Article 19
Obligation pour les
offices et les bureaux d'enregistrement des noms de domaine de mettre en place
une base de données
Cet article oblige les offices et les bureaux d'enregistrement des noms de domaine de mettre en place une base de données afin de pouvoir accéder aux données permettant d'identifier le propriétaire d'un nom de domaine en cas d'incident.
La commission a adopté cet article sans modification.
I. La situation actuelle - la directive NIS 2 prévoit que les Etats membres imposent aux offices et aux bureaux d'enregistrement la collecte et la conservation dans une base de données de certaines données d'enregistrement des noms de domaine
Afin d'harmoniser les règles à l'échelle européenne et de pouvoir accéder aux données permettant d'identifier le propriétaire d'un nom de domaine en cas d'incident, l'article 28 de la directive NIS 2 prévoit de nouvelles règles en matière d'enregistrement des noms de domaine.
En vertu de son paragraphe 1, les États membres doivent imposer aux offices d'enregistrement de collecter certaines données d'enregistrement des noms de domaine (nom du titulaire, point de contact, nom du domaine...) et de les maintenir exactes et complètes au sein d'une base de données spécialisée avec la diligence requise par le droit de l'Union en matière de protection des données pour ce qui concerne les données à caractère personnel.
À cette fin, le paragraphe 2 de l'article 28 prévoit que les États membres exigent que la base des données d'enregistrement des noms de domaine contienne les informations nécessaires pour identifier et contacter les titulaires des noms de domaine et les points de contact qui gèrent les noms de domaine relevant des domaines de premier niveau.
Ces informations comprennent notamment les éléments suivants :
- le nom de domaine ;
- la date d'enregistrement ;
- le nom du titulaire, l'adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;
- l'adresse de courrier électronique et le numéro de téléphone permettant de contacter le point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire.
Le paragraphe 3 prévoit que les États membres exigent que les registres des noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine aient mis en place des politiques et des procédures, notamment des procédures de vérification, visant à garantir que les bases de données contiennent des informations exactes et complètes.
Les États membres imposent que ces politiques et procédures soient mises à la disposition du public.
En vertu du paragraphe 4, les États membres exigent que les registres des noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine rendent publiques, sans retard injustifié après l'enregistrement d'un nom de domaine, les données d'enregistrement du nom de domaine qui ne sont pas des données à caractère personnel.
Le paragraphe 6 précise que le respect de ces obligations ne saurait entraîner de répétition inutile de la collecte des données d'enregistrement de noms de domaine.
À cet effet, les États membres imposent aux registres des noms de domaine de premier niveau et aux entités fournissant des services d'enregistrement de noms de domaine de coopérer entre eux.
II. Le dispositif envisagé - une obligation de collecte de données puis de tenue d'une base de données par les offices et bureaux d'enregistrement
Le premier alinéa de l'article 19 prévoit que les offices d'enregistrement collectent, par l'intermédiaire des bureaux d'enregistrement ainsi que des agents agissant pour le compte de ces derniers, les données nécessaires à l'enregistrement des noms de domaine, transposant ainsi l'obligation prévue au paragraphe 1 de l'article 28.
Les offices et les bureaux d'enregistrement sont responsables du traitement de ces données au regard de la réglementation en matière de protection des données personnelles, ainsi que le prévoit le paragraphe 1 de la directive qui évoque la nécessité de faire preuve de « la diligence requise par le droit de l'Union en matière de protection des données pour ce qui concerne les données à caractère personnel ».
Les offices et les bureaux d'enregistrement ont l'obligation de tenir ces bases de données à jour, en maintenant les données exactes et complètes, sans redondance de collecte.
Le paragraphe 1 de l'article 28 évoque cette obligation de collecte et celui de maintenir ces données exactes et complètes au sein d'une base de données spécialisée. La référence à l'absence de redondance traduit l'obligation prévue au paragraphe 6 de l'article 28 de la directive d'éviter toute répétition inutile de la collecte des données d'enregistrement de noms de domaine.
À cette fin, les offices et les bureaux d'enregistrement mettent en place des procédures, accessibles au public, permettant de vérifier ces données lors de leur collecte et d'assurer la sécurité de leur base de données, comme le prévoit le paragraphe 3 de l'article 28 qui dispose que les États membres exigent que les registres des noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine aient mis en place des politiques et des procédures mises à la disposition du public, notamment des procédures de vérification, visant à garantir que les bases de données contiennent des informations exactes et complètes.
Un décret en Conseil d'État, pris après avis de la Commission nationale informatique et libertés (Cnil), fixe la liste des données relatives aux noms de domaine devant être collectées.
