February 08, 2013

Un point sur les saisies de noms de domaine (USA / UE)

Il y a deux tendances de fond en matière de noms de domaine : l'extension de l'espace de nommage - les nouveaux TLDs - et... son rétrécissement - les saisies de noms de domaine.
S'agissant de la première tendance, on croule sous les informations, parfois contradictoires (j'y reviendrai dans un prochain billet). S'agissant de la seconde, c'est au contraire un manque de transparence qui est à déplorer... alors pourtant que les saisies concernent la mise en oeuvre des règles de droit !!

Je remercie donc les personnes (qui se reconnaîtront : merci beaucoup !) qui m'ont envoyé des informations ou bien voulu répondre à mes questions. Voici un petit billet récapitulatif d'éléments obtenus de source sûre, et communiqués avec l'autorisation de la source quand elle était nécessaire, relatifs à la mise en oeuvre de saisies de noms de domaine en Europe (pour le rappel du contexte, voir ici).

Si le plan d'action Operation In Our Sites, lancé aux Etats-Unis, s'est étendu à l'Europe, c'est à la suite d'une demande de collaboration lancé par l'I.C.E. (les douanes américaines) à laquelle a favorablement répondu Europol. Toutefois, dans le délai prévu pour la mise en oeuvre de l'opération programmée pour le 26 novembre 2012, Europol ne pouvait espérer que puissent participer l'ensemble des autorités des 27 Etats membres. C'est pourquoi les saisies de noms de domaine ne se sont limitées qu'à certains pays / ccTLDs.

Parmi ces pays, on trouvait la Suède et l'Espagne. S'ils ont souhaité accompagner l'opération (des noms en .se et .es avaient été identifiés comme servant à des activités contrefaisantes), ces Etats en ont été empêchés par le jeu des règles de procédure interne. En Espagne, un juge a refusé de prendre une ordonnance de saisie. En Suède, il faut une décision contradictoire (donc une procédure longue) pour la saisie de noms de domaine.

Parmi ces pays, se trouvait aussi... la France. Un communiqué avait fait état de saisies de noms en .fr, mais cela n'était pas confirmé de sources proches du dossier. Qu'en est-il ? 
Dans la liste communiquée à Europol avaient été signalés 23 noms de domaine en .fr. 21 avaient été enregistrés chez GoDaddy, et ce sont donc les autorités américaines qui s'en sont occupées. S'agissant des 2 restants, la Gendarmerie Nationale a cherché à les saisir, s'est adressée à l'AFNIC à cette fin, qui a refusé, faute d'existence d'un fondement juridique (il m'arrive d'être critique vis-à-vis du registre, cette fois je dis bravo pour cette posture).

Europol n'a pas souhaité communiquer publiquement sur la liste des noms de domaine saisis, parce que certains Etats participants ne le voulaient pas. C'est pourquoi, sur la bannière désormais visible sous les noms de domaine saisis, on ne trouve pas le blason de certaines autorités. Elles ont préféré jouer "profil bas" de manière à ne pas souffrir de représailles (attaque de leur site, par exemple). Europol communique, sur demande, les noms de domaine en .be et en .eu saisis, et pour le reste renvoie aux Etats membres concernés.

Ce manque de transparence sur la saisie de noms de domaine n'est pas propre à l'Union Européenne. A l'occasion du décès de l'activiste Aaron Swartz, il fut rappelé qu'au nombre de ses actions il y avait eu la demande de communication de l'ensemble des actes ou éléments en lien avec la saisie de noms de domaine aux Etats-Unis. Il s'agissait d'une demande faite sur le fondement du Freedom of Information of Act (quoi de plus normal que d'avoir mobilisé ce texte pour celui qui a déclaré "Information wants to be free" ?) permettant normalement d'obtenir des documents administratifs (qui rappellera aux Français la loi de 78 ayant le même objet). Avec ténacité, Swartz a relancé et relancé encore les autorités, pour enfin se voir communiquer ce qu'il demandait. On pourra retrouver ici les 100 premières pages de la réponse qui lui fut faite, intéressantes en ce qu'elles permettent de documenter les fondements juridiques ou ordonnances ayant permis de déclencher les saisies.

L'administration n'est donc pas toujours transparente, loin de là ! Et les faits ont montré que certains registres ne sont pas non plus enclins à ouvrir leurs archives... A signaler, donc, l'initiative du registre du .org, qui inventorie l'ensemble des injonctions (take down orders) qu'il a reçues.

A signaler encore que derrière l'expression "saisie de nom de domaine" se trouvent des réalités différentes. Un représentant d'Europol a bien voulu me répondre qu'en Europe, ces saisies consistaient pour l'heure simplement en des redirections vers les serveurs de l'ICE. Il n'y a pas encore de communications des données associées au nom (celles qui figurent au Whois, ou les coordonnées bancaires grâce auquel l'enregistrement a été réglé).