Données WHOIS sous NIS2: obligations des registres et des registraires

Comprendre les obligations relatives aux données WHOIS de l'article 28 de NIS2. Découvrez ce que les registres et registraires de noms de domaine doivent mettre en place pour maintenir la sécurité du DNS.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 8 Jun 2026 · 11 min de lecture
NIS2
Données WHOIS sous NIS2: obligations des registres et des registraires

Qui devrait lire ceci: les registres de noms de domaine, les registraires de noms de domaine, les opérateurs de registres, les organisations liées à l’ICANN, les responsables de la conformité dans l’industrie des noms de domaine.

L’inclusion par la directive NIS2 d’exigences spécifiques relatives à la tenue et à l’accès aux données WHOIS marque un moment important dans la gouvernance du système des noms de domaine. L’article 28 établit des obligations complètes pour les registres de noms de TLD (les organisations qui gèrent les domaines de premier niveau comme .de, .fr, .eu) et les entités fournissant des services d’enregistrement de noms de domaine (registraires et leurs agents). Ces obligations visent à garantir que des données WHOIS exactes sont conservées et que les parties légitimes peuvent accéder aux informations d’enregistrement de noms de domaine nécessaires pour enquêter sur les incidents de cybersécurité et préserver la stabilité du DNS.

Pour les registres et les registraires, l’article 28 représente un nouveau mandat réglementaire imposé par NIS2 en plus des obligations pouvant exister dans le cadre des contrats ICANN, du RGPD et d’autres cadres juridiques. La conformité est obligatoire, et les registres et registraires sont classés comme entités importantes au sens de NIS2, ce qui signifie qu’ils doivent mettre en œuvre l’ensemble des mesures de gestion des risques de cybersécurité de l’article 21, en plus des obligations WHOIS spécifiques.

L’objectif de sécurité et de stabilité

Le DNS est une infrastructure critique. Chaque utilisateur d’Internet dépend du système des noms de domaine pour traduire les noms de domaine lisibles par l’homme en adresses IP nécessaires pour accéder aux services. Si le système DNS est compromis ou instable, les effets se propagent en cascade dans l’ensemble de l’écosystème Internet. Les données WHOIS, c’est-à-dire les informations d’enregistrement associées aux noms de domaine, sont essentielles pour enquêter sur les abus du DNS, identifier les domaines malveillants et répondre aux incidents de cybersécurité.

La directive reconnaît que la tenue de données WHOIS exactes et accessibles contribue à la sécurité et à la stabilité du DNS. L’article 28, paragraphe 1, indique que l’objectif des exigences est de “contribuer à la sécurité, à la stabilité et à la résilience du DNS”. Il ne s’agit pas simplement d’une question de confidentialité ou d’administration; il s’agit d’une question de gouvernance de la cybersécurité.

Obligations de collecte et de tenue des données

L’article 28, paragraphe 1, exige que les registres de noms de TLD et les entités fournissant des services d’enregistrement de noms de domaine collectent et conservent des données d’enregistrement de noms de domaine exactes et complètes dans une base de données dédiée. Cela semble simple jusqu’à ce que l’on prenne en compte les complexités. L’exactitude et l’exhaustivité ne sont pas des qualités binaires; elles existent sur un spectre. Les registres et les registraires doivent établir des processus de gouvernance des données afin de garantir que les informations qu’ils collectent sont correctes et qu’elles sont régulièrement mises à jour lorsque les titulaires de domaines modifient leurs coordonnées.

L’article 28, paragraphe 2, précise les informations qui doivent être conservées. Premièrement, le nom de domaine lui-même. Deuxièmement, la date d’enregistrement. Troisièmement, le nom du titulaire, son adresse électronique de contact et son numéro de téléphone. Quatrièmement, l’adresse électronique de contact et le numéro de téléphone du point de contact qui administre le nom de domaine, s’il est différent du titulaire.