Cette liste contiendra au moins les éléments prévus par le paragraphe 2 de l'article 28 de la directive NIS 2, à savoir les informations nécessaires pour identifier et contacter les titulaires des noms de domaine et les points de contact qui gèrent les noms de domaine relevant des domaines de premier niveau.
Il s'agit notamment des éléments suivants :
- le nom de domaine ;
- la date d'enregistrement ;
- le nom du titulaire, l'adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;
- l'adresse de courrier électronique et le numéro de téléphone permettant de contacter le point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire.
III. La position de la commission - la transposition de la mesure clef de l'article 28 de la directive NIS 2 et un renvoi à un décret en Conseil d'État légitime
L'article 19 assure la transposition de la principale disposition de l'article 28 de la directive NIS 2, à savoir l'obligation pour les offices et les bureaux d'enregistrement des noms de domaine de mettre en place une base de données afin de pouvoir accéder aux données permettant d'identifier le propriétaire d'un nom de domaine en cas d'incident.
Le renvoi à un décret en Conseil d'État de la liste des données collectées, au demeurant largement prescrites par les dispositions de l'article 28 de la directive NIS 2, ne pose pas de difficultés, dès lors que ce décret fera l'objet d'un avis de la Commission nationale informatique et libertés (Cnil), indispensable pour encadrer précisément la protection des données personnelles.
La commission a adopté cet article sans modification.
Article 20
Durée de conservation des données collectées par les offices
et les bureaux d'enregistrement des noms de domaines
Cet article définit la durée de conservation des données collectées par les offices et les bureaux d'enregistrement des noms de domaines, en prévoyant que ceux-ci doivent conserver les données relatives à chaque nom de domaine dans leur base de données tant que le nom du domaine est utilisé.
La commission a adopté cet article sans modification.
I. La situation actuelle - une absence de précision dans la directive NIS 2 sur la durée de conservation des données collectées par les offices et les bureaux d'enregistrement des noms de domaines
L'article 28 de la directive NIS 2 ne prévoit pas explicitement de durée de conservation des données collectées par les offices et les bureaux d'enregistrement des noms de domaines mais dans la mesure où ils sont obligés de collecter ces données et de les maintenir exactes et complètes au sein d'une base de données spécialisée, il paraît logique et cohérent de considérer que cette obligation demeure valable uniquement tant que le nom de domaine est utilisé.
II. Le dispositif envisagé - une conservation des données relatives à chaque nom de domaine tant que le nom de domaine est utilisé
L'article 20 prévoit que les offices d'enregistrement des noms de domaines et les bureaux d'enregistrement des noms de domaines conservent les données relatives à chaque nom de domaine dans leur base de données tant que le nom de domaine est utilisé.
III. La position de la commission - un dispositif cohérent avec les dispositions de l'article 28 de la directive NIS 2
Le dispositif proposé par le présent article paraît cohérent avec les dispositions de l'article 28 de la directive NIS 2 et propose une durée de conservation conforme à ses objectifs.
Il n'appelle donc pas de modification de son texte par la commission spéciale.
La commission a adopté cet article sans modification.
Article 21
Obligation de publication des données
d'enregistrement d'un nom de domaine
Cet article oblige les offices et bureaux d'enregistrement à publier sans retard les données d'enregistrement relatives à un nom de domaine qui ne sont pas des données à caractère personnel.
La commission a adopté cet article sans modification.
I. La situation actuelle - l'article 28 de la directive NIS 2 prévoit une publication des données d'enregistrement relatives à un nom de domaine qui ne sont pas des données à caractère personnel
Le paragraphe 4 de l'article 28 de la directive NIS 2 prévoit que les États membres exigent que les registres des noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine rendent publiques, sans retard injustifié après l'enregistrement d'un nom de domaine, les données d'enregistrement du nom de domaine qui ne sont pas des données à caractère personnel.
II. Le dispositif envisagé - une transposition littérale des dispositions de l'article 28 de la directive NIS 2
Le présent article 21 du projet de loi prévoit que les offices d'enregistrement des noms de domaine et les bureaux d'enregistrement des noms de domaine rendent publiques sans retard injustifié après l'enregistrement d'un nom de domaine, les données d'enregistrement relatives à ce nom de domaine, dès lors qu'elles n'ont pas de caractère personnel.
L'article 21 propose donc une transposition quasiment mot pour mot du paragraphe 4 de l'article 28 de la directive.
III. La position de la commission - un dispositif qui ne pose pas de difficultés dès lors que la protection des données personnelles est bien assurée
Cette transposition très littérale de la directive ne présente pas de difficultés, dès lors qu'elle a bien conservé la restriction en faveur de la protection des données à caractère personnel, raison pour laquelle la commission l'a adopté sans modification.
