Traitement des données des titulaires

Introduction

L’Afnic est l’office d’enregistrement désigné par l’Etat français pour attribuer et gérer les noms de domaine au sein des domaines de premier niveau du système d’adressage par domaines de l’internet correspondant au « .fr ».

Pour ce faire, l’Afnic met en œuvre des traitements de données personnelles conformément aux dispositions du Code des postes et des communications électroniques (CPCE) et à celles applicables à la protection des données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le Règlement Européen sur la Protection des Données » ou « RGPD »).

Principes généraux

Lorsque vous enregistrez un nom de domaine en .fr, .re, .yt, .pm, .wf et .tf, vous en êtes titulaire (ci-après « titulaire ») et des traitements de vos données personnelles sont alors effectués afin de gérer les opérations sur ce nom de domaine.

Les traitements sur vos données personnelles relèvent de deux familles de traitements en fonction de leurs finalités principales respectives :

• Les traitements réalisés par votre bureau d’enregistrement pour la fourniture de services d’enregistrement sur vos noms de domaine ;
• Les traitements réalisés par l’Afnic, office d’enregistrement pour l’administration de la zone de nommage concernée.

FAMILLES DE TRAITEMENTS DE VOS DONNEES PERSONNELLES

L’Afnic et votre bureau d’enregistrement sont chacun responsable de traitements pour les traitements qu’ils réalisent. Pour les besoins de leurs propres traitements, chacun est également destinataire des données à caractère personnel traitées par l’autre.

Il appartient tant à l’Afnic qu’à votre bureau d’enregistrement de respecter les dispositions résultant de la réglementation en vigueur applicable aux traitements de vos données et, en particulier, le RGPD.

La présente page a pour objet les traitements de vos données personnelles réalisés par l’Afnic, l’office d’enregistrement, pour l’administration de la zone de nommage dont elle a la charge à savoir la zone relative à l’ensemble des noms de domaine enregistrés sous les extensions de premier niveau de l’internet correspondant aux codes pays du territoire national (cf. Charte de nommage).

Engagements - Information et transparence sur les traitements

Pour garantir l’information et la transparence sur les traitements de vos données personnelles par l’Afnic, l’Afnic publie et met à jour en tant que de besoin les présentes informations sur ce site web de l’Afnic en accès direct ou via les bureaux d’enregistrement accrédités qui doivent, dans le cadre de leur obligation d’information sur les traitements de données personnelles, mettre un lien vers ces informations pour vous les rendre disponibles à tout moment et ce, dès l’enregistrement d’un nom de domaine.

Les traitements de vos données personnelles sont effectués par l’Afnic de façon sécurisée dans le respect du cadre légal relatif à la protection des données personnelles avec la collecte loyale, licite et transparente pour des finalités déterminées, explicites et légitimes de données personnelles adéquates, pertinentes et non excessives au regard de ces finalités. Ces données exactes, complètes et, si nécessaire, mises à jour sont conservées pour la durée nécessaire auxdites finalités.

L’Afnic limite ses traitements de données personnelles au strict nécessaire et l’Afnic vous indique clairement pour chaque traitement :

• Sa finalité ;
• Sa base juridique ;
• Sa durée ;
• Les catégories de données traitées ;
• Les conditions de collecte ou indirecte des données ;
• Si les données collectées sont obligatoires ou facultatives ;
• Ses destinataires ;
• Le cas échéant, les transferts hors UE avec les modalités de protection adéquate de vos données.

L’Afnic ne met pas en œuvre de traitement de vos données pour la prise de décision automatisée, y compris de profilage. L’Afnic ne met pas en œuvre de traitement ultérieur de vos données pour une finalité autre que celles définie aux présentes.

Exercice de vos droits Informatique & Libertés

C’est simple !

