Si vous visitez un site web qui intègre des services de tiers, comme Cookiebot ou Google Maps, vous pouvez facilement savoir si les données de vos propres visiteurs peuvent ainsi être exposées à des pays tiers peu sûrs. Une recherche Whois montre immédiatement si un problème de protection des données peut être supposé.
Il est important de savoir qui est propriétaire d'une domaine au moins après le jugement Privacy Shield du TJUE ("Schrems II"). Un domaine est une adresse Internet symbolique. En particulier pour les domaines étrangers, la connaissance de l' propriétaire est importante.
À qui appartient un domaine ?
Il est possible de répondre à cette question en effectuant une requête Whois.
Qui transmet des données aux États-Unis ou utilise les services de traitement de données d'une entreprise américaine, devrait le faire uniquement après l'accord des utilisateurs. Cela exclut ainsi tous les services de Google pour un propriétaire de site Web qui donne la priorité à une grande sécurité juridique. Mise à jour : L'accord pour le transfert de données aux États-Unis est toutefois lié aux dispositions du Article 49 DSGVO.
En utilisant ces outils, on se met en danger de divulguer des données personnelles (comme l'adresse réseau ) au-delà des normes américaines telles que le Cloud Act, la loi FISA (notamment section 702) ou l'ordre exécutif 12333. Cela contredit notamment les dispositions de l'article 44ff DSGVO .
Une personne concernée qui visite un site web peut rapidement trouver à qui une donnée de domaine ou une adresse IP est attribuée, sur qui cette donnée de domaine ou adresse a été octroyée. Pour cela, on utilise une requête Whois exécutable et gratuite en tout temps.
Une requête surnommée Whois (appelée également WHOIS-Lookup) fournit des informations sur le Registrant, qui a enregistré la domaine. Pour les services WHOIS, il existe de nombreux fournisseurs qui permettent des requêtes gratuites. Voici quelques-uns de ces fournisseurs et bureaux d'administration pour les adresses Internet :
WHO.IS
Ce service est accessible à l'adresse https://who.is.
La requête est possible par saisie du nom de domaine. Un nom de domaine, par exemple , google-analytics.com
Le texte www. ou https:// au début est ici omis !
ICANN
L'ICANN est l'Internet Corporation for Assigned Names and Numbers. Elle coordonne la mise en place de noms et d'adresses uniques sur Internet. Cela comprend la coordination du système de nommage des domaines (DNS) et l'allocation d'adresses IP. Le DNS a pour but de permettre à un nom symbolique (le nom de domaine) d'être associé à son adresse réseau technique correspondante. Cette association est effectuée par un serveur de noms (Name Server), qui fournit un service DNS.
Le service WHOIS de ICANN est accessible à l'adresse https://lookup.icann.org/. Avec cela, on peut chercher tant un nom de domaine (niveau supérieur uniquement) comme cookiebot.com que une adresse IP comme 184.86.103.220.
Pour trouver l'adresse IP d'une sous-domaine comme consent.cookiebt.com, il faut procéder de la manière suivante : On ouvre une page web qui utilise un outil comme Cookiebot pour contacter cette adresse. Avant de lancer la page, on ouvre la console de développement avec la touche F12. Dans la console de développement, on ouvre l'analyse réseau, on charge la page, puis on passe la souris sur l'adresse symbolique et on voit l'IP associée.
Le nombre 443 mentionné à la fin de l'adresse, séparé d'adresse IP par deux points, désigne le Port. Cela est sans importance pour l'examen actuel.
Si une adresse n'est pas gérée par l'ICANN, le résultat de la requête indique quel est le bureau d'enregistrement compétent.
Dans l'image, on voit en plus du serveur WHOIS responsable également le propriétaire de l'adresse (ici : Akamai).
L'ICANN est l'organisation mondiale de tutelle pour les noms de domaine et les adresses. Elle se sert de cinq agences régionales, qui, simplifiées, sont chacune chargée d'un continent.
