et la disponibilité des données relatives à l’enregistrement des noms de domaine. En particulier, les registres de noms de domaine de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaine devraient établir des politiques et des procédures aux fins de collecter des données d’enregistrement de noms de domaine et de les maintenir exactes et complètes, ainsi que pour prévenir et corriger les données d’enregistrement inexactes, conformément au droit de l’Union en matière de protection des données. Ces politiques et procédures devraient tenir compte, dans la mesure du possible, des normes élaborées par les structures de gouvernance multipartites au niveau international. Les registres des noms de domaines de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine devraient adopter et appliquer des procédures proportionnées de vérification des données d’enregistrement de noms de domaine. Ces procédures devraient refléter les meilleures pratiques utilisées dans le secteur et, dans la mesure du possible, les progrès réalisés dans le domaine de l’identification électronique. Parmi les exemples de procédures de vérification, on peut citer les contrôles ex ante effectués au moment de l’enregistrement et les contrôles ex post effectués après l’enregistrement. Les registres des noms de domaine de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine devraient, en particulier, vérifier au moins un moyen de contact du titulaire.

Les registres des noms de domaine de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaine devraient être tenus de rendre publiques les données relatives à l’enregistrement de noms de domaine qui ne relèvent pas du champ d’application du droit de l’Union en matière de protection des données, telles que les données concernant les personnes morales, conformément au préambule du règlement (UE) 2016/679. Pour les personnes morales, les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine devraient mettre à la disposition du public au moins le nom du titulaire et le numéro de téléphone de contact. L’adresse électronique de contact devrait également être publiée, à condition qu’elle ne contienne aucune donnée à caractère personnel, comme lors de l’utilisation de pseudonymes de courrier électronique ou de comptes fonctionnels. Les registres des noms de domaine de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaine devraient également permettre aux demandeurs d’accès légitimes d’accéder légalement à des données spécifiques d’enregistrement de noms de domaine concernant des personnes physiques, conformément au droit de l’Union en matière de protection des données. Les États membres devraient veiller à ce que les registres des noms de domaine de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine répondent sans retard injustifié aux demandes de divulgation de données d’enregistrement de noms de domaine émanant de demandeurs d’accès légitimes. Les registres des noms de domaine de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine devraient établir des politiques et des procédures pour la publication et la divulgation des données d’enregistrement, y compris des accords de niveau de service régissant la gestion des demandes d’accès des demandeurs d’accès légitimes. Ces politiques et procédures devraient tenir compte, dans la mesure du possible, des orientations et des normes élaborées par les structures de gouvernance multipartites au niveau international. La procédure d’accès pourrait également inclure l’utilisation d’une interface, d’un portail ou d’un autre outil technique afin de fournir un système efficace de demande et d’accès aux données d’enregistrement. En vue de promouvoir des pratiques harmonisées dans l’ensemble du marché intérieur, la Commission peut, sans préjudice des compétences du comité européen de la protection des données, fournir des lignes directrices eu égard à ces procédures, qui tiennent compte, dans la mesure du possible, des normes élaborées par les structures de gouvernance multipartites au niveau international. Les États membres devraient veiller à ce que tous les types d’accès aux données d’enregistrement de noms de domaine à caractère personnel ou non personnel soient gratuits.