Vos droits

En tant que titulaire d’un nom de domaine, vous disposez de droits Informatique & Libertés à savoir les droits d’accès, d’opposition, de rectification et d’effacement des données, le droit de limitation du traitement, le droit de retirer à tout moment votre consentement le cas échéant, le droit d’introduire une réclamation auprès d’une autorité de contrôle ainsi que le droit de définir des directives relatives à la conservation, à l’effacement et à la communication des données à caractère personnel en cas de décès.

Exercez vos droits – Contactez la DPO

Vos droits Informatique et Libertés s’exercent directement auprès de votre bureau d’enregistrement pour :

• Tous les traitements effectués par votre bureau d’enregistrement et relevant de la fourniture des services sur les noms de domaine ;
• Tous les traitements effectués par l’Afnic par l’intermédiaire des bureaux d’enregistrement tels que la collecte et la mise à jour de vos données personnelles pour l’enregistrement de vos noms de domaine.

Toute information et/ou tout autre exercice de vos droits Informatique et Libertés sur les traitements de données personnelles par l’Afnic (cf. la Liste & Description des traitements ci-dessous), s’effectuent :

• Par voie électronique à juridique@afnic.fr
• Par voie postale :

La liste des traitements

La liste

Les traitements de données personnelles des titulaires de noms de domaine mis en œuvre par l’Afnic sont les traitements de :

• Gestion du service d’annuaire en .FR et extensions ultra marine (UM)
• Gestion de la résolution DNS en .fr et extensions ultra marine (UM)
• Fournir le service Espace data aux bureaux d’enregistrement
• Gestion des demandes de vérifications d’éligibilité ou de joignabilité d’un titulaire de nom de domaine
• Mise en relation avec le contact administratif
• Gestion des demandes de divulgation de données personnelles (levées d’anonymat)
• Gestion de la procédure de médiation
• Gestion des procédures alternatives de résolutions de litiges (PARL)
• Gestion des signalements de noms de domaines illicites ou contraires à l’ordre public
• Gestion du service web Zonemaster de l’Afnic
• Gestion des enquêtes de satisfaction en <.fr>
• Gestion des droits personnels Informatique & Libertés
• Gestion des signalements Informatique & Libertés et des notifications de violations de données à caractère personnel

La description de chaque traitement est à votre disposition dans les entrées dédiées ci-après ou directement via le sommaire interactif.

Pour les traitements de données personnelles des utilisateurs du site www.afnic.fr l’Afnic vous invite à consulter les informations relatives à ces traitements à la page Vos données.

Comprendre la description d’un traitement

Afin de permettre un accès compréhensible et simple, l’Afnic vous présente les informations relatives à un traitement sous forme de fiche descriptive sur le modèle suivant :

Nom du traitement

1. Finalité : Le traitement de vos données est mis en œuvre par l’Afnic pour des raisons déterminées, explicites et légitimes
2. Base juridique : Le traitement repose obligatoirement sur l’un des fondements juridiques suivants :

• Sur votre consentement (art. 6 – 1. a/ du RGPD)
• En exécution d’un contrat conclu ensemble ou à venir (art. 6 – 1. b/ du RGPD)
• En exécution de nos obligations légales (art. 6 – 1. c/ du RGPD)
• Pour la sauvegarde de vos intérêts vitaux ou de ceux d’un tiers (art. 6 – 1. d/ du RGPD)
• En exécution de notre mission de service public (art. 6 – 1. e/ du RGPD)
• Pour la poursuite de nos intérêts légitimes ou ceux d’un tiers dans le respect de vos intérêts ou de vos libertés et droits fondamentaux relatifs à la protection de vos données personnelles (art. 6 – 1. f/ du RGPD)

3. Durée n’excédant pas celle nécessaire aux finalités définies ; cette durée totale est la durée de conservation en base active et celle en archives internes
4. Catégories de données traitées adéquates, pertinentes et limitées à ce qui est nécessaire aux finalités définies (minimisation des données)
5. Conditions de collecte des données :

