EPIC ACTION: Worldwide Coalition Signon - Letter to ICANN onWHOIS Privacy

[Cedric Laurant <chlaurant@epic.org>]

Title: EPIC ACTION: Worldwide Coalition Signon - Letter to IC

Hi all,

Please check the letter below.

We are trying to get as many groups and organizations as possible to support this letter.

Thanks for forwarding to people/groups/mailing lists/web sites/blogs that may have an interest in this letter in your country/region.  Link to letter is available at http://www.thepublicvoice.org/

Deadline to sign on is *October 26*.

Send your e-mail to mailto:chlaurant@epic.org.

SPANISH and FRENCH versions of the letter follow.

Thanks a lot for your consideration.

Cedric

-----------------------------------------

ENGLISH VERSION

WHOIS Letter to ICANN


Dear Friends,
In less than a week, the Internet Corporation for Assigned Names and Numbers (ICANN) will hold meetings in Carthage, Tunisia. The meetings will include discussions of WHOIS, a database that could have a significant impact on privacy, civil liberties, and freedom of expression for Internet users. The WHOIS database broadly exposes domain registrants' personal data to a global audience, including criminals and spammers.
We believe that ICANN should work to ensure that network administrators have access to accurate information in order to contact domain registrants and combat fraud and spam. However, this also requires the establishment of corresponding privacy safeguards, including reduced access and minimal data requirements, in order to encourage the submission of accurate data. In addition, users of domain names have a legitimate expectation of privacy and right to free speech, which should be protected.
We have drafted a letter to the President of ICANN, Paul Twomey, asking him to ensure that strong privacy safeguards, based on internationally accepted standards, are established for the WHOIS database. We would sincerely appreciate it if you would join us in this statement to ICANN. Domain registrants should not be required to submit extensive data that could lead to fraud victimization or political persecution.
If you agree with the statement below, please send an email to rotenberg@epic.org, chlaurant@epic.org, or wellings@epic.org with your name, email address, and organizational affiliation before October 26.
Thank you for your help with this.
Marc Rotenberg
Cedric Laurant
Frannie Wellings

---------------------------------------------------------------------
28 October 2003
Mr. Paul Twomey
President and Chief Executive Officer
Internet Corporation for Assigned Names and Numbers
4676 Admiralty Way, Suite 330
Marina del Rey, CA 90292-6601
United States of America

Dear Mr. Twomey,
We write to you, on behalf of many consumer and civil liberties organizations from around the world, regarding the significant privacy issues surrounding the WHOIS database and the need to ensure that strong privacy safeguards are established. ICANN has moved aggressively to establish accuracy requirements for domain name registrants, but has failed to establish corresponding protections for personal information that is provided. As representatives of Internet users around the world, we are keen to ensure that the policies developed for the WHOIS database respect the freedom of expression and the privacy of every individual who registers Internet domains.
Many organizations, consumer advocates, and technical experts have advocated strong protection for privacy interests. Those privacy concerns have not thus far been adequately addressed. We hope that our comments will be given due consideration during the WHOIS workshop at the upcoming ICANN meetings in Carthage, Tunisia.
1. The main purpose of the WHOIS database should be to resolve technical network issues, the most important being spam.
The WHOIS database was originally intended to allow network administrators to find and fix problems to maintain the stability of the Internet. It now exposes domain name registrants' personal information to many other users for many other purposes unrelated to network access. Anyone with Internet access can now have access to WHOIS data, and that includes stalkers, governments that restrict dissidents' activities, law enforcement agents without legal authority, and spammers. The original purpose for WHOIS should be reestablished.