Les agences régionales utilisent à leur tour les registres locaux, comme par exemple DENIC pour les noms de domaine allemands. Chaque registre local travaille avec des partenaires qui rendent les domaines – le plus souvent contre argent – enregistrables. Ces partenaires sont appelés Registrare.
| Terme | Signification | Exemple |
|---|---|---|
| Registre | Permet d'enregistrer des noms de domaine | All-Inkl.com |
| Registratur | Gère les noms de domaine, également appelé bureau d'enregistrement | DENIC |
| Registrant | Personne ou organisation qui enregistre un domaine | Société qui possède une adresse Internet |
| Registre régional de l'internet | Un des cinq organismes mondiaux qui gèrent les adresses IP | RIPE CCN |
| ICANN | Organisation faîtière mondiale pour la gestion des domaines et des adresses Internet | ICANN |
ARIN et autres agences régionales
ARIN désigne American Registry for Internet Numbers. L'ARIN est une subdivision de l'ICANN et constitue une régistre d'internet régional, auxquels appartiennent également RIPE. ARIN est notamment responsable des États-Unis, RIPE notamment pour l'Europe. On trouve encore APNIC, AFRINIC et LACNIC:
- ARIN : Amérique du Nord, Canada, États-Unis, certaines parties des Caraïbes
- Europe**, Moyen-Orient, Asie centrale
- APNIC : Asie, Pacifique
- LACNIC : Amérique latine, certaines parties des Caraïbes
- AFRINIC : Afrique
La requête WHOIS de ARIN indique à quel entreprise américaine une adresse internet est attribuée.
Par exemple, on peut ainsi découvrir que lors de l'intégration du SoundCloud service audio sur un site web, un transfert de données vers un serveur d'Amazon à Seattle/États-Unis est établi. Cela serait obligatoire en vertu de l'article 44 ss DSGVO. De même, on peut découvrir que le domaine consent.cookiebot.com, qui se trouve notamment sur l'adresse 184.86.103.220, a été autorisé par la société suivante :
Il peut donc être constaté que l'intégration de Cookiebot sur un site Web pour réaliser une demande d'autorisation implique un transfert de données qui se trouve entre les mains d' Akamai en tant qu'entreprise américaine. Akamai agira probablement même comme fournisseur de la structure des serveurs en utilisant le Akamai CDN pour diffuser les scripts Cookiebot, un CDN étant un réseau de livraison de contenu et représentant ainsi une sorte de réseau décentralisé, hautement disponible et rapide. Lorsque des CDNs sont mis en place à l'échelle mondiale, des questions de protection des données se posent. Il convient donc de préférer les fournisseurs de CDN d'origine européenne pour éviter les problèmes liés à la protection des données.
RIPE CCN
La NCC RIPE signifie Centre de coordination du réseau RIPE et est un registre Internet qui s'occupe également des Europe. RIPE signifie Réseaux IP Européens (réseaux IP européens).
La recherche WHOIS est accessible sur la page d'accueil.
Si l'on entre dans la requête d'adresse RIPE une adresse qui n'est pas gérée par RIPE, l'image suivante apparaît :
RIPE renvoie donc directement aux autres bureaux d'enregistrement à partir desquels l'adresse recherchée peut être gérée.
DENIC
DENIC désigne le Deutsches Network Information Center. Il s'agit d'une coopérative (DENIC eG) enregistrée. DENIC gère les domaines avec l'extension .de, c'est-à-dire les principalement utilisés par des sites web allemands. Les top-level-domains spécifiques à un pays sont également appelées ccTLD. ccTLD signifie Country Code Top-Level-Domain. Les domaines transnationaux, comme .com, sont gérés par des organismes spécifiques, de sorte que chaque Top-Level-Domain est gérée par une certaine autorité d'enregistrement.
DENIC est membre de RIPE et représente, selon ses propres déclarations, les intérêts de la communauté internet allemande dans les groupes de travail d'ICANN.
DENIC_ propose une recherche de domaine directement sur la page d'accueil. Grâce à celle-ci, on peut trouver l' propriétaire d'une domaine.
La requête affiche des détails techniques, dont le serveur de noms du domaine. Il s'agit généralement du serveur du fournisseur (hébergeur web) sur lequel sont stockés les contenus relatifs au domaine.
Les données relatives au titulaire du domaine ne peuvent pas être consultées directement. En tant que propriétaire d'un domaine, il est possible de consulter les données à des fins de vérification. Sinon, la consultation n'est possible qu'en raison de nécessités juridiques, par exemple pour des poursuites pénales.
Intermédiaire : fournisseur de noms de domaine
Pour faire fonctionner une page web ou envoyer des e-mails à partir d'une propre domaine, il faut réserver la domiane correspondante. Une domaine est comme une adresse, par exemple spiegel.de. En fait, les noms de domaines sont composés d'un premier élément (".de", appelé aussi Top Level Domain ou TLD) et d'un second élément ("spiegel", appelé aussi Second Level Domain ou SLD ou 2LD).
Il existe différents fournisseurs pour l'enregistrement de tels domaines. Du point de vue de la protection des données, il convient d'utiliser un fournisseur allemand ou européen.
Comme des exemples négatifs, deux fournisseurs sont mentionnés que l'on ferait mieux de ne pas utiliser, si la sécurité juridique est en jeu. Ces fournisseurs servent d'intermédiaires et sont également appelés Registrar.
Namecheap
Namecheap est un fournisseur populaire de noms de domaine. Qui a toujours voulu savoir où se trouve le siège social de Namecheap, devrait apporter beaucoup de temps pour chercher ou regarder ici après.
Namecheap, Inc. is a US-based company.
Namecheap Inc.
4600 East Washington Street
Suite 305
Phoenix, AZ 85034
ÉTATS-UNIS
Source : https://www.namecheap.com/support/knowledgebase/article.aspx/490/5/where-is-your-company-located/
MarkMonitor Inc.
MarkMonitor_ est également connu pour offrir des noms de domaine. Par exemple, MarkMonitor est mentionné comme registraire de la domaine google-analytics.com et opère son propre serveur Whois sous whois.markmonitor.com.
Le site Website est MarkMonitor une marque de Clarivate Analytics. Après une recherche prolongée, le défenseur du droit à la vie privée apprend enfin où se trouve l'adresse du siège social de Clarivate ou MarkMonitor Inc. Peut-être que personne d'autre n'y est intéressé, sinon on aurait pu trouver cette information plus facilement.
Comme adresse de contact, on trouve de manière ambiguë ce qui suit :
Friars House 160 Blackfriars Road Londres SE1 8EZ United Kingdom
Clarivate Analytics (US) LLC 1500, rue Spring Garden Philadelphie, PA 19130 United States
Quelle: https://clarivate.com/privacy-center/notices-policies/privacy-policy/ (Abschnitt How you can contact us for privacy questions)
Les deux adresses se trouvent exactement l'une en dessous de l'autre. Laquelle est pertinente pour l'Allemagne ?
Même les emplacements clés ne révèlent que deux autres emplacements en Chine et au Japon existent encore.
Lau Wikipedia en tout cas, MarkMonitor Inc. a son siège à San Francisco, USA. Cela rend un transfert de données vers là critique et devrait ne se produire qu'avec l'accord des utilisateurs.
Conclusion
Il est possible de déterminer si un transfert de données a lieu vers les États-Unis, et donc vers un pays tiers souvent qualifié de peu sûr, à l'aide d'une interrogation Whois.
Chaque fois qu'il y a un transfert de données vers les États-Unis ou qu'une société américaine est le registrant ou le registraire d'une adresse ou d'un domaine, des questions de protection des données se posent. Le registrant est le propriétaire d'un domaine, le registraire est l'intermédiaire qui offre et gère techniquement un domaine.
Pour certains outils, il n'est même pas nécessaire de faire une Whois pour admettre ou prouver un transfert de données vers les États-Unis. Pour Google Analytics, Google a officiellement reconnu que toutes les données d'analyse sont toujours traitées aux États-Unis. Pour le Google Tag Manager , on peut montrer à partir des conditions d'utilisation qu'un transfert de données se produit par l'intermédiaire d'une entreprise américaine et que les données sont également traitées dans les centres de données américains.
Is your website GDPR-compliant?
Check website for GDPR compliance in seconds
Scan Website NowMessages clés
En utilisant une recherche Whois, vous pouvez découvrir qui possède un site web et ainsi évaluer les risques pour la protection de vos données.
WHOIS permet de trouver des informations sur un nom de domaine ou une adresse IP, comme le propriétaire et l'organisation responsable.
L'utilisation de Cookiebot peut entraîner un transfert de données vers des entreprises américaines comme Akamai, ce qui soulève des questions de protection des données. Il est préférable de privilégier les fournisseurs européens de CDN pour éviter ces problèmes.
Il est important de choisir un fournisseur de noms de domaine allemand ou européen pour protéger vos données, car les fournisseurs américains peuvent transférer vos données vers les États-Unis, où la protection des données peut être moins forte.
Certains outils, comme Google Analytics et Google Tag Manager, transfèrent automatiquement les données vers les États-Unis.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