• Collecte directe, les données sont collectées auprès de vous
• Collecte indirecte, les données sont collectées auprès d’un tiers identifié et autorisé à nous communiquer vos données

6. Nature des données : elles peuvent être requises (en application d’une exigence légale, pour un contrat …) ou facultatives avec, le cas échéant, des impacts si elles ne sont pas fournies.
7. Destinataires : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de vos données, qu’il s’agisse ou non d’un tiers
8. Le cas échéant, transferts hors UE : c’est l’hypothèse où vos données sont transmises à un destinataire dans un pays tiers ou une organisation internationale dans des modalités de protection adéquate. Une copie de ces modalités vous est adressée sur demande à juridique@afnic.fr

La description de chaque traitement est à votre disposition dans les entrées dédiées ci-après ou directement via le sommaire interactif.

Gestion du service d'annuaire en .FR et extensions ultra marine (UM)

1. Finalité

Le traitement de Gestion du service d’annuaire en .FR et extensions ultra marine (UM) permet à l’Afnic de :

• Fournir en temps réel les informations relatives à un nom de domaine en .fr et UM via les services d’annuaire (Whois port 43/web, RDAP et accès par Interface d’accès au service d’annuaire (API = Application Programming Interface) permettant de savoir si un nom de domaine est disponible à l’enregistrement avec ou non examen préalable
• Publier périodiquement certaines informations relatives à un nom de domaine en .fr et UM (Open Data, SQUAW)
• Publier quotidiennement sur 7 jours glissant la liste des noms de domaine enregistrés la veille en accès libre sans contrepartie financière depuis le site internet de l’Afnic
• Mesurer les tendances de l’évolution du marché des noms de domaine en .fr et UM (secteurs géographiques, répartition PM/PP …) pour répondre aux engagements de la Convention Etat / Afnic (cf. art. 6)
• Gérer la mise en séquestre des données pour assurer la continuité des services sur les noms de domaine
• Collecter les données relatives à l’utilisation des services d’annuaire à des fins de : debug, suivi de perf, suivi du volume d’utilisation, statistiques, service client/support
• Collecter les données relatives à l’utilisation des services d’annuaire à des fins de détection d’incidents de sécurité

2. Base juridique :

En exécution d’une mission de service public (art.6-1.e/ du RGPD) : en application des Articles L45 et s. du Code des Postes et Communications électroniques (CPCE), R20-44-39 et s. du CPCE et la Convention Etat – Afnic

3. Durée :

Les données du nom de domaine : à durée indéterminée

Les données du titulaire et des contacts sont conservées dans le NIC HANDLE (identifiant de contact) soit jusqu’à suppression des noms de domaine auxquels ils sont en lien soit jusqu’à suppression sur demande ou de façon automatique par notre système d’information pour obsolescence

Les opérations transmises par les bureaux d’enregistrement figurant dans la base de données du registre : à durée indéterminée

Les fichiers de logs, contenant le détail des opérations effectuées par les bureaux d’enregistrement ainsi que les fichiers de logs des requêtes Whois/RDAP/API effectuées sont conservées 10 ans.