La commission a adopté cet article sans modification.
Article 22
Obligation de
communiquer les données collectées par les offices et bureaux
d'enregistrement à l'autorité judiciaire et à l'Anssi pour
les besoins des procédures pénales ou de la
sécurité des systèmes d'information
Cet article prévoit que les offices et les bureaux d'enregistrement devront mettre en place des procédures permettant aux services de l'État (autorité judiciaire et autorité nationale de sécurité des systèmes d'information) d'accéder aux données collectées relatives aux noms de domaine, à leur demande, dans un délai maximal de 72 heures.
La commission a adopté cet article sans modification.
I. La situation actuelle - l'article 28 de la directive NIS 2 prévoit un droit d'accès des autorités légitimes aux données collectées par les offices et bureaux d'enregistrement
Le paragraphe 5 de l'article 28 de la directive NIS 2 prévoit que les États membres imposent aux registres des noms de domaine de premier niveau et aux entités fournissant des services d'enregistrement de noms de domaine de donner accès aux données spécifiques d'enregistrement de noms de domaine sur demande légitime et dûment motivée des demandeurs d'accès légitimes, dans le respect du droit de l'Union en matière de protection des données.
En outre, le paragraphe 5 prévoit que les États membres exigent que les registres des noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine répondent sans retard injustifié et en tout état de cause dans un délai de 72 heures après réception de toute demande d'accès.
Enfin, il précise que les États membres imposent que les politiques et procédures de divulgation de ces données soient rendues publiques.
II. Le dispositif envisagé - les offices et les bureaux d'enregistrement devront mettre en place des procédures permettant à l'autorité judiciaire et à l'Anssi d'accéder aux données collectées relatives aux noms de domaine
Le premier alinéa de l'article 22 du projet de loi prévoit que pour les besoins des procédures pénales et de la sécurité des systèmes d'information, les agents habilités à cet effet par l'autorité judiciaire ou par l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire l'Anssi) peuvent obtenir des offices et bureaux d'enregistrement les données relatives à chaque nom de domaine, données que ces derniers conservent dans leur base de données tant que le nom de domaine est utilisé, conformément aux dispositions de l'article 20.
Alors que le paragraphe 5 de l'article 28 de la directive prévoit que les données spécifiques d'enregistrement de noms de domaines doivent être fournis « sur demande légitime et dûment motivée des demandeurs d'accès légitimes », la transposition vient donc préciser qu'une demande légitime et dûment motivée devra correspondre aux « besoins des procédures pénales et de la sécurité des systèmes d'information » et que les « demandeurs d'accès légitimes » seront uniquement « les agents habilités à cet effet par l'autorité judiciaire ou par l'Anssi ».
Le deuxième alinéa de l'article 22 prévoit que les offices et les bureaux d'enregistrement fixent les règles de procédure pour la communication de ces données aux agents habilités à cet effet par l'autorité judiciaire ou par l'Anssi. Cette communication intervient dans un délai n'excédant pas 72 heures. Ces règles sont accessibles au public.
Le paragraphe 5 de l'article 28 prévoit effectivement que les offices et les bureaux d'enregistrement « répondent sans retard injustifié et en tout état de cause dans un délai de 72 heures après réception de toute demande d'accès ». Mais il ne précisait pas que les règles de procédure pour la communication des données aux agents habilités à cet effet serait fixée par les offices et les bureaux d'enregistrement.
La référence à la publicité des règles qui doivent être accessibles au public transpose l'alinéa de l'article 5 qui prévoit que « les États membres imposent que les politiques et procédures de divulgation de ces données soient rendues publiques ».
Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés (Cnil) fixe les modalités d'application de cet article 22.
III. La position de la commission - une mesure de transposition qui établit clairement et de façon limitative les autorités susceptibles d'avoir accès aux données relatives aux noms de domaine
Comme les articles précédents de la section 3 « Enregistrement des noms de domaine », cet article 22 assure une transposition fidèle d'une disposition de l'article 28 de la directive NIS 2, en précisant les autorités légitimes à demander les données relatives aux noms de domaine, qui sont logiquement l'autorité judiciaire pour le besoin des procédures pénales et l'Anssi pour la sécurité des systèmes d'information, ce qui permet de limiter strictement leur nombre.
Le renvoi à un décret en Conseil d'État de ses modalités d'application ne pose pas de difficultés, l'avis de la Cnil permettant de garantir le respect de la réglementation sur les données personnelles.
La commission a adopté cet article sans modification.