Un registraire recueille des renseignements personnels afin de prévenir le piratage des noms de domaine

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-363

[Principes 4.2, 4.3 et 4.4 et paragraphe 5(3)]

Le plaignant, qui exploite un site Web lié à une organisation qu’il dirige, a affirmé que l’entreprise (un registraire de nom de domaine) qui a enregistré son nom de domaine et qui gère son site Web tentait d’obtenir de lui plus de renseignements personnels qu’il n’était nécessaire afin de modifier l’information sur l’enregistrement de son site. Le plaignant devait fournir au registraire de nom de domaine une copie de son permis de conduire ou de son passeport s’il voulait faire modifier l’adresse électronique servant à l’administration de son nom de domaine.

Il est apparu que le plaignant n’était pas le titulaire de l’enregistrement de son site Web. C’est pourquoi le registraire de nom de domaine devait s’assurer que le plaignant avait l’autorisation de faire les changements qu’il demandait, le piratage des noms de domaine étant actuellement une source de préoccupation pour l’industrie. De toute façon, comme le plaignant n’a pas produit les documents demandés, il n’y a pas eu collecte de renseignements personnels. La commissaire adjointe à la protection de la vie privée considère néanmoins que le but du registraire était indiqué dans les circonstances et que la collecte de renseignements n’était pas excessive.

Voici un résumé du déroulement de l’enquête et des délibérations de la commissaire adjointe.

Résumé de l’enquête

Un registraire de nom de domaine est une entreprise accréditée par la Société pour l’attribution des noms de domaine et numéros sur Internet (ICANN) pour vendre des noms de domaine sur Internet. Le registraire en question offre des services d’enregistrement des noms de domaine pour les principaux domaines génériques, y compris .com, .net et .ca.

Près d’un an après avoir fait enregistrer pour la première fois son site Web auprès du registraire, le plaignant a appris que celui‑ci avait mis fin au service de nom de domaine de son site Web et qu’il avait limité l’accès au site. Le plaignant a déclaré que le registraire avait fait une erreur dans l’adresse électronique utilisée pour l’administration du site. Il a donc été impossible d’envoyer par courrier électronique à l’administrateur du site Web du plaignant le mot de passe requis pour apporter des changements au compte.

Le registraire a déclaré que le processus de renouvellement des services de nom de domaine pour les sites Web est un processus automatisé. Lorsque la période d’enregistrement est terminée ou échue, le nom de domaine est automatiquement mis en attente, ce qui fait que le site Web cesse d’être accessible. Dans ce cas-ci, les avis de renouvellement avaient été envoyés à l’adresse électronique listée dans le bottin Internet (WHOIS). Le bottin Internet est un fichier de la base de données WHOIS, une base de données qui fournit aux utilisateurs d’Internet un répertoire des titulaires de noms de domaine enregistrés.

C’est l’avocat du plaignant qui a soumis la première demande d’enregistrement du site Web. Le plaignant a prétendu que son avocat avait dû fournir une pièce d’identité avec photo au moment de l’enregistrement. Mais selon le registraire, l’avocat n’avait eu qu’à remplir certaines zones du bottin Internet (WHOIS); on ne lui avait pas demandé de pièce d’identité. L’avocat a d’ailleurs déclaré ne pas se souvenir qu’on lui avait demandé de produire une pièce d’identité avec photo.

Le Commissariat a examiné une copie du formulaire renfermant l’information sur le domaine fournie au moment de l’enregistrement. L’information sur la personne‑ressource du titulaire comprenait le prénom et le nom de famille de l’avocat, le nom et l’adresse de l’organisation ainsi qu’un numéro de téléphone. Il y avait également une adresse électronique. Le registraire a souligné que le titulaire de l’enregistrement est responsable des données du dossier WHOIS, que c’est ce dernier (le titulaire de l’enregistrement) qui entre les données au moment de l’enregistrement. Il était mentionné dans le dossier que le plaignant n’avait pas reçu les courriels sur le renouvellement des services parce qu’il n’était pas la personne-ressource indiquée. Le registraire a envoyé tous les avis de renouvellement plusieurs fois à l’adresse électronique figurant dans le dossier avant de refuser au plaignant l’accès au site.

Le plaignant a déclaré n’avoir conclu aucune entente écrite avec le registraire. Il a en outre précisé que l’enregistrement s’était fait par téléphone. Le registraire a ajouté qu’il n’enregistre pas directement les noms de domaine, qu’il le fait par l’entremise d’un de ses 6 000 revendeurs (fournisseurs de services d’enregistrement de noms de domaine). Dans la plupart des cas, les clients font la demande au moyen d’un formulaire d’enregistrement en direct.