One of the most important technical problems that threaten public use of the Internet today is spam. A sensible WHOIS policy would improve contact-ability and data accuracy for network administrators. It would not make personal information more widely accessible to third parties.
2. The use and management of the WHOIS database without adequate data protection safeguards raises risks for domain name holders' right to privacy and freedom of expression.
Users of domain names have a legitimate and reasonable expectation of privacy. There are many users, particularly in the non-commercial world, who have valid reasons to conceal their identities or to register domain names anonymously. Although there are some domain name registrants who use the Internet to conduct fraud or to infringe on other people's or companies' intellectual property rights, we believe that a sensible privacy policy for WHOIS must protect the legitimate privacy expectations for domain registrants.
First, for domain name registrars to compel registrants to disclose personal information, even information related to domain registration, poses dangers to freedom of expression and privacy on the Internet. Many domain name registrants--and particularly noncommercial users--do not wish to make public the information that they furnished to registrars. Some of them may have legitimate reasons to conceal their actual identities or to register domain names anonymously. For example, there are political, cultural, religious groups, media organizations, non-profit and public interest groups around the world that rely on anonymous access to the Internet to publish their messages. Anonymity may be critical to them in order to avoid persecution.
Second, WHOIS data should not be available to just anyone who happens to have access to the Internet. It is well known that broad access to personal information online contributes to fraud such as identity theft. US Federal Trade Commission (FTC) advises consumers to protect themselves from identity theft, and generally from Internet-related frauds, by not disclosing personally identifiable information. The mandatory publication of WHOIS data is contrary to the FTC's advice.
We urge ICANN to consider the views of consumer organizations and civil liberties groups on the WHOIS. At a minimum, we believe that adequate privacy safeguards should include the following principles:

*       The purposes for which domain name holders' personal data may be collected and published in the WHOIS database have to be specified; they should, as a minimum, be legitimate and compatible to the original purpose for which this database was created; and this original purpose cannot be extended to other purposes simply because they are considered desirable by some users of the WHOIS database;
*     The most relevant purpose for collecting WHOIS data is to combat spam;
* The amount of data collected and made publicly available in the course of the registration of a domain name is limited to what is essential to fulfill the purposes specified;
* Any secondary use that is incompatible with the original purpose specified requires the individual's freely given and informed consent;
*        The publication of individuals' personal information on the Internet through the WHOIS database should not be mandatory; it should be possible for individuals to register domain names without their personal information appearing on a publicly available register; and
*     Disclosure of WHOIS information to a law enforcement official or in the context of civil litigation must be pursuant to explicit legal authority set out in statute.


Such a policy would not frustrate lawful criminal investigations. It would instead establish necessary privacy safeguards, and reduce the risk that the widespread availability of WHOIS information will lead to greater fraud, more spam, and jeopardize freedom of expression.
Respectfully submitted,
Signatories:

cc:
------------------------------------
REFERENCES:
Memo from ICANN President Paul Twomey concerning WHOIS, 18 September 2003.
ICANN Carthage WHOIS Workshop Agenda, 30 September 2003.

ICANN WHOIS Privacy Steering Group webpage.
ICANN, Staff Manager's Issues Report on Issues Related to WHOIS, 13 May 2003.
Public Internet Registry, Letter regarding WHOIS to Chairman Lamar Smith, United States House Judiciary Committee, Subcommittee on Courts, the Internet, and Intellectual Property, 16 September 2003.
Public Interest Registry, Comments to the Final Report of the GNSO Council's WHOIS Task Force Accuracy and Bulk Access, 17 February 2003.
Generic Names Supporting Organization (GNSO), WHOIS Privacy Issues Table, 14 August 2003.
GNSO WHOIS Task Force, Final Report of the GNSO Council's WHOIS Task Force Accuracy and Bulk Access, 19 February 2003.
Electronic Privacy Information Center (EPIC), Minority Comments to the Final Report of the GNSO Council's WHOIS Task Force Accuracy and Bulk Access.
EPIC WHOIS webpage.
EPIC WHOIS Privacy Issues Report, 10 March 2003.
EPIC and Privacy International, Privacy and Human Rights - An international Survey of Privacy Laws and Developments, 2003.
Organization for Economic Co-operation and Development (OECD), Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. (English), (français).
European Union, Directive 1995/46/EC of the European Parliament and the Council on the Protection of Individuals with regard to the processing of Personal Data and on the Free Movement of such Data ("EU Data Protection Directive"). (English). (français). (español).
European Union Article 29 Data Protection Working Group, Opinion 2/2003 (WP 76) on the application of the data protection principles to the Whois directories, 13 June 2003. (English). (français). (español).
International Working Group on Data Protection in Telecommunications, "Common Position on Privacy and Data Protection aspects of the Registration of Domain Names on the Internet" (adopted at the 27th meeting of the Working Group on May 4-5, 2000 in Rethymnon, Crete).
United States Federal Trade Commission, National and State Trends in Fraud and Identity Theft (January 2002 - December 2002), January 22, 2003.

