WHOIS : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

WHOIS désigne le protocole et la base de données publique permettant la consultation des informations relatives aux titulaires de noms de domaine, aux fournisseurs d'accès et aux opérateurs de réseaux.

WHOIS désigne le protocole et la base de données publique permettant la consultation des informations relatives aux titulaires de noms de domaine, aux fournisseurs d'accès et aux opérateurs de réseaux. Historiquement conçue dans une logique de transparence pour permettre l'identification des opérateurs internet, la base WHOIS a été profondément réformée pour concilier cet impératif avec les exigences de protection des données personnelles imposées par le RGPD.

L'enjeu pratique de l'évolution de WHOIS est central pour les acteurs économiques. Les titulaires de droits (marques, droits d'auteur, dénominations sociales) confrontés à des usages parasitaires en ligne s'appuyaient traditionnellement sur WHOIS pour identifier rapidement les responsables de noms de domaine litigieux. La restriction de l'accès aux données depuis 2018 a complexifié la pratique, tout en préservant des voies d'accès maintenues pour les utilisateurs justifiant d'un intérêt légitime.

La gouvernance de WHOIS varie selon les extensions de noms de domaine. L'ICANN définit la politique applicable aux extensions génériques (.com, .net, .org). Les registres nationaux (AFNIC pour le .fr, EURid pour le .eu, Verisign pour le .com) appliquent ces politiques avec des spécificités propres à leurs juridictions. Le règlement 2018 ICANN sur la conformité au RGPD a structuré la révision globale du dispositif.

Vous souhaitez accéder ou défendre les informations WHOIS ? Le Cabinet Aurore Bonavia accompagne les requêtes d'accès et la défense face aux contestations. → Voir l'accompagnement en droit du numérique

Le contenu historique de la base WHOIS

La base WHOIS contenait historiquement plusieurs catégories d'informations sur chaque nom de domaine enregistré :

  • les données d'identification du titulaire : nom complet, organisation (le cas échéant), adresse postale, téléphone, email ;
  • les données techniques : serveurs DNS, date d'enregistrement, date d'expiration, statut technique du nom de domaine ;
  • les contacts désignés : contact administratif, contact technique, contact billing, dont les coordonnées étaient publiées ;
  • l'identité du bureau d'enregistrement (registrar) ayant procédé à l'enregistrement ;
  • l'historique des modifications du nom de domaine (transferts, changements de titulaire, modifications techniques).

Ces informations étaient librement accessibles par toute personne via les outils de consultation WHOIS (sites web dédiés, requêtes en ligne de commande). Cette transparence absolue a longtemps été présentée comme un pilier de la gouvernance d'internet, facilitant l'identification rapide des opérateurs et la lutte contre les comportements illicites.

L'ICANN publiait régulièrement des rapports statistiques sur les noms de domaine et l'évolution du marché. Les bureaux d'enregistrement étaient tenus contractuellement de transmettre les données complètes lors de chaque enregistrement et de les maintenir à jour pendant la durée de l'enregistrement.

La réforme post-RGPD de 2018

L'entrée en application du RGPD le 25 mai 2018 a imposé une réforme substantielle du dispositif WHOIS. Les données d'identification des titulaires personnes physiques constituent des données personnelles au sens du règlement, et leur publication libre exigeait une base légale solide qui n'était pas systématiquement caractérisée.

L'ICANN a adopté en mai 2018 une Specification temporaire transformant le régime de publication des données WHOIS :

  • pour les titulaires personnes physiques établis dans l'Union européenne ou dans des pays appliquant des standards équivalents, les données d'identification ne sont plus publiées dans WHOIS public ; seules les coordonnées du bureau d'enregistrement et un canal de contact anonymisé restent accessibles ;
  • pour les titulaires personnes morales, les données peuvent rester publiées sous réserve du consentement des dirigeants désignés comme contacts ; en pratique, beaucoup d'entités optent pour le masquage par défaut ;
  • pour les utilisateurs justifiant d'un intérêt légitime (titulaires de droits, autorités publiques, professionnels du contentieux), des canaux d'accès aux données ont été maintenus, conditionnés à la justification de l'intérêt légitime.

Cette réforme a été consolidée par la politique consensus ICANN adoptée en mars 2024 (Registration Data Policy), qui pérennise les principes de la Specification temporaire avec des ajustements opérationnels. Le Registration Data Request Service (RDRS) lancé par l'ICANN en novembre 2023 centralise les demandes d'accès aux données masquées pour faciliter la coordination entre les utilisateurs ayant des intérêts légitimes et les bureaux d'enregistrement.

Les voies d'accès maintenues

Plusieurs voies d'accès aux données WHOIS masquées sont maintenues pour les utilisateurs justifiant d'un intérêt légitime :

  • les requêtes adressées aux bureaux d'enregistrement : les titulaires de droits ou leurs représentants peuvent solliciter directement le bureau d'enregistrement concerné, en justifiant de leur intérêt légitime (titre de propriété intellectuelle, enquête en cours, contentieux engagé) ;
  • les procédures judiciaires (référé, saisie-contrefaçon, demandes ad hoc) permettent d'obtenir l'identification du titulaire dans le cadre d'une instance ouverte ;
  • les procédures administratives (réquisitions, ordonnances de communication) sont mobilisables par les autorités compétentes ;
  • les procédures de résolution des litiges (UDRP devant l'OMPI, SYRELI devant l'AFNIC) intègrent un mécanisme automatique d'identification du titulaire pour les besoins de la procédure ;
  • le Registration Data Request Service (RDRS) de l'ICANN constitue un canal centralisé pour les demandes d'accès, avec des conditions standardisées d'instruction.

