Le premier décembre 2020, un protocole de coopération entre, d’une part, l’Autorité belge de Protection des Données (« APD ») et, d’autre part, l’ASBL Domain Name Service Belgium (« DNS ») est entré en vigueur dans le but de contrôler l’application du Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») par les titulaires de noms de domaines belges (.be), de repérer les abus en termes de traitement de données personnelles et d’en sanctionner les éventuelles infractions sur les sites Internet belges.
Contexte
A. DNS Belgium
DNS Belgium est une ASBL indépendante créée en 1999 dans le but de d’organiser l’enregistrement des noms de domaines .be, de rendre Internet accessible et d’en promouvoir l’utilisation.
DNS Belgium, malgré son rôle crucial au sein du trafic Internet belge, n’est pas une instance judiciaire. L’ASBL n’est donc pas habilitée à procéder à l’évaluation juridique d’éventuelles infractions à la loi commises par des utilisateurs de noms de domaines .be.
B. L’Autorité de Protection des Données (« APD »)
L’APD, de son côté, est une autorité indépendante chargée de surveiller la correcte application des principes généraux repris au sein du RGPD.1
Conformément à ses obligations légales2, l’ADP doit exercer ses missions en concertation avec tous les acteurs privés et publics concernés par la protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement de leurs données personnelles, DNS Belgium inclus.
L’APD est composée, entre autres, d’une Chambre Contentieuse et d’un Service des Inspections :
- La Chambre contentieuse de l’APD est l’organe de l’APD en charge des contentieux administratifs. Cet organe est, entre autres, compétent pour ordonner le gel, la limitation ou l’interdiction du traitement de données à caractère personnel par une entité. 3
De son côté, le Service des Inspections est l’organe d’enquête de l’APD. Il a pour mission d’examiner les plaintes ainsi que les indices sérieux d’infractions à la législation en matière de données à caractère personnel.4
C. Objectifs de la collaboration
Le protocole de collaboration a pour objectif de faire respecter la procédure de Notice & Action décrite ci-dessous afin de suspendre la diffusion sur Internet de contenus contraires au RGPD. Pour cela, DNS Belgium intervient afin de fournir des mesures techniques adéquates en ce qui concerne l’usage d’un droit de domaine.
La procédure poursuit également l’objectif de garantir le principe de proportionnalité de la sanction, les droits fondamentaux des titulaires de nom de domaine et la sécurité du réseau de DNS Belgium.
Coopération à deux niveaux
Le protocole établit une coopération à deux niveaux : une coopération de DNS Belgium aux enquêtes du Service d’Inspection de l’APD et une coopération dans l’exercice d’une procédure particulière dite « Notice & Action ».
A. Coopération aux enquêtes du service d’Inspection de l’APD
Dans un premier temps, DNS s’engage à fournir au Service d’Inspection tous les renseignements et supports d’informations dont l’ASBL dispose sur les titulaires de noms de domaine .be, et ce, à chaque fois que le Service d’Inspection l’estime utile à sa mission d’enquête.
B. La procédure « Notice & Action »
Cette procédure, déjà créée en mars 2012 au sein d’un groupe de travail de DNS Belgium, débute par l’envoi d’une notification à DNS Belgium à l’initiative du Président de l’APD mentionnant le nom de domaine suspecté d’être en violation avec le RGPD.
Dès la réception de cette notification, DNS Belgium communique son contenu au titulaire du nom de domaine concerné et l’informe que son traitement est également contraire aux conditions générales de DNS Belgium.
En parallèle, DNS Belgium met en place toutes les mesures adéquates pour re-diriger le nom de domaine vers une page d’avertissement de l’APD, hébergée par DNS Belgium. Cette mesure a pour effet que le site Internet lié initialement au nom de domaine contesté ne pourra plus être visité via ledit nom de domaine.
Conformément à ces conditions générales, le titulaire du nom de domaine concerné a l’obligation de se mettre en conformité dans les 14 jours en cessant les infractions, sans quoi, DNS Belgium aura le droit de supprimer définitivement ledit nom de domaine.
Toutefois, la re-direction sera interrompue et le site Internet initial rétabli :
- S’il est établi que le titulaire du nom de domaine ne se trouve en réalité pas en infraction ;
- S’il s’est entre-temps mis en règle ; ou
- Si l’APD demande à DNS Belgium de suspendre ou d’arrêter la procédure.
Après l’expiration de ce délai de 14 jours, DNS Belgium envoie un rappel à l’APD afin de vérifier que le titulaire du nom de domaine ne s’est effectivement pas mis en règle ou s’il existe de nouveaux éléments appelant à une suspension ou à l’arrêt de la procédure.
Ensuite, l’APD informe DNS Belgium si le nom de domaine doit ou non être retiré de son réseau et communique la décision à son titulaire. Trois hypothèses doivent être envisagées à ce stade de la procédure :
- Soit DNS reçoit comme information de l’APD que le titulaire s’est mis en conformité avec ce qui lui était reproché, soit, pour d’autres raisons, la procédure doit être annulée ou suspendue, soit DNS ne reçoit aucune information de la part de l’APD sur la question dans un délai de 14 jours, alors DNS supprimera la re-direction vers la page d’avertissement et ré-intègrera le nom de domaine sur le net ;
- Soit DNS est informée que le titulaire du nom de domaine a, dans le délai de 14 jours, entrepris des mesures de réparation. Alors elle en informera directement l’APD dans les 2 jours ouvrables. Dans un deuxième délai de 14 jours après cette notification, l’APD informera DNS Belgium si le titulaire s’est mis en règle ou s’il existe d’autres raisons de suspendre ou d’annuler la procédure. Si tel est le cas ou si l’ADP n’a pas répondu dans le délai de notification, alors DNS Belgium supprimera la re-direction vers la page d’avertissement et ré-intègrera le nom de domaine sur le net ;
- Soit le titulaire ne s’est pas mis en conformité avec les infractions légales qui lui étaient reprochés et l’APD n’a pas demandé de suspendre ou d’annuler la procédure, alors DNS Belgium maintiendra encore pour une durée de 6 mois la redirection du nom de domaine vers la page d’avertissement. Au terme de ces 6 mois, DNS rattachera le nom de domaine contesté à l’un de ses propres noms de domaines temporaires et annulera le nom de domaine initial. A ce moment-là, le nom de domaine initial se retrouvera « en quarantaine » pendant une durée de 40 jours au terme de laquelle il sera libéré et disponible pour un nouvel enregistrement.
Commentaires
L’analyse de ce Protocole appelle plusieurs commentaires.
Tout d’abord, l’initiative de la procédure repose uniquement sur le Président de l’APD ce qui laisse sous-entendre que son activation reposera vraisemblablement sur des dénonciations ou des plaintes émanant de tiers, peut-être même concurrents au titulaire du nom de domaine concerné. Au sein même du protocole (article 5), DNS Belgium admet explicitement se trouver dans une position inconfortable au regard de cette question.
Ensuite, l’introduction et le déroulement de la procédure ne semblent pas prendre la forme d’un débat contradictoire, c’est-à-dire que le titulaire du nom de domaine incriminé n’a pas réellement la possibilité de s’expliquer aux termes d’une discussion avec les Autorités. En effet, à aucun moment de la procédure, le protocole ne réserve le droit au titulaire du nom de domaine d’être entendu ou d’apporter les preuves de la légalité de ses activités. Ce constat nous laisse perplexe quant au respect par le protocole des droits fondamentaux.
Même en présence d’une irrégularité au RGPD, la procédure ne laisse que 14 jours au titulaire du nom de domaine pour s’y conformer. Ce délai particulièrement court semble peu adapté à la réalité du terrain. En effet, en fonction de l’infraction au RGPD qui sera constatée, ce délai peut sembler extrêmement court. Par exemple, imaginons le cas d’un photographe qui diffuse des milliers de photographies sur Internet, dont des portraits et des images de personnes. Le droit à l’image et le droit à la vie privée, qui sont aussi couverts par le RGPD, imposent à ce dernier d’obtenir le consentement préalable des personnes qu’il photographie non seulement en ce qui concerne la prise d’image mais également la diffusion de ces images sur Internet. Faire le tri de ses milliers de photographies diffusées endéans un délai de 14 jours lui demandera probablement un travail conséquent.
Ensuite, aucun recours juridictionnel particulier ne permet au titulaire du nom de domaine de faire opposition des faits qui lui sont reprochés. Cette absence de deuxième degré peut paraître disproportionnée compte tenu des conséquences importantes que l’annulation d’un nom de domaine peut entraîner quant à la visibilité d’une entreprise sur Internet.
Auquel cas, la seule option du titulaire sera de se tourner vers la Cour des marchés, division de la Cour d’Appel de Bruxelles, compétente pour revoir les décisions administratives de l’APD.
Et enfin, le protocole semble limiter son champ d’application uniquement aux « infractions qui causent le plus grand préjudice aux intérêts à protéger ». Pour ce qui est de savoir quelles infractions au RGPD entrent ou non dans cette définition, le protocole reste vague et imprécis.
A ce sujet, il mentionne uniquement les « infractions délibérément commises par des organisations ou des personnes qui enfreignent cette législation et qui poursuivent leur traitement de données à caractère personnel malgré l’injonction antérieure du Service d’Inspection ou de la Chambre Contentieuse de le suspendre, le limiter, le geler (temporairement) ou d’y mettre fin ». S’agit-il ici des deux seules situations envisagées par le Protocole ou laisse-t-il plus d’amplitude à son interprétation ? La question reste ouverte et sans réponse pour le moment.
Néanmoins, l’apparition de ce Protocole est également une bonne chose en termes de respect de la vie privée sur Internet. On sait combien aujourd’hui il est extrêmement compliqué de contrôler les sites Internet dans leur conformité aux lois en vigueur et également leur contenu. Grâce à cette collaboration entre DNS Belgium et l’APD, on peut s’attendre à une mise en conformité au RGPD accrue et à davantage de respect de ce droit fondamental qu’est la vie privée.
Toutefois, rappelons que ce Protocole ne vise que les sites Internet avec un suffixe « .be », son application reste donc strictement limitée.
Pour conclure, comme mentionné précédemment, ce Protocole entraîne des conséquences importantes pour les titulaires de noms de domaine incriminées mais il constitue également un incitant supplémentaire au respect des données à caractère personnel. Désormais, ce Protocole appelle à une mise en conformité global des sites Internet belges, ce qui implique notamment une révision des politiques vie privée et surtout une meilleure transparence et communication avec les internautes. Cette nécessite est d’autant plus pressante que les parties au Protocole ont l’ambition de l’étendre aux autres zones de noms de domaines que DNS Belgium gère également, à savoir .vlaanderen et .brussels.
Frédéric Dechamps, Alicia De Mulder & Adeline Balza , avocats chez Lex4u.
Notes
- L’APD a été créée en 2017 par la loi du 3 décembre 2017 portant création de l’Autorité de Protection des Données, ci-après « LCA ».
- Article 52 de la loi du 3 décembre 2017, dite « LCA ».
- Article 58 du RGPD et article 100 de la loi du 3 décembre 2017, dite « LCA ».
- Article 52 de la loi du 3 décembre 2017, dite « LCA ».