----------------------

SPANISH VERSION

WHOIS Letter to ICANN (Spanish)


Estimados amigos,
En menos de una semana, la Corporación de Internet para Nombres y Números Asignados ( Internet Corporation for Assigned Names and Numbers, ICANN) celebrará una serie de reuniones en Cartago, Túnez. Las reuniones incluirán debates sobre WHOIS, una base de datos que podría tener un impacto significativo sobre la privacidad, las libertades civiles y la libertad de expresión de los usuarios de Internet. La base de datos WHOIS expone de forma amplia los datos personales de las personas que se registran, a una audiencia global que incluye criminales y spammeadores.
Creemos que ICANN debe trabajar para asegurar que los administradores de redes tengan acceso a información exacta para contactar a los dueños de dominios y para luchar contra el fraude y el spam. Sin embargo, esto requiere el establecimienso de salvaguardias de privacidad, incluyendo un acceso reducido y unos requerimientos mínimos de datos, para alentgar la remisión de datos exactos. Además de ello, los usuarios de nombres de dominio tienen una expectativa legítima de privacidad y un derecho a expresarse libremente, derechos que deben protegerse.
Hemos redactado una carta al Presidente de ICANN, Paul Twomey, pidiéndole garantías de que para la base de datos WHOIS se establezcan fuertes garantías de privacidad, basadas en estándares internacionales. Nos sería de gran ayuda si se uniese usted a nosotros en esta declaración a ICANN. Los usuarios de nombres de dominio no deberían ser sometidos a la obligación de remitir una extensa cantidad de datos que podría llevar a convertirse en víctimas de fraude o de persecución política.
Si está usted de acuerdo con la declaración que sigue, sería de gran ayuda que nos enviase un mensaje de correo electrónico con su nombre, dirección email y afiliación (organización o entidad) antes del 26 de Octubre a Cédric Laurant mailto:chlaurant@epic.org
Gracias por su ayuda
Marc Rotenberg
Cedric Laurant
Frannie Wellings

---------------------------------------------------------------------

28 Octubre 2003

Sr. Paul Twomey
Presidente y Consejero Delegado (CEO)
Corporación de Internet para Nombres y Números Asignados
(Internet Corporation for Assigned Names and Numbers, ICANN)
4676 Admiralty Way, Suite 330
Marina del Rey, CA 90292-6601
Estados Unidos de América

Querido Sr. Twomey,
Le escribo, en nombre de muchas organizaciones de consumidores y de libertades civiles de todo el mundo, con relación a los significativos temas de privacidad de la base de datos WHOIS y la necesidad de asegurar que se establezcan fuertes salvaguardias de privacidad. ICANN ha llevado a cabo un movimiento agresivo para establecer requisitos de seguridad para propietarios de nombres de dominios, pero no ha establecido protecciones similares para la información personal que se suministra. Como representantes de usuarios de Internet del mundo, deseamos vivamente asegurar que las políticas desarrolladas para la base de datos WHOIS respete la libertad de expresión y la privacidad de todo individuo que registre un dominio de Internet.
Muchas organizaciones, defensores de los consumidores y expertos técnicos abogan por una protección fuerte a los intereses deprivacidad. Estas preocupaciones por la privacidad no han sido, hasta el momento, tratadas de forma adecuada. Esperamos que nuestros comentarios reciban la consideración que se merecen en la reunión de trabajo WHOIS de la próxima reunión ICANN en Cartago, Túnez.
1. El propósito fundamental de la base de datos WHOIS debería ser resolver asuntos técnicos sobre redes, siendo el spam el más importante.
La base de datos WHOIS fue proyectada en un principio para permitir a los administradores de red hallar y arreglar problemas, y mantener así la estabilidad de Internet. Ahora muestra a muchos usuarios la información personal de los propietarios de nombres de dominios, por muchos otros fines alejados del de acceso a redes. Cualquier persona con acceso a Internet puede ahora acceder a los datos WHOIS, y eso incluye acosadores, gobiernos que restringen las actividades de disidentes, agencias policiales sin autoridad legal y spammers. El propósito original de WHOIS debería ser re-establecido.
Hoy día, uno de los problemas técnicos más importantes que amenazan el uso público de Internet es el spam. Una política adecuada sobre WHOIS mejoraría la posibilidad de contactos, y la exactitud de los datos, para los administradores de redes. No debería hacer más ampliamente accesible a terceros la información personal.
2. El uso y gestión de la base de datos WHOIS, sin salvaguardias de protección de datos, genera riesgos para los derechos de privacidad y libertad de expresión de los propietarios de nombres de dominio.
Los usuarios de nombres de dominio tienen un derecho razonable y legítimo a que se respete su intimidad. Hay muchos usuarios, particularmente en el mundo no comercial, con razones legítimas para ocultar su identidad, o para registrar nombres de dominio de forma anónima. Aunque hay algunos propietarios de nombre de dominio que usan Internet para llevar a cabo fraude o infringir los derechos de propiedad intelectual de otras personas o empresas, creemos que una política de privacidad adecuada para WHOIS debe proteger las expectativas legítimas de privacidad de los propietarios de dominios.
Primero, el hecho de que los registradores de nombres de dominio exijan a los dueños de dominio que revelen información personal, incluso información relativa al registro del dominio, representa un peligro para la libertad de expresión y la privacidad en Internet. Muchos dueños de nombres de dominio -y, en particular, usuarios no comerciales- no desean hacer pública la información que han proporcionado a los registradores. Algunos de ellos pueden tener razones legítimas para ocultar sus identidades reales o para registrar nombres de dominio de forma anónima. Por ejemplo, hay grupos políticos, culturales y religiosos, organizaciones de medios de comunicaciones, grupos no lucrativos y de interés público por todo el mundo que confían en el acceso anónimo a Internet para publicar sus mensajes. El anonimato puede ser algo vital para evitar que sean perseguidos.

Segundo, los datos de WHOIS no deberían estar disponibles a cualquiera con acceso a Internet. Es bien conocido que el acceso amplio a la información personal online contribuye a fraudes tales como los robos de identidad. La Comisión Federal de Comercio (FTC) de los EEUU aconseja a los consumidores que se protejan del robo de identidad, y en general de los fraudes relacionados con Internet, no revelando información que les identifique. La publicación obligatoria de los datos WHOIS es contraria al consejo de la FTC.
Instamos a la ICANN a que considere las posturas de las organizaciones de consumidores y de libertades civiles acerca de WHOIS. Como mínimo, creemos que las salvaguardias de privacidad deberían incluir los siguiente principios:

*     Deben especificarse los fines para los que los datos personales de los dueños de nombres de dominio pueden ser recopilados y publicados en la base de datos WHOIS; como mínimo, deben ser fines legítimos y compatibles con el fin original para los que se creó esta base de datos; y este fin original no puede extenderse a otros propósitos simplemente porque se consideren deseables por parte de algunos usuarios de la base de datos WHOIS;
*    El propósito más relevante para recopilar los datos WHOIS es combatir el spam;
* La cantidad de datos recopilados y puestos a disposición del público, en el transcurso del registro de un nombre de dominio, se limita a lo esencial para cumplir dicho propósito;
*     Cualquier uso secundario incompatible con el fin original especificado requiere el consentimiento, libremente otorgado, por parte del usuario informado;
*       La publicación en Internet de la información personal de individuos mediante la base de datos WHOIS no debería ser obligatoria; debería ser posible para los usuarios registrar nombres de dominio sin que su información personal apareciese en un registro público; y
*        La revelación de la información de WHOIS a un agente de la ley, o en el contexto de un proceso civil, debe ser de acuerdo con la autoridad legal específica según la legislación vigente.

Una política así no frustraría la labor de investigación penal legal. Al contrario, establecería las salvaguardias necesarias de privacidad y reduciría el riesgo de que la disponibilidad de información WHOIS a gran escala llevase a un mayor grado de fraude, spam, y riesgos a la libertad de expresión.
Respetuosamente,
Signatarios:
------------------------------------
REFERENCES:
Memorandum del Presidente de ICANN, Paul Twomey, con relación a WHOIS, 18 Septiembre 2003.
Agenda del Grupo de Trabajo sobre WHOIS de ICANN en Cartago, 30 Septiembre 2003.
Página web del Grupo sobre Privacidad en WHOIS de la ICANN.
ICANN, Informe del Jefe de Personal sobre Asuntos Relativos a WHOIS, 13 Mayo 2003.
Public Internet Registry, Letter regarding Registro Público de Internet, Carta Relativa a WHOIS, al Presidente Lamar Smith, Comisión Judicial de la Cámara de Representantes de EEUU, Subcomisión sobre Tribunales, Internet y Propiedad Intelectual, 16 Septiembre 2003.
Public Interest Registry, Comments to the Final Registro Público de Internet, Comentarios sobre el Informe Final del Grupo de Tareas de la WHOIS sobre Exactitud y Acceso Masivo, Consejo GNSO, 17 Febrero 2003.
Organización de Apoyo a Nombres Genéricos (GNSO), Mesa sobre Asuntos de Privacidad en WHOIS, 14 Agosto 2003.
GNSO, Grupo de Tareas WHOIS, Informe Final del Grupo de Trabajo sobre Exactitud y Acceso Masivo, 19 Febrero 2003.
Centro de Información sobre Privacidad Electrónica (Electronic Privacy Information Center, EPIC), Comentario Minoritario al Informe del Grupo de Trabajo sobre Exactitud y Acceso Masivo, del Consejo GNSO.
Página de la EPIC sobre WHOIS.
Informe sobre Temas de Privacidad WHOIS de la EPIC, 10 Marzo 2003.
EPIC y Privacy International, Privacidad y Derechos Humanos - una Revisión Internacional de las Leyes y Desarrollos sobre Privacidad, 2003.
Organización de Cooperación y Desarrollo Económico (OCDE), Líneas sobre la Protección de la Privacidad y los Flujos de Datos Personales. (English), (français).
Unión Europea, Directiva 1995/46/CE del Parlamento Europeo y el Consejo sobre la Protección de los Individuos en relación al procesamiento de Datos Personales y al Libre Movimientos de tales Datos ("Directiva de la UE sobre Protección de Datos") (English). (français). (español).

Grupo de Trabajo sobre Protección de Datos del Artículo 29, Unión Europea, Opinión 2/2003 (WP 76) sobre la aplicación de los principios de protección de datos a los directorios Whois, 13 Junio 2003. (English). (français). (español).
Grupo Internacional de Trabajo sobre Protección de Datos en las Telecomunicaciones, "Posición Común sobre aspectos de Privacidad y Protección de Datos en el registro de Nombres de Dominio en Internet" (adoptado en la 27ª reunión del Grupo de Trabajo en 4-5 Mayo 2003, en Rethymnon, Creta).

Comisión Federal de Comercio de los Estados Unidos, Tendencias Nacionales y Estatales en el Fraude y el Robo de Identidad (Enero 2002 - - Febrero 2002), 22 Enero 2003

[Traducción/translation/traduction: Arturo Quirantes]

----------------------

FRENCH VERSION

WHOIS Letter to ICANN (French)