L'ARTICLE 6 II de la LCEN organise par ailleurs en France une obligation pour les hébergeurs et fournisseurs d'accès de conserver les données d'identification des auteurs de contenus en ligne pour permettre leur communication aux autorités judiciaires sur réquisition. Cette obligation, articulée avec le dispositif WHOIS, complète le cadre d'identification des opérateurs internet français.

Les particularités françaises et européennes

Le registre AFNIC pour les noms de domaine en .fr applique une politique cohérente avec le RGPD :

  • les données des titulaires personnes morales sont publiées dans la base WHOIS publique, conformément à la logique commerciale et à la jurisprudence européenne ;
  • les données des titulaires personnes physiques sont masquées dans la base publique, avec maintien d'un canal de contact anonymisé géré par l'AFNIC ;
  • les demandes d'identification justifiées par un intérêt légitime peuvent être adressées à l'AFNIC, qui instruit les requêtes selon des critères encadrés.

Le registre EURid pour les noms de domaine en .eu applique une politique équivalente, avec des particularités liées aux exigences de localisation des titulaires dans l'Union européenne ou dans des pays adhérents (article L45-2 du Code des postes et des communications électroniques pour les .fr, conditions correspondantes pour les .eu).

L'EDPB a publié plusieurs avis et lignes directrices sur l'application du RGPD aux registres de noms de domaine, qui guident l'évolution des politiques. La position européenne privilégie une approche équilibrée entre transparence des opérations commerciales et protection des données des particuliers.

Spécificité juridique sur les contentieux et les sanctions

Plusieurs contentieux ont concerné l'application du RGPD aux bases WHOIS :

  • l'arrêt LG Bonn 16 mai 2018 (ICANN c/ EPAG) a opposé l'ICANN à un bureau d'enregistrement allemand contestant l'obligation de collecter les données complètes des titulaires ; le tribunal allemand a partiellement validé la position du bureau d'enregistrement, en retenant que la collecte massive de données ne pouvait être imposée sans base légale solide ;
  • les plaintes déposées devant les autorités de contrôle (DPC irlandaise notamment, compétente comme autorité chef de file pour de nombreux acteurs) ont conduit à plusieurs investigations sur la conformité des pratiques WHOIS aux exigences du RGPD ;
  • les actions en référé des titulaires de droits ont régulièrement conduit à la communication d'éléments d'identification des titulaires de noms de domaine litigieux, dans le cadre de procédures judiciaires accélérées.

L'article 22 de la directive 2016/943 sur la protection des secrets d'affaires complète par ailleurs le cadre applicable, en permettant aux titulaires de droits d'obtenir des éléments d'identification dans des conditions encadrées par le droit national.

La pratique a forgé plusieurs bonnes pratiques pour l'accès aux données WHOIS masquées :

  • rédaction soignée de la justification de l'intérêt légitime (titres de propriété intellectuelle invoqués, nature du préjudice subi, étapes envisagées du contentieux) ;
  • demande proportionnée ne sollicitant que les éléments strictement nécessaires à l'identification (nom, adresse postale, email, téléphone) ;
  • respect des règles de confidentialité dans l'usage ultérieur des données obtenues, sous peine de manquements RGPD propres au demandeur ;
  • traçabilité des demandes et des réponses pour la défense en cas de contestation ultérieure.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de WHOIS

  • les requêtes d'identification des titulaires de noms de domaine litigieux ;
  • la rédaction des justifications d'intérêt légitime conformes aux politiques en vigueur ;
  • la coordination avec les bureaux d'enregistrement, l'AFNIC et l'ICANN ;
  • les procédures judiciaires intégrant des demandes de communication d'éléments d'identification ;
  • les procédures alternatives (UDRP, SYRELI) avec identification automatique des titulaires ;
  • la défense face aux requêtes d'accès aux données WHOIS de vos noms de domaine ;
  • la conformité au RGPD pour les bureaux d'enregistrement et les opérateurs de noms de domaine ;
  • la formation des équipes juridiques aux nouvelles voies d'accès aux données masquées ;
  • l'accompagnement stratégique dans les contentieux internationaux relatifs aux noms de domaine.

Sources : Règlement (UE) 2016/679 (RGPD), ICANN Registration Data Policy mars 2024, ICANN Registration Data Request Service (RDRS), AFNIC politique d'accès aux données WHOIS, EURid politique sur les .eu, Code des postes et des communications électroniques (art. L45-2), loi n° 2004-575 du 21 juin 2004 (LCEN art. 6 II), jurisprudence LG Bonn 16 mai 2018 (ICANN c/ EPAG), EDPB avis sur les registres de noms de domaine. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.