Cet ensemble d’informations est intentionnellement conçu pour permettre l’identification et la prise de contact avec le titulaire du domaine et la personne qui administre le domaine. Les incidents de cybersécurité impliquent souvent l’utilisation malveillante de noms de domaine, notamment des domaines utilisés pour le phishing, la distribution de logiciels malveillants ou les communications de commande et de contrôle. Pouvoir identifier et contacter le titulaire est essentiel pour enquêter sur ces incidents et prendre des mesures correctives.

L’article 28, paragraphe 2, exige également que ces informations soient conservées dans une “base de données dédiée avec toute la diligence requise conformément au droit de l’Union en matière de protection des données en ce qui concerne les données à caractère personnel”. Cette formulation est importante car une grande partie des données WHOIS concerne des données à caractère personnel (noms, adresses, numéros de téléphone et adresses électroniques des titulaires individuels). L’obligation de conserver ces données conformément au RGPD et à d’autres règles de protection des données de l’Union signifie que les registres et les registraires doivent équilibrer le besoin de cybersécurité d’accéder aux données WHOIS avec les obligations en matière de vie privée. Cet équilibre est traité par les dispositions relatives à l’accès public et à l’accès restreint examinées ci-dessous.

Procédures de vérification de l’exactitude

L’article 28, paragraphe 3, exige que les registres et les registraires établissent des politiques et des procédures, y compris des procédures de vérification, pour garantir que leurs bases de données contiennent des informations exactes et complètes. Ces procédures doivent être rendues publiques. Il s’agit d’une obligation de fond qui requiert que les registres et les registraires documentent leurs processus d’assurance de la qualité des données.

Les procédures d’exactitude efficaces comprennent généralement plusieurs éléments. Premièrement, la vérification au moment de l’enregistrement: les registraires doivent vérifier que les informations fournies par les demandeurs de domaine sont exactes avant d’accepter l’enregistrement. Cela peut impliquer la vérification du courrier électronique (confirmation que le titulaire contrôle l’adresse électronique fournie), la vérification téléphonique ou, dans certains cas, la vérification de l’identité.

Deuxièmement, la nouvelle vérification périodique: les registres et les registraires devraient périodiquement contacter les titulaires pour confirmer que les informations stockées restent exactes. Cela est particulièrement important car les coordonnées peuvent devenir obsolètes au fil du temps lorsque les personnes changent d’emploi, déménagent ou mettent à jour leurs préférences de contact.

Troisièmement, les procédures de mise à jour des informations: les titulaires doivent pouvoir mettre à jour leurs informations d’enregistrement, et les registres et les registraires doivent veiller à ce que les mises à jour soient traitées correctement. Cela comprend des procédures de vérification des mises à jour (confirmation que la personne demandant une mise à jour est autorisée à le faire).

Quatrièmement, les procédures de détection de données inexactes: les registres et les registraires devraient surveiller les signes de données inexactes. Si l’adresse électronique de contact d’un domaine rebondit ou si le numéro de téléphone d’un titulaire semble fictif, le registre ou le registraire devrait enquêter et chercher à obtenir des informations exactes.

Cinquièmement, le suivi de la qualité des données: les registres et les registraires devraient suivre des indicateurs liés à la qualité des données. Quel pourcentage de domaines disposent d’informations de contact valides? Quel est l’âge moyen de la dernière vérification des données? Ces indicateurs aident à identifier les problèmes systémiques de qualité des données.

Accès public et accès restreint

L’article 28, paragraphe 4, exige que les registres et les registraires rendent publiquement disponibles, sans retard indu après l’enregistrement du domaine, les données d’enregistrement de noms de domaine qui ne sont pas des données à caractère personnel. Cette disposition reconnaît que certaines informations WHOIS peuvent être divulguées largement sans préoccupations en matière de confidentialité. La date d’enregistrement, le fait qu’un domaine est enregistré et certaines informations sur le titulaire peuvent généralement être divulguées publiquement.