Chers amis,
Dans moins d'une semaine, l'ICANN (Internet Corporation for Assigned Names and Numbers) va organiser une conférence à Carthage en Tunisie. Cette conférence sera l'occasion de discuter de l'annuaire "WHOIS", une base de données qui pourrait avoir un impact majeur sur la vie privée, les libertés civiles et la liberté d'expression des utilisateurs d'Internet. L'annuaire "WHOIS" divulgue au monde entier les données personnelles des personnes ou entités ayant enregistré un nom de domaine, y compris les criminels et les expéditeurs de courriers électroniques commerciaux non-sollicités ("spammers").
L'ICANN devrait faire en sorte que les administrateurs de réseaux aient accès à une information précise de manière a pouvoir contacter les personnes qui enregistrent des noms de domaine et combattre la fraude et l'envoi de courriers électronique non-sollicités. Cependant, cela requiert également la mise en place de mesures destinées à protéger la vie privée, y compris un accès limité et la limitation du nombre des données personnelles collectées, de façon a encourager l'exactitude des données soumises. De plus, les utilisateurs de noms de domaine ont droit à ce que leur vie privée et leur liberté d'expression soient protégées.
Nous avons redigé une lettre au président d'ICANN, Paul Twomey, lui demandant de faire en sorte que de solides protections de la vie privée soient mises en place pour l'annuaire "WHOIS", fondées sur des règles de droit provenant de conventions internationales. Nous vous serions reconnaissant de soutenir notre lettre. Les personnes enregistrant des noms de domaine ne devraient pas être tenus de soumettre des données personnelles si leur dissémination encourage la fraude à leur égard ou est susceptible de les soumettre à une persecution ou harcèlement politique dans leur pays.
Si vous êtes d'accord avec le message de la lettre qui suit, envoyez un courriel a chlaurant@epic.org avec votre nom, addresse de courrier électronique et l'organisation à laquelle vous êtes affilié *avant le 26 octobre*.
Merci pour votre aide.
Marc Rotenberg
Cedric Laurant
Frannie Wellings

---------------------------------------------------------------------
Le 28 octobre 2003
M. Paul Twomey,
Président et "Chief Executive Officer"
Internet Corporation for Assigned Names and Numbers
4676 Admiralty Way, Suite 330
Marina del Rey, CA 90292-6601
Etats-Unis d'Amerique

M. Twomey,
Nous vous écrivons, au nom de plusieurs organisations de protection de consommateurs et de défense des droits de l'homme et de libertés civiles du monde entier sur le sujet de l'annuaire "WHOIS" et des questions sur la vie privée qui y sont liées, ainsi que sur le besoin de s'assurer que des protections effectives du droit au respect de la vie privée soient mises en place. ICANN s'est efforcé jusqu'a présent d'exiger des personnes qui enregistrent des noms de domaine de fournir des données personnelles exactes. Pourtant, votre organisation n'a pas établi de protections équivalentes en ce qui concerne le traitement de ces données personnelles une fois qu'elles ont été collectées. En tant que représentants d'utilisateurs d'Internet à travers le monde, nous recommandons vivement que les politiques établies pour l'annuaire WHOIS respectent la liberté d'expression et la vie privée de tout individu enregistrant un nom de domaine.

Beaucoup d'organisations, de défenseurs des consommateurs et d'experts ont défendu la mise en place de protections effectives du droit au respect de la vie privée. Les remarques que nous avons faites relativement au droit au respect de la vie privee n'ont, jusqu'a présent, pas ete adressées de manière adequate. Nous espérons vivement que nos commentaires recevront l'attention requise durant le séminaire WHOIS de la conférence d'ICANN à Carthage en Tunisie.
1. L'objectif principal de l'annuaire WHOIS est de résoudre les problàmes techniques de réseaux, dont le plus important est celui lié à la distribution de courriers électroniques non-sollicités ("spam").
L'annuaire WHOIS a été établi à l'origine aux fins de permettre aux administrateurs de réseaux de résoudre les problèmes lies à la stabilité de l'Internet. Cet annuaire divulgue aujourd'hui les données personnelles des personnes qui enregistrent un nom de domaine à de nombreux autres utilisateurs et à des fins bien différentes de celles liées à la maintenance des problèmes de réseau. Toute personne se connectant à l'Internet peut maintenant avoir accès aux données figurant dans l'annuaire WHOIS. Cela peut inclure, par exemple, les expéditeurs de courriers électroniques non-sollicités ("spammers") et les auteurs de harcèlement criminel ("stalkers"), ou encore les autorités policières agissant sans autorisation légale et les gouvernements qui limitent ou restreignent les activités de dissidents. C'est pour cela que la finalité initiale de l'annuaire WHOIS devrait être réinstituée.
Un des problèmes techniques les plus importants qui menacent l'usage public d'Internet aujourd'hui est l'envoi de "spam". La politique liée au traitement des données personnelles par l'annuaire WHOIS devrait améliorer les possibilités de contact entre administrateurs de réseaux et l'exactitude des données personnelles enregistrées. Cette politique n'aurait pas comme objectif de rendre les données personnelles plus largement disponibles aux tiers.
2. L'utilisation et la maintenance de l'annuaire WHOIS sans protection adéquate de la vie privée accroît les risques d'atteintes au droit au respect de la vie privée et à la liberté d'expression des personnes enregistrant un nom de domaine.
Les utilisateurs de noms de domaine peuvent légitimement s'attendre à ce que leur droit à la vie privée soit respecté. Beaucoup d'utilisateurs, particulièrement dans le secteur du non-marchand et dans les organisations d'intérêt public, ont des raisons légitimes de ne pas révéler leur identité ou d'enregistrer des noms de domaine de manière anonyme. Meme si parmi ces utilisateurs, il y en a qui fraudent ou qui violent les droits de la propriété intellectuelle, nous recommandons que toute politique en matière de vie privée applicable à l'annuaire WHOIS doit protéger le droit au respect de la vie privée des personnes enregistrant un nom de domaine.
Premièrement, obliger les personnes qui enregistrent un nom de domaine à révéler des informations personnelles, y compris des données relatives à l'enregistrement de leur nom de domaine, pose un danger pour la liberté d'expression et le respect de la vie privée sur Internet. Beaucoup de titulaires de noms de domaine--et particulièrement les utilisateurs appartenant au secteur non-commercial--ne souhaitent pas rendre publique l'information qu'ils ont fournie aux registres de noms de domaine. Certains d'entre eux ont d'ailleurs des raisons légitimes de cacher leur identité véritable ou d'enregistrer un nom de domaine de manière anonyme. Il y a, par exemple, les groupes politiques, culturels, religieux, les media, et autres associations sans but lucratif ou d'intérêt public, qui ne sont prêts à publier leurs opinions sur Internet que parce que le réseau des réseaux ne les force pas à s'identifier. Leur anonymat leur est crucial pour éviter les risques de persécution par le pouvoir en place dans leur pays.
Deuxièmement, les donéees de l'annuaire WHOIS ne devraient pas être disponibles à toute personne ayant accès à l'Internet. Il est bien connu que la disponibilité d'informations personnelles sur Internet facilite grandement la fraude, comme le vol d'identité ("identity theft"). La "Federal Trade Commission" (Commission federale du Commerce) américaine conseille d'ailleurs aux consommateurs de se protéger du vol d'identité, et generalement de toute forme de fraude liée à l'Internet, en évitant de révéler ses informations personnelles en ligne. Rendre obligatoire la publication des données de l'annuaire WHOIS va à l'encontre du conseil de la Federal Trade Commission.

Nous recommandons vivement à ICANN de considerer l'opinion des organisations de protection des consommateurs et des groupes de defense des droits de l'homme et des libertés civiles. Nous pensons que les principes essentiels que tout traitement de données personnelles par l'annuaire WHOIS devrait respecter sont les suivants :

* Les finalités pour lesquelles les données personnelles de titulaires de noms de domaine peuvent être collectées et publiées sur le site web de WHOIS doivent être spécifiées; elles devraient être, au minimum, légitimes et compatibles avec la finalité initiale pour laquelle l'annuaire a été créé; et cette finalité initiale ne peut s'étendre à d'autres finalités simplement parce que celles-ci sont considérées souhaitables par certains utilisateurs potentiels de cet annuaire;
*   La finalité la plus relevante pour laquelles les données personnelles de l'annuaire WHOIS sont collectées est de combattre l'envoi non-sollicité de courriers electroniques ("spam");
*  La quantité d'informations personnelles collectées et rendues publiquement disponibles durant l'enregistrement d'un nom de domaine doit être limitée à ce qui est pertinent et non-excessif au regard des finalités spécifiques pour lesquelles ces informations sont collectées ou traitées;
*  Tout usage des données personnelles sur l'annuaire WHOIS qui est incompatible avec la finalité initiale de la collection des donnees requiert une manifestation de volonté, libre et informée de la personne concernée.
*        La publication des informations personnelles d'un individu sur l'Internet via l'annuaire WHOIS ne devrait pas être obligatoire; il devrait être possible pour les personnes concernées d'enregistrer un nom de domaine sans que leur données personnelles soient nécessairement rendues publiques;
*     Le transfert d'informations WHOIS aux autorités policières dans le cadre d'une investigation criminelle ou d'une procédure civile, doit être fait en conformité avec la loi.

Une telle politique de respect du droit à la vie privée n'empêcherait pas les investigations criminelles autorisées par la loi. Au contraire, elle établirait les measures de protection de la vie privée nécessaires et réduirait par la même le risque que la disponibilité des informations WHOIS n'entraîne encore plus de fraude et de spam, et ne mette en péril la liberté d'expression.
Signataires:
------------------------------------
REFERENCES:
Memo from ICANN President Paul Twomey concerning WHOIS, 18 September 2003.
ICANN Carthage WHOIS Workshop Agenda, 30 September 2003.
ICANN WHOIS Privacy Steering Group webpage.
ICANN, Staff Manager's Issues Report on Issues Related to WHOIS, 13 May 2003.
Public Internet Registry, Letter regarding WHOIS to Chairman Lamar Smith, United States House Judiciary Committee, Subcommittee on Courts, the Internet, and Intellectual Property, 16 September 2003.
Public Interest Registry, Comments to the Final Report of the GNSO Council's WHOIS Task Force Accuracy and Bulk Access, 17 February 2003.
Generic Names Supporting Organization (GNSO), WHOIS Privacy Issues Table, 14 August 2003.
GNSO WHOIS Task Force, Final Report of the GNSO Council's WHOIS Task Force Accuracy and Bulk Access, 19 February 2003.
Electronic Privacy Information Center (EPIC), Minority Comments to the Final Report of the GNSO Council's WHOIS Task Force Accuracy and Bulk Access.
EPIC WHOIS webpage.
EPIC WHOIS Privacy Issues Report, 10 March 2003.
EPIC and Privacy International, Privacy and Human Rights - An international Survey of Privacy Laws and Developments, 2003.
Organization for Economic Co-operation and Development (OECD), Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. (English), (français).
European Union, Directive 1995/46/EC of the European Parliament and the Council on the Protection of Individuals with regard to the processing of Personal Data and on the Free Movement of such Data ("EU Data Protection Directive"). (English). (français). (español).
European Union Article 29 Data Protection Working Group, Opinion 2/2003 (WP 76) on the application of the data protection principles to the Whois directories, 13 June 2003. (English). (français). (español).

International Working Group on Data Protection in Telecommunications, "Common Position on Privacy and Data Protection aspects of the Registration of Domain Names on the Internet" (adopted at the 27th meeting of the Working Group on May 4-5, 2000 in Rethymnon, Crete).
United States Federal Trade Commission, National and State Trends in Fraud and Identity Theft (January 2002 - December 2002), January 22, 2003.

--

Cedric Laurant - Policy Counsel
Electronic Privacy Information Center
1718 Connecticut Ave., N.W., Suite 200
Washington, DC 20009  -  U.S.A.
Tel: +1 (202) 483-1140 (x114)
Fax: +1 (202) 483-1248

- - - - - - - - - - - - - - - - - - - -

epic.org - privacy.org - gilc.org
observingsurveillance.org