4. Catégories de données traitées :

• Le nom de domaine (NDD) et les informations techniques qui y sont rattachées (nom du B.E., état du domaine, serveurs de noms, clés DNSSEC, date de création, date d’expiration, date de dernière modification) -> Collecte indirecte
• Les informations relatives au titulaire personne physique : type, nom, prénom, adresse, téléphone, fax, email, obsolète (rattaché à au moins un nom de domaine), en diffusion restreinte ou non -> Collecte indirecte
• Les informations relatives au titulaire personne morale : type, nom de l’organisation, adresse, téléphone, fax, email, obsolète (rattaché à au moins un nom de domaine), pas de diffusion restreinte. Commentaire : pas de données personnelles sauf si (1) le titulaire a renseigné des données personnelles ou si (2) son entité est liée au représentant légal (exemple : auto entrepreneur) -> Collecte indirecte
• Les informations relatives au contact administratif personne physique : type, nom, prénom, adresse, téléphone, fax, email, obsolète (rattaché à au moins un nom de domaine), en diffusion restreinte ou non -> Collecte indirecte
• Les informations relatives au contact administratif, personne morale : type, nom de l’organisation, adresse, téléphone, fax, email, obsolète (rattaché à au moins un nom de domaine), pas de diffusion restreinte. Commentaire : pas de données personnelles sauf si (1) le titulaire a renseigné des données personnelles ou si (2) son entité est liée au représentant légal (exemple : auto entrepreneur) -> Collecte indirecte
• Les informations relatives au(x) contact(s) technique(s) personne physique : type, nom, prénom, adresse, téléphone, fax, email, obsolète (rattaché à au moins un nom de domaine), en diffusion restreinte ou non -> Collecte indirecte
• Les informations relatives au(x) contact(s) technique(s) personne morale : type, nom de l’organisation, adresse, téléphone, fax, email, obsolète (rattaché à au moins un nom de domaine), pas de diffusion restreinte. Commentaire : pas de données personnelles sauf si (1) le titulaire a renseigné des données personnelles ou si (2) son entité est liée au représentant légal (exemple : auto entrepreneur-> Collecte indirecte
• Les informations relatives au bureau d’enregistrement : nom, type contrat (option 1/2), adresse, téléphone, fax, email, date de dernière mise à jour des informations liées au bureau d’enregistrement. -> Collecte indirecte
• Les opérations transmises par les bureaux d’enregistrement (B.E) : fichiers de log (date, heure, nom du BE, l’opération demandée sur le nom de domaine) et base de données du registre (détail de l’opération lié au nom de domaine pour connaître son historique) -> Collecte directe
• Les données de log requêtant le service d’annuaire whois : heure, date, adresse IP demandant la requête, le nom de domaine interrogé -> Collecte directe
• Les données de log requêtant le service RDAP : heure, le nom de domaine interrogé et l’information relative à son enregistrement (soumis ou non à examen préalable), adresse IP demandant la requête, et éventuellement (en cas d’authentification préalable) nom d’utilisateur demandant la requête -> Collecte directe

5. Conditions de collecte des données :

Collecte indirecte et directe

6. Nature des données :

Données nécessaires à l’exécution des obligations de l’Afnic en tant que registre. L’absence de fourniture des données peut empêcher l’administration et les opérations sur le nom de domaine à commencer par l’enregistrement

7. Destinataires :

Les sous-traitants prestataires d’hébergement d’infrastructures de l’Afnic et du séquestre ou coffre-fort numérique.

En externe : 1) Tout utilisateur de l’internet a accès aux données publiées par les services d’annuaire mis à disposition. 2) Open data & Publication de la liste quotidienne des noms de domaine : sélections de données en accès à tous sous licence libre. 3) Licence Squaw : accès à quelques prestataires sur engagements contractuels préalables 4) Les tiers disposant d’un droit de communication 5) Les tiers disposant d’un droit d’accès dans les cas définis par la Charte de nommage 6) Les bénéficiaires d’opérations demandées sur le nom de domaine (exemple : cessionnaire du nom de domaine) et leurs représentants

En interne : tous les collaborateurs de l’Afnic accèdent aux données dont ils ont besoin dans le cadre de leurs fonctions et des habilitations accordées.