Toutefois, l’article 28, paragraphe 5, traite des données à caractère personnel et des informations sensibles. Les registres et les registraires doivent fournir un accès à des données spécifiques d’enregistrement de noms de domaine (y compris des données à caractère personnel) sur demande légale et dûment motivée des demandeurs d’accès légitimes, conformément au droit de l’Union en matière de protection des données. Il s’agit de la disposition essentielle qui permet aux enquêteurs sur les incidents de cybersécurité et aux forces de l’ordre d’accéder aux données WHOIS sans les divulguer au grand public.

L’article 28, paragraphe 5, exige que les registres et les registraires répondent aux demandes d’accès sans retard indu et en tout état de cause dans les 72 heures suivant leur réception. Il s’agit d’un calendrier très serré. Pour les demandeurs d’accès légitimes (forces de l’ordre, équipes de réponse aux incidents de cybersécurité, CSIRT enquêtant sur les abus), cette réponse rapide est essentielle. Si l’enquête sur une attaque de phishing ou un réseau de distribution de logiciels malveillants prend plusieurs jours pour obtenir les données WHOIS, l’enquête est considérablement entravée.

Qu’est-ce qui rend quelqu’un “demandeur d’accès légitime”? NIS2 ne définit pas ce terme; elle laisse aux registres et aux registraires le soin d’établir des politiques et des procédures précisant qui se qualifie comme demandeur d’accès légitime et quelle documentation est requise pour démontrer un intérêt légitime à accéder aux données WHOIS. Les demandeurs d’accès légitimes comprennent généralement les agences de répression, les CSIRT, les équipes de réponse aux incidents de cybersécurité, les organisations chargées de la propriété intellectuelle et les chercheurs en sécurité sous contrat.

L’article 28, paragraphe 5, exige également que les registres et les registraires publient des politiques et des procédures concernant la divulgation des données WHOIS. Ces politiques doivent être accessibles au public afin que les demandeurs d’accès potentiels comprennent quelles informations sont disponibles, quelles demandes sont nécessaires pour obtenir l’accès et quelles sont leurs obligations concernant l’utilisation de ces informations.

Concilier vie privée et sécurité

L’inclusion des obligations WHOIS dans NIS2 met en évidence une tension fondamentale dans la gouvernance moderne d’Internet: le besoin d’informations d’enregistrement exactes et accessibles pour soutenir la cybersécurité et l’application de la loi, et la nécessité de protéger la vie privée des individus. Le RGPD restreint la collecte et l’utilisation des données à caractère personnel. Les défenseurs de la vie privée affirment que le fait de rendre les données WHOIS publiquement disponibles expose les individus à des attaques ciblées, à l’usurpation d’identité et au harcèlement.

L’article 28 tente d’équilibrer ces intérêts au moyen d’un modèle d’accès à plusieurs niveaux. Les données à caractère personnel ne sont pas divulguées publiquement, mais elles sont accessibles aux demandeurs d’accès légitimes sur demande. Cela préserve la vie privée de la plupart des individus tout en garantissant que ceux qui ont des besoins authentiques en matière de sécurité ou d’application de la loi peuvent accéder aux informations nécessaires pour enquêter sur les incidents.

Les registres et les registraires doivent mettre en œuvre des mesures techniques et organisationnelles pour protéger les données WHOIS. Les données doivent être sécurisées contre tout accès non autorisé, et les registres et les registraires doivent veiller à ce que l’accès aux données à caractère personnel soit consigné et vérifiable. Les demandeurs d’accès qui reçoivent des données WHOIS sont généralement soumis à des obligations de confidentialité et doivent utiliser les données uniquement aux fins légales déclarées.

Coordination entre les registres et les registraires

L’article 28, paragraphe 6, exige que les registres et les registraires coopèrent les uns avec les autres pour éviter la duplication de la collecte de données. Cela reconnaît que l’écosystème d’enregistrement de noms de domaine implique plusieurs parties. Un titulaire peut enregistrer un nom de domaine par l’intermédiaire d’un registraire, qui à son tour maintient un compte auprès d’un registre. Tant le registre que le registraire conservent les données d’enregistrement. Pour éviter les doublons inutiles et garantir la cohérence, les registres et les registraires doivent établir des mécanismes de coordination.

Dans la pratique, cela signifie que les registres et les registraires devraient établir des accords clairs de partage de données précisant quelle partie est responsable de la collecte et de la tenue de quelles informations. En règle générale, les registraires collectent les informations auprès des titulaires et les transmettent aux registres. Les registres maintiennent ensuite la source faisant autorité pour les données d’enregistrement. Toutefois, les arrangements spécifiques peuvent varier en fonction des politiques de l’opérateur de registre et du registraire.

Statut d’entité importante et obligations NIS2 plus larges

L’article 28 établit des obligations WHOIS spécifiques, mais les registres et les registraires sont également des entités importantes au sens de NIS2. Cela signifie qu’ils sont soumis à l’ensemble des mesures de gestion des risques de cybersécurité de l’article 21. Ils doivent mettre en œuvre l’analyse des risques, le traitement des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement, les pratiques de développement sécurisé, la formation, les politiques de cryptographie, les contrôles d’accès et l’authentification multifactorielle.

Pour les registres et les registraires, cela a des implications particulières. Les mesures de cybersécurité d’un registre doivent protéger non seulement les systèmes du registre lui-même, mais aussi la sécurité et l’intégrité des données DNS qu’il conserve. La compromission d’un registre pourrait affecter des millions de domaines et leurs utilisateurs. De même, les systèmes compromis d’un registraire pourraient être exploités pour transférer frauduleusement des domaines, modifier les données d’enregistrement ou créer de nouveaux domaines malveillants.

La sécurité de la chaîne d’approvisionnement est particulièrement importante dans l’industrie des noms de domaine, où les registres et les registraires dépendent de nombreux prestataires de services, tels que les fournisseurs de services DNS, les opérateurs de centres de données et les fournisseurs de services de sauvegarde. Ces relations doivent être examinées et gérées dans le cadre de l’obligation de sécurité de la chaîne d’approvisionnement de l’article 21.

Signalement des incidents

Les registres et les registraires sont soumis aux obligations de signalement des incidents de l’article 23. S’ils subissent un incident important affectant l’intégrité ou la disponibilité de leurs services ou des données WHOIS qu’ils conservent, ils doivent signaler l’incident à leur CSIRT national sans retard indu. Une violation des systèmes d’un registraire exposant les informations de contact des clients, ou la compromission d’un registre affectant la résolution DNS, serait clairement à signaler.

Points clés à retenir

  • L’article 28 exige que les registres de noms de TLD et les services d’enregistrement de noms de domaine collectent et conservent des données d’enregistrement de noms de domaine exactes et complètes, y compris le nom du titulaire, les coordonnées et les coordonnées du contact administratif.

  • Les registres et les registraires doivent établir des politiques et des procédures publiées pour la vérification de l’exactitude des données, y compris la vérification à l’enregistrement, la nouvelle vérification périodique, les procédures de mise à jour et le suivi de la qualité des données.

  • Les données à caractère personnel ne doivent pas être divulguées publiquement mais doivent être accessibles aux demandeurs d’accès légitimes sur demande. Les registres et les registraires doivent répondre aux demandes d’accès légales dans les 72 heures et doivent publier des politiques précisant qui se qualifie comme demandeur d’accès légitime.

  • Les données WHOIS doivent être conservées conformément au RGPD et aux autres règles de protection des données de l’UE. Les registres et les registraires doivent mettre en œuvre des mesures de sécurité techniques et organisationnelles pour protéger les données et doivent établir des mécanismes de coordination pour éviter les doublons.

  • Les registres et les registraires sont des entités importantes au sens de NIS2 et doivent mettre en œuvre les mesures de gestion des risques de cybersécurité de l’article 21, établir des capacités de réponse aux incidents et signaler les incidents importants à leur CSIRT national.

Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.