Le registraire a fourni au Commissariat un aperçu de la procédure à suivre pour faire modifier le nom de domaine d’un site Web. Lorsqu’un changement est demandé par un titulaire ou un représentant autorisé, la demande est traitée immédiatement. Si le demandeur n’est ni le titulaire ni le représentant, le registraire doit vérifier l’information sur l’organisation ou les renseignements administratifs en les comparant aux données de la pièce d’identité avec photo et examiner d’autres documents commerciaux fournis par le demandeur avant de procéder aux changements. Le registraire a besoin de certains documents, dont un seul comporte des renseignements personnels, soit la pièce d’identité avec photo. Si les données correspondent, le changement est effectué. Autrement, aucun changement n’est fait.

Comme le plaignant voulait faire modifier son adresse électronique administrative, le Commissariat a examiné le formulaire que le registraire utilise à cette fin, un formulaire que le demandeur doit remplir et soumettre. Le formulaire en usage à ce moment‑là n’indiquait pas explicitement le but de la collecte de renseignements personnels (la pièce d’identité avec photo) mais précisait qu’il fallait donner les coordonnées d’une personne de l’organisation qui avait manifestement le pouvoir de signature, comme l’indiquent les documents relatifs à l’inscription de l’entreprise (à soumettre avec la demande). Lorsque des clients posent des questions sur la collecte de renseignements personnels, le registraire leur explique que ces renseignements lui permettent de vérifier et de confirmer l’identité de la personne qui fait la demande et, dans le cas d’une entreprise, de prouver que cette personne a un lien légitime avec l’entreprise et qu’elle détient un pouvoir de signature. Le Commissariat a examiné la politique en matière de protection de la vie privée de l’entreprise et a constaté que cette politique ne traite pas de la collecte et de l’utilisation de renseignements sur le titulaire de l’enregistrement à des fins d’enregistrement et de renouvellement des noms de domaine.

Dans ce cas‑ci, le registraire devait vérifier si le plaignant, comme demandeur, était bien celui qu’il prétendait être et s’il était autorisé à représenter le titulaire de l’enregistrement. Lorsque le plaignant a tenté de formuler ses préoccupations au sujet de la collecte de renseignements personnels auprès de l’entreprise, on lui a répondu que pour que l’entreprise apporte un changement quelconque aux données du dossier WHOIS, il fallait que le titulaire de l’enregistrement (dans ce cas‑ci, l’avocat) figurant dans le bottin Internet lui en fasse la demande. Selon le registraire, le fait de modifier les données d’une adresse électronique administrative est comparable à remettre au demandeur les clés d’une entreprise.

Le registraire était d’avis que la demande d’identification et la vérification de l’information fournie n’étaient pas excessives et qu’elles avaient pour but de protéger les détenteurs de noms de domaine à un moment où le piratage des noms de domaine est répandu. Il y a piratage lorsque quelqu’un prend frauduleusement le contrôle de noms de domaine, souvent en se faisant passer pour la personne-ressource légitime de l’administrateur du site Web. Les adresses électroniques des personnes-ressources permettent de vérifier les détenteurs de noms de domaine. Les sites Web, autant les gros que les petits, risquent de voir leurs adresses volées et utilisées à des fins autres que celles prévues à l’origine. Selon le registraire, il serait négligent de donner suite à une demande sans obtenir de renseignements précis de la personne qui veut faire modifier un nom de domaine déjà enregistré.

Le plaignant n’était pas disposé à fournir à l’entreprise une copie de son permis de conduire ou de son passeport. Il a affirmé que le registraire ne lui avait pas expliqué le but de cette collecte d’information, bien qu’il le lui eût demandé. Le plaignant voulait également que le registraire change sa politique et lui présente des excuses. Selon le registraire, son secteur du service à la clientèle avait tenté à plusieurs reprises de répondre à sa plainte et d’expliquer l’objet de la collecte de renseignements personnels. Le gestionnaire de son service du crédit, lequel s’occupe habituellement de répondre aux questions des clients sur la vérification de l’identité, se souvient avoir dit au plaignant qu’il n’avait pas à fournir son numéro de permis de conduire ou de passeport.

Le registraire est tenu de rendre des comptes à deux organismes de réglementation de l’industrie : la Société pour l’attribution des noms de domaine et numéros sur Internet (ICANN) et l’Autorité canadienne pour les enregistrements Internet (ACEI). L’ICANN accrédite les registraires de noms de domaine et gère et coordonne le système des noms de domaine. Le registraire fonde ses procédures d’enregistrement des noms de domaine sur les normes de l’ICANN. La gestion et la distribution des domaines génériques et des domaines nationaux de premier niveau incombent aux registraires. Par exemple, l’ACEI est chargée d’exploiter les domaines de premier niveau comme « .ca ». Le registraire est un registraire accrédité .ca.