8. Le cas échéant, transferts hors UE

Oui. Du fait de leur publicité sur internet requise par la loi et les standards du secteur des noms de domaine, certaines données (noms de domaine et celles des personnes ayant opté pour la publication) sont accessibles partout dans le monde. Le statut « public » de ces données ne permet pas de protection par garanties adéquates telles que définies par le cadre en vigueur (clauses contractuelles, limitation territorial, etc)

Gestion de la résolution DNS en .fr et extensions ultra marine (UM)

1. Finalité

Le traitement de Gestion de la résolution DNS en .fr et extensions ultra marine (UM) permet à l’Afnic de :

• Permettre la résolution des noms de domaine de la zone .fr et UM
• Publier la zone .FR et UM
• Sécuriser les noms de domaine de la zone .fr et UM
• Assurer la résilience du service de résolution des noms de domaine
• Mesurer les flux migratoires des requêtes DNS en .fr et UM (moyen de gestion de la résilience du flux)

2. Base juridique :

En exécution d’une mission de service public (art.6-1.e/ du RGPD) : en application des Articles L45 et s. du Code des Postes et Communications électroniques (CPCE), R20-44-39 et s. du CPCE et la Convention Etat – Afnic

3. Durée :

Pour les données techniques de noms de domaine : pendant toute la durée de l’exploitation de la donnée. Pas de conservation des données pour la résolution DNS

Pour les requêtes DNS :

• Les carottages de requêtes effectués sur les serveurs sont conservés un mois à des fins d’analyse post mortem d’incidents
• Les fichiers de logs, contenant les requêtes DNS réalisées, sont conservées 10 ans pour archivage.

4. Catégories de données traitées :

Une partie des données techniques de noms de domaine. Ces données ne sont à caractère personnel que dans les contextes où elles sont traitées en rattachement avec le compte d’une personne physique directement ou indirectement identifiable tels que : un titulaire personne physique, ou un contact. En dehors de ces contextes, ces données ne sont pas à caractère personnel.

Une partie (négligeable) des données de requêtes DNS très difficilement identifiantes (moyens hors du commun) et dans tous les cas, non identifiantes pour l’Afnic.

5. Conditions de collecte des données :

Collecte indirecte et directe

6. Nature des données :

Nécessaire pour la fourniture des services concernés

7. Destinataires :

Les sous-traitants prestataires de service pour la résolution DNS

Tout utilisateur de l’internet a accès aux données figurant dans le fichier de zone en réponse à une interrogation du service DNS (nom de domaine, adresse IP)

8. Le cas échéant, transferts hors UE :

Oui la résolution DNS est internationale. Des garanties de protection adéquate des données sont établies par contrats avec les prestataires de résolution DNS

Fournir le service Espace data aux bureaux d’enregistrement

1. Finalité

Le traitement de Fournir le service Espace data aux bureaux d’enregistrement permet à l’Afnic de :

• Fournir au bureau d’enregistrement accrédité des tableaux de bord de suivi de son activité à partir de son portefeuille de noms de domaine et de l’activité de ses clients dans le contexte du marché du .fr
• Fournir au bureau d’enregistrement accrédité une analyse de performance de son portefeuille de noms de domaine à partir d’une analyse technique et d’usage des noms de domaine
• Fournir au bureau d’enregistrement accrédité des suggestions de sécurisation des noms de domaine de leur portefeuille

2. Base juridique :

En exécution d’une mission de service public (art.6-1.e/ du RGPD) : L’Afnic a pour missions définies dans la Convention Etat / Afnic de connaître et mesurer les tendances de l’évolution du marché des NDD en .fr et UM (secteurs géographiques, répartition PM/PP …) ; de promouvoir le .fr

3. Durée :

Un an.

4. Catégories de données traitées :

• Données issues du SRS (Shared Registry System) : « Date de fin de période du rapport / End of periode », « Nom de domaine / Domain name », « Date de creation / Création date », « Date de suppression / Delete date », « Date de restauration / Restoration date », « Date d’expiration / Expiration date », « Titulaire Nic Handle / Holder Nic Handle », « Titulaire type / Holder type », « Code postal titulaire / Holder zipcode », => Seulement les ORG, « Pays titulaire / Holder country », => Seulement les ORG, « Admin Nic Handle », « Tech 1 Nic Handle » et « Tech 2 Nic Handle »
• Données issues du SRS : « SIREN »
• Données issues de la Base Sirene & Codes NAF/NACE : « Catégorie d’entreprise / Enterprise category » – « NAF rev2 – Label niveau 1 à 5 / Label lvl 1 à 5 » – « Nace rev2 – Label niveau 1 à 4 / Label lvl 1 à 4 »
• Données d’usage du nom de domaine : « Status HTTP / HTTP Status », « Classification du domaine / Domain classification », « redirection » et « Note d’usage / Usage notation »
• Données d’évaluation du nom de domaine via Zonemaster : »Nb de messages ‘Warning’/ Nb of warning messages », « Nb de messages ‘Error’ / Nb of error messages », « Nb de messages ‘Critical’ / Nb of critical messages », « Domaine ayant au moins un NS en IPv6 / domain with at least one NS with IPv6 » et « Domaine avec DNSSEC / Domain with DNSSEC »
• Données relatives au service FRLock : « Domaine FRLocké / FRlocked domain » et « FR Lock suggestion »
• Données issues du DNS (Trafic sur les serveurs de l’Afnic) : « Nb de requêtes a / Nb of a requests », « Nb de requêtes mx / Nb of mx requests », « Nb de requêtes whois / Nb of whois requests »

5. Conditions de collecte des données :

Collecte indirecte

6. Nature des données :

Nécessaire pour la fourniture des services concernés

7. Destinataires :

Les bureaux d’enregistrement pour les données concernant exclusivement les titulaires de noms de domaine figurant dans leur portefeuille.

8. Le cas échéant, transferts hors UE :

Oui : uniquement pour les titulaires ayant choisi d’enregistrer leurs noms de domaine auprès de bureaux d’enregistrement hors UE.

Garanties de traitement adéquat : clauses ad hoc du contrat d’enregistrement conclu entre l’Afnic et le bureau d’enregistrement, cf. « Annexe 3 « Garanties appropriées de transfert hors UE » »

La gestion des demandes de vérifications d’éligibilité ou de joignabilité d’un titulaire de nom de domaine

1. Finalité

Le traitement de gestion des demandes de vérifications d’éligibilité ou de la joignabilité d’un titulaire de nom de domaine permet à l’Afnic de :

• Gérer les vérifications initiées par l’Afnic dans le cadre de ses missions de service public
• Permettre à un tiers de demander à l’office d’enregistrement de vérifier les critères d’éligibilité et/ou de joignabilité
• Gérer et traiter les Notifications / Formulaires de signalement relatif à la demande de vérification d’éligibilité et/ou de joignabilité
• Générer des statistiques

2. Base juridique :

En exécution de notre mission de service public (art. 6 – 1. e/ du RGPD) : Articles L45-3 et 45-5 du CPCE. Charte de nommage et autres politiques applicables

3. Durée :

Destruction des demandes de vérification et de leur traitement au terme des 2 ans à compter de la clôture des opérations de vérification classées sans suite. En cas de suite (poursuite judiciaire, extra judiciaire ou de l’Afnic), destruction au terme des procédures engagées et de leur délai légal de prescription

4. Catégories de données traitées :

Données identifiantes du demandeur de la vérification et le cas échéant de son représentant. Données de la demande de vérification et son traitement. Données de traitement de la vérification d’éligibilité et de joignabilité du titulaire

5. Conditions de collecte des données :

Collecte directe

6. Nature des données :

L’exigence des données est règlementaire. Pour le demandeur, l’absence de fourniture des données empêche le traitement de sa demande. Pour le titulaire, l’absence de fourniture peut conduire à la suppression de son portefeuille de noms de domaine en application du CPCE et de la charte de nommage

7. Destinataires :

Les services internes concernés de l’Afnic. Le bureau d’enregistrement du nom de domaine concerné. Le demandeur et son représentant reçoivent le résultat de la procédure. Le public consultant l’annuaire des noms de domaine (whois en ligne) voit le résultat de la procédure

La gestion des mises en relation avec le contact administratif

1. Finalité

Le traitement de gestion des mises en relation avec le contact administratif permet à l’Afnic de :

• Mettre en relation un tiers avec le contact administratif d’un nom de domaine lorsque les données du titulaire sont en diffusion restreinte
• Permettre aux tiers d’envoyer un message au contact administratif via une interface web sur le site afnic.fr
• Générer des statistiques

2. Base juridique :

Pour l’émetteur du message : son consentement (art. 6 – 1. a/ du RGPD). Pour le contact administratif du nom de domaine : En exécution de notre mission de service public (art. 6 – 1. e/ du RGPD) : Dispositif pour répondre aux exigences de permanence, de qualité, de disponibilité et de sécurité du service d’enregistrement. Articles L45-1 §1 et R20-44-39 du CPCE

3. Durée :

1 an

4. Catégories de données traitées :

Données identifiantes du tiers, émetteur du message. Données de connexion du tiers, émetteur du message. Le message de l’émetteur. Adresse électronique du contact administratif du nom de domaine concerné par la demande.

5. Conditions de collecte des données :

Collecte directe

6. Nature des données :

Pour le tiers, émetteur du message, l’exigence de ses données d’identification est contractuelle pour l’utilisation de l’interface de mise en relation.

A noter : pour les titulaires de noms de domaine, une adresse électronique du contact administratif du nom de domaine erronée peut conduire à une procédure de vérification du nom de domaine.

7. Destinataires :

L’Afnic pour la transmission technique. Le titulaire est seul destinataire du message envoyé par le tiers, émetteur du message

La gestion des demandes de divulgation de données personnelles (levées d’anonymat)

1. Finalité

Le traitement de gestion des demandes de divulgation de données personnelles ou levées d’anonymat permet à l’Afnic de :

• Révéler l’identité et les coordonnées d’un titulaire de nom de domaine, personne physique sous diffusion restreinte – sur demande motivée d’un tiers.
  • Pour la poursuite des intérêts légitimes du tiers demandeur dans le respect des intérêts ou des libertés et droits fondamentaux du titulaire quant à la protection de ses données personnelles (art. 6 – 1. f/ du RGPD) ; l’Afnic ne reconnaît un tel intérêt légitime du tiers demandeur qu’en cas de reproduction à l’identique ou quasi à l’identique (i) d’une marque antérieure enregistrée protégée en France, (ii) d’un signe distinctif antérieur (dénomination sociale, raison sociale, nom commercial, enseigne protégés en France, nom de domaine), (iii) d’un titre antérieur protégé par le droit d’auteur français, (iv) d’un nom patronymique ou de pseudonyme. L’analyse de l’Afnic s’attache notamment à la similitude des signes et ne porte pas sur le contenu des sites.
• Révéler l’identité et les coordonnées des contacts personnes physiques fournis par le titulaire de nom de domaine – personnes physiques sous diffusion restreinte –  en réponse à l’exercice d’un droit de communication.
  • Pour l’exécution d’une mission de service public ou obligations légales (art. 6 – 1. c/ du RGPD) à savoir celles autorisant les pouvoirs d’enquête des autorités publiques
• Gérer les comptes utilisateurs des représentants personnes physiques des autorités publiques
• Gérer les demandes de levée d’anonymat et générer des statistiques

2. Base juridique :

En exécution d’une mission de service public (art.6-1.e/ du RGPD) en application de l’article L45-2 du CPCE et des politiques de registre

3. Durée :

6 mois puis purge. Pour les données de gestion et de connexion des accès via RDAP : 1/ En base active, pour la durée du compte utilisateur ; en base archive, 5 ans à compter de la fin du contrat avec le tiers autorisé ; 2/ Les données présentes dans les journaux (logs) : Six mois glissants puis purge.

4. Catégories de données traitées :

Les données identifiantes des demandeurs et de leurs représentants. Dans le cadre des demandes de tiers légitimes : les données et pièces jointes au formulaire. Le traitement du formulaire. Les données identifiantes du titulaire du nom de domaine, objet de la demande. Dans le cadre des demandes en réponse à un droit de communication : Les données et pièces jointes à la demande. Les données identifiantes fournies par le titulaire du nom de domaine, objet de la demande à savoir les contact titulaire et administratif. Données de gestion et de connexion des accès via RDAP à la base whois des représentants habilités des tiers autorisés, tiers disposant d’un droit de communication Les données d’administration et d’opérations sur le nom de domaine concerné pour les autorités publiques en application de la loi ou pour des tiers en application d’une décision judiciaire.

5. Conditions de collecte des données :

Collecte directe sauf pour les données du titulaire : indirecte via les bureaux d’enregistrement

6. Nature des données :

Pour les demandeurs : obligatoire car sans les données la demande ne peut être traitée. Pour les titulaires : des données d’identification erronées peuvent conduire à des procédures remettant en cause leur portefeuille de noms de domaine en application du CPCE et de la charte de nommage

7. Destinataires :

Les informations personnelles des demandeurs : les services internes de l’Afnic en charge du traitement

Les informations personnelles faisant l’objet de la levée d’anonymat : le demandeur de la levée d’anonymat et son représentant accédant aux données sur la base légale qu’ils invoquent tel que :

• Pour la poursuite des intérêts légitimes du tiers demandeur dans le respect des intérêts ou des libertés et droits fondamentaux du titulaire quant à la protection de ses données personnelles (art. 6 – 1. f/ du RGPD) :
• Pour l’exécution d’une mission de service public ou obligations légales (art. 6 – 1. c/ du RGPD) à savoir celles autorisant les pouvoirs d’enquête des autorités publiques

La base légale invoquée par le demandeur l’est sous sa seule responsabilité ; le demandeur (ou tiers autorisé) s’engage à recevoir et utiliser les données à caractère personnel transmises uniquement pour les finalités définies dans sa demande pour sa base légale.

Les informations personnelles du demandeur de la levée d’anonymat et son représentant dans le cadre exclusivement des demandes de tiers légitimes : le titulaire du nom de domaine dès lors qu’il exerce son droit d’information (droit personnel I&L) reçu par l’Afnic avant la purge des données

La gestion des Procédures Alternatives de Résolutions de Litiges (PARL)

1. Finalité

Le traitement de gestion des PARL permet à l’Afnic de :

• Permettre à un tiers de saisir l’Afnic pour réclamer le transfert ou la suppression d’un nom de domaine
• Permettre au titulaire des noms de domaine faisant l’objet d’une PARL d’y répondre
• Gérer le service seule (l’Afnic pour SYRELI) ou avec le Centre (OMPI pour la PARL EXPERT) : administration, sécurité, informations et statistiques
• Accéder aux plateformes par les Experts et intervenants à la procédure
• Gérer les Experts et Intervenants

2. Base juridique :

En exécution de notre mission de service public (art. 6 – 1. e/ du RGPD) : Article L45-6 du CPCE. Charte de nommage et Règlement des PARL

3. Durée :

Purge de la base active 2 mois à compter de la publication de la décision. En cas de suite (poursuite judiciaire, extra judiciaire ou de l’Afnic), destruction au terme des procédures engagées et de leur délai légal de prescription. Puis conservation 5 ans en base archive. Publicité des décisions rendues après anonymisation.

4. Catégories de données traitées :

Données identifiantes. Données des dossiers des PARL (argumentation, pièces, échanges, etc.) et de leur traitement (compte rendu, décision, etc.).

5. Conditions de collecte des données :

Collecte directe sauf pour (i) les titