Mise en œuvre du droit en ligne: Deux changements en droit suisse que vous devriez connaître (2ème partie)

5 avril 2021

Le droit suisse a récemment été révisé à deux égards. Les deux changements concernent la protection des données et ont un impact direct sur la poursuite des infractions en ligne.
D'une part, depuis le 1er avril 2020, les adresses IP peuvent (à nouveau) être traitées à des fins de lutte contre le piratage - d'autre part, à partir du 1er janvier 2021, aucune donnée personnelle n'est plus publiée dans le WHOIS en ce qui concerne les noms de domaine en .ch. Cet article traite du deuxième changement. Le premier changement a été abordé dans la première partie.

Partie 2 : Plus de données personnelles dans le WHOIS - Identification plus difficile des auteurs d’infractions

Jusqu'à récemment, les requêtes WHOIS étaient un outil efficace dans la lutte contre les infractions en ligne en Suisse. L'identification des contrevenants est désormais plus difficile.

De quoi s'agit-il ?

Afin de pouvoir agir contre les infractions en ligne, les titulaires de droits doivent d'abord identifier les personnes responsables (c'est-à-dire obtenir les données personnelles des auteurs des infractions). Si l'atteinte est commise par le biais d'un nom de domaine en .ch, il était possible, jusqu'à récemment, d'interroger anonymement et sans peine l'identité du titulaire du nom de domaine en ligne auprès du registre (administrateur des noms de domaine en .ch) SWITCH (recherches WHOIS). Voir aussi dans ce contexte l'article no. 1 de notre série "Mise en œuvre du droit en ligne", "Le rôle de la base de données WHOIS" (en anglais).

Depuis le 1er janvier 2021, plus aucune donnée personnelle n’est publiée dans le WHOIS pour les noms de domaine en .ch (et en .li). L'identité des détenteurs de noms de domaine ne pourra désormais être obtenue qu'en s'identifiant auprès de SWITCH (c'est-à-dire en divulguant soi-même des données personnelles) et en démontrant l’existence d’un intérêt légitime concret.

La nouvelle base juridique

La publication dans la base de données du Registration Data Directory Service (RDDS) (WHOIS) des données relatives aux noms de domaine .ch est régie par l'art 46 de l'Ordonnance fédérale sur les domaines Internet (ODI).

Selon la loi précédente, le nom et l'adresse du détenteur du nom de domaine et de la personne techniquement responsable devaient être publiés. La loi révisée adopte une approche différente : Par principe, aucune donnée personnelle n'est publiée. Dans la mesure où il s’agit d’un particulier, SWITCH ne peut publier les données personnelles du détenteur que si ce dernier y consent. Mais elle peut publier les données d'identification et les coordonnées du détenteur si celui-ci est une personne morale. L'ancien et le nouvel art. 46 ODI peuvent être comparés comme suit (caractères gras ajoutés) :

Art. 46 ODI (ancienne version) Données mises à la disposition du public

Art. 46 ODI (nouvelle version) Mise à disposition de données

1 Les données suivantes doivent figurer dans la banque de données WHOIS: a.   la dénomination du nom de domaine attribué et l’ACE-String correspondant; b.  le nom et l’adresse postale du titulaire du nom de domaine concerné; c.  dans le cas où le nom de domaine concerné est activé, les données des serveurs de noms qui lui sont assignés; d. et e. f.  le nom et l’adresse postale du responsable technique; g.   l’information selon laquelle un nom de domaine est ou non sécurisé par le système DNSSEC; h.   la date de la première attribution du nom de domaine; i.   le nom complet du registraire opérant pour le compte du titulaire du nom de domaine concerné. 2 Le registre prend les mesures adéquates, notamment techniques, afin d’empêcher une utilisation abusive des données mises à la disposition du public, en particulier leur utilisation à des fins de publicité ou de promotion commerciale.

1 Les données suivantes doivent figurer dans la banque de données RDDS (WHOIS): a.   la dénomination du nom de domaine attribué et l’ACE-String correspondant; b.   dans le cas où le nom de domaine concerné est activé, les données des serveurs de noms qui lui sont assignés; c.   l’information selon laquelle un nom de domaine est ou non sécurisé par le système DNSSEC; d.   la date de la première attribution du nom de domaine; e.   le nom, l’adresse et les données de contact du registraire opérant pour le compte du titulaire du nom de domaine concerné. 2 Le registre peut publier les données suivantes dans la banque de données RDDS (WHOIS): a.   les données d’identification et de contact du titulaire du nom de domaine concerné lorsque ce titulaire est une personne morale; b.   les données d’identification et de contact du titulaire du nom de domaine concerné qui a consenti à la publication; c.   l’indication d’un moyen anonyme permettant de contacter le titulaire du nom de domaine concerné. 3 Il donne gratuitement à toute personne faisant état de manière vraisemblable d’un intérêt légitime prépondérant l’accès aux données personnelles figurant dans la banque de données RDDS (WHOIS) qui se rapportent au titulaire du nom de domaine concerné. 4 L’OFCOM peut prescrire les modalités et les processus d’accès au sens de l’al. 3 en tenant compte des règles qui s’appliquent à l’échelon international. 5 Le registre prend les mesures adéquates, notamment techniques, afin d’empêcher une utilisation abusive des données mises à la disposition du public, en particulier leur utilisation à des fins de publicité ou de promotion commerciale.

La protection des données comme prétexte

Dans son Rapport explicatif du 26 octobre 2020 sur la révision de l'ODI (version française aux pages 47 ss. ; ci-après "Note explicative 2020 de l'OFCOM" ; p. 54), l'Office fédéral de la communication (OFCOM) justifie la non-publication des données personnelles dans le WHOIS par la protection des données : l'OFCOM indique qu'avec l'entrée en vigueur du Règlement général européen sur la protection des données (RGPD), les conceptions et les attentes concernant le WHOIS auraient "clairement évolué vers une interdiction de principe de publier toute donnée personnelle concernant les titulaires de noms de domaine".

Cela n'est pas convaincant pour deux raisons :

Tout d'abord, le droit suisse de la protection des données se distingue fondamentalement du droit européen de la protection des données sur le plan conceptuel : Selon le GDPR, les données personnelles ne peuvent être traitées que s'il existe une base (légale) pour le faire (comme le consentement, la nécessité d'exécuter un contrat ou des intérêts privés prépondérants) (ce que l'on appelle un "règlement d'interdiction"). En revanche, selon le droit suisse de la protection des données (y compris selon la nouvelle loi qui entrera en vigueur en 2022), une justification n'est requise que si soit les principes de traitement ne sont pas respectés, soit la personne concernée s'est opposée au traitement, soit des données personnelles particulièrement sensibles doivent être communiquées à un tiers. L'art. 46 ODI révisé ne tient pas compte de cette différence conceptuelle.

Il convient également de noter que dans sa note explicative du 13 février 2014 sur l'ODI (nouvellement introduit en 2015) (en allemand ; ci-après "Rapport explicatif de l'OFCOM 2014" ; p. 20), l'OFCOM considérait encore l'intérêt public à la divulgation prépondérant par rapport à l'intérêt des titulaires de noms de domaine à garder leurs données personnelles confidentielles. Il estime qu’un titulaire de nom de domaine ne peut pas s'opposer à la divulgation de ses données. L'intérêt public à la publicité - protection des droits des tiers et des consommateurs, nécessité de transparence sur le support de l'internet, garantie de l'efficacité du droit et stabilité technique de l'internet - l'emporte en l'espèce sur l'intérêt à garder confidentielles les données personnelles divulguées. On ne voit pas pourquoi la pesée des intérêts devrait désormais être différente.

Deuxièmement, en vertu du droit suisse, la plupart des exploitants de sites Web doivent divulguer leur identité et leur adresse dans un « impressum », conformément à l'art. 3 al. 1 lit. s ch. 1 de la Loi fédérale contre la concurrence déloyale (LCD). Et même ceux qui ne sont pas soumis à l'obligation d’impressum doivent indiquer leur identité dans l'avis de confidentialité.

La protection des données apparaît donc comme un prétexte pour justifier la révision. Il semble probable que l'OFCOM ait en réalité cédé à la pression de l'Internet Corporation for Assigned Names and Numbers (ICANN). Dans le cadre d'une réforme du service RDDS (WHOIS) pour les domaines internet génériques (gTLDs, tels que les noms de domaine .com, .net et .org), l'ICANN avait décidé de ne plus publier de données personnelles dans le WHOIS à l'avenir.

Demande d'informations auprès de SWITCH

Si quelqu'un veut connaître l’identité du détenteur d'un nom de domaine .ch spécifique, il doit soumettre une demande de renseignements écrite à SWITCH. SWITCH met à disposition un formulaire en ligne à cet effet (il existe un formulaire en ligne séparé pour les autorités). Pour ce faire, il faut non seulement prouver son identité (c'est-à-dire communiquer des données personnelles), mais aussi prouver son intérêt. SWITCH ne divulgue les données personnelles du titulaire que si le demandeur démontre de manière crédible qu'il a un "intérêt légitime prépondérant" aux données demandées.

SWITCH examine au cas par cas si, à son avis, un tel intérêt légitime prépondérant existe. SWITCH donne les exemples suivants de tels intérêts légitimes (voir également le Rapport explicatif 2020 de l'OFCOM, p. 55) :

• vérification de l'enregistrement actuel du nom de domaine par le titulaire ou le contact technique du nom de domaine en question (auto-divulgation) ;
• violation (présumée) de droits de marque ;
• violation (présumée) de droits d'auteur ou de droits de la personnalité ;
• besoin d’obtenir les données pour l'accomplissement par une autorité d'une tâche légale (information de l'autorité).

Toutefois, selon SWITCH, l'intention d'acheter un nom de domaine ou de contacter l'exploitant du site web n'est pas considérée comme suffisante.  Le fondement de la demande, les documents y relatifs et la preuve d'identité (pièce d'identité officielle ou extrait du registre du commerce) doivent être téléchargés et envoyés à SWITCH.

Coûts

Selon l'art. 52 al. 4 ODI, SWITCH peut en principe demander une redevance pour l'octroi de l'accès aux données personnelles, "selon les règles et tarifs qui s’appliquent à l’échelon international". Toutefois, selon le rapport explicatif 2020 de l'OFCOM, l'accès est gratuit et les coûts d'installation et d'exploitation sont couverts par une légère augmentation du prix de gros que SWITCH facture pour chaque enregistrement ou renouvellement d'un nom de domaine en .ch depuis le 1er janvier 2021. Les coûts sont donc finalement répercutés sur les différents détenteurs de noms de domaine.

En outre, les personnes qui demandent des informations à SWITCH devront supporter leurs propres frais liés à la demande d'informations.

Au moins pendant une période de transition, il faut s'attendre à une augmentation des demandes directes adressées aux bureaux d'enregistrement des noms de domaine en .ch (ce qui entraîne des coûts pour eux). Leurs coordonnées restent visibles dans le WHOIS. Cependant, les entités d'enregistrement ne sont pas responsables des violations de droits qui pourraient survenir via les noms de domaine de leurs clients, et ne sont pas non plus le bon interlocuteur pour la divulgation de données personnelles. Ils ont tout intérêt à renvoyer les tiers à SWITCH pour des informations spécifiques ou (si la demande du tiers va au-delà d'une simple requête d'identité) à procéder conformément au Code de conduite Noms de domaine (CCD) de l'association suisse de l'industrie des TICSwico. Voir dans ce contexte également l'article n° 2 de notre série "Mise en œuvre du droit en ligne", "Le rôle des fournisseurs d'hébergement" (en anglais)

Les cybercriminels vont en profiter

La non-publication des données personnelles sert avant tout aux cybercriminels qui cherchent à rester anonymes et ignorent également d'autres dispositions pertinentes telles que l'obligation de fournir un impressum ou des informations en vertu de la loi sur la protection des données.

Certes, quiconque voulait dissimuler son identité en tant que détenteur d'un nom de domaine en .ch pouvait déjà le faire sous l'ancienne loi - par exemple, en utilisant un service "WHOIS Privacy", ou en fournissant de fausses informations pour la publication dans le WHOIS. Avec la nouvelle loi, cependant, ce déguisement deviendra encore plus facile - par exemple, il faut s'attendre à ce que de nombreuses fausses informations ne soient pas découvertes pendant un certain temps (en raison de la non-publication).

Questions sans réponse

Il reste à voir dans quelle mesure SWITCH rendra efficace la procédure relative aux demandes d'information. En particulier dans le cas d'infractions en ligne, les titulaires de droits dépendent de l'obtention rapide des informations demandées en vue d'éventuelles mesures préliminaires (telles que le blocage d'un nom de domaine spécifique). Sinon, ils courent le risque de perdre leurs droits.

Si SWITCH rejette une demande d'information dans un cas individuel, la question se pose également de savoir si la justification peut être améliorée et si la décision de SWITCH peut être soumise à un contrôle judiciaire.

En tout état de cause, la procédure de demande d'informations nouvellement mise en œuvre entraîne inutilement un surcroît de travail administratif (et une divulgation inutile de données à caractère personnel) pour tous ceux qui ont besoin des informations en question, tels que les titulaires de droits de propriété intellectuelle.

Information complémentaire:

• Note explicative du 13 février 2014 sur la révision 2015 l'ODI (en allemand)
• Rapport explicatif du 26 octobre 2020 sur la révision de l'ODI (version française aux pages 47 ss. 
• SWITCH formulaire en ligne ("Demande de renseignements")
• SWITCH formulaire en ligne ("Demande de renseignements pour les administrations");
• Code de conduite (CCD) de l’association professionnelle Swico

Notre série "Mise en oeuvre du droit en ligne" traite des particularités dans la mise en œuvre des droits sur l’Internet.

Autres articles dans cette série:

• Online Enforcement: The role of the WHOIS directory (no. 1)
• The Role of Hosting Providers (No. 2)
• Online Enforcement: Instruments against Internet piracy in the new Swiss copyright law (no. 3)
• Online infringements of IP rights in the EU and Switzerland (no. 4)
• Defence against the Import of Counterfeits into Switzerland: What are the Pitfalls? (no. 5)
• Contrefaçon et petits envois - procédure simplifiée de destruction (en français)
• Mise en œuvre du droit en ligne: Deux changements dans le droit suisse que vous devriez connaître (1ère partie) (en français)

Personnes de contact: Jonas D. Gassmann (Zurich) et Lorenz Ehrler (Genève)

Auteur: Jonas D. Gassmann