Selon la Politique de l’ICANN sur les transferts d’enregistrements entre registraires, un permis de conduire ou un passeport valide constitue une forme d’identification physique acceptable pour des titulaires d’enregistrement qui veulent faire transférer des noms de domaine d’un registraire à un autre.

Au cours de l’enquête, le registraire a indiqué qu’il accepterait toute suggestion du Commissariat relativement à ses processus de traitement des renseignements personnels. Le Commissariat estime que le registraire pourrait expliquer davantage les raisons pour lesquelles il recueille et utilise des renseignements personnels. À cet égard, le registraire a convenu de préciser dans sa politique de protection de la vie privée l’objet de la collecte et de l’utilisation de renseignements personnels dans le cadre de l’enregistrement des noms de domaine et des demandes de modification de ces noms de domaine. Le registraire va également clarifier l’objet de la collecte et de l’utilisation des renseignements directement dans le formulaire de changement d’adresse électronique administrative; il précisera dans ce formulaire qu’il acceptera comme pièce d’identité une copie de permis de conduire ou de passeport dont le numéro a été masqué.

Conclusions

Rendues le 14 décembre 2006

Application : Le principe 4.2 prévoit que les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle‑ci. Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.4 prévoit que l’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et que celle-ci doit procéder de façon honnête et licite. Au paragraphe 5(3) de la LPRPDE, il est prévu que l’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur la considération suivante :

  • Comme il n’y a pas eu de collecte de renseignements personnels, il n’y a pas eu d’infraction au principe 4.3.

La commissaire adjointe a donc conclu que la plainte était non fondée.

Autres considérations

Indépendamment de la décision susmentionnée, la commissaire adjointe a fait les commentaires suivants sur le but de la collecte de renseignements personnels par le registraire.

  • La demande d’une pièce d’identité avec photo, comme un permis de conduire ou un passeport, a pour but de garantir que la personne qui demande d’apporter des changements à une adresse électronique administrative dans les dossiers d’enregistrement de noms de domaine a le pouvoir de le faire.
  • De l’avis de la commissaire adjointe, l’objet de la demande est approprié dans les circonstances et satisfait au critère de la personne raisonnable mentionné au paragraphe 5(3). Le piratage de noms de domaine est actuellement une source de préoccupation pour l’industrie, et le registraire doit rendre des comptes à l’ICANN et à l’ACEI, les organismes de réglementation de l’industrie. Le registraire base ses procédures sur les normes de l’ICANN, qui considère qu’un permis de conduire ou un passeport valide constitue une forme d’identification acceptable pour le transfert d’enregistrement de noms de domaine.
  • La commissaire adjointe a souligné que la politique du registraire en matière de protection de la vie privée ne mentionne pas explicitement l’objet de la collecte des renseignements bien que le registraire y fasse allusion dans le formulaire de changement d’adresse électronique administrative. Toutefois, la politique et le formulaire ont depuis été révisés afin de mieux expliquer le but de la collecte des renseignements. L’utilisation de l’information est expliquée dans les modalités de l’entente d’enregistrement de domaine de l’entreprise qui aurait été applicable au moment où le site Web du plaignant a été initialement enregistré par son avocat. (La commissaire adjointe précise que cette entente stipule que le client doit informer le fournisseur de services le plus rapidement possible de tout changement apporté à l’enregistrement, de manière à ce que son dossier soit à jour, complet et exact.) Les employés du service de crédit du registraire expliquent régulièrement le but de la collecte de renseignements personnels à des clients lorsqu’ils communiquent avec des entreprises par téléphone. Cette procédure est conforme à l’obligation énoncée au principe 4.2 de déterminer les fins auxquelles des renseignements sont recueillis.
  • Pour ce qui est de déterminer si la collecte d’information est excessive, la commissaire adjointe a précisé que le registraire demande une seule pièce renfermant des renseignements personnels, soit une pièce d’identité avec photo, et d’autres documents administratifs renfermant le nom de domaine, une demande signée faite sur papier à en-tête de l’entreprise, des documents sur l’inscription de l’entreprise, une pièce d’identité avec photo, la nouvelle adresse électronique administrative et la signature du propriétaire. De l’avis de la commissaire adjointe, la demande n’est pas excessive lorsqu’on doit déterminer si le demandeur a le pouvoir de faire des changements; la demande satisfait alors aux exigences du principe 4.4. La commissaire adjointe ajoute que le registraire a également modifié ce formulaire pour préciser qu’il accepte une photocopie de permis de conduire et de passeport dont le numéro est masqué.
  • La commissaire adjointe était satisfaite des mesures prises par le registraire en vue d’améliorer l’information qu’il fournit aux clients sur ses politiques et pratiques en matière de protection de la vie privée.
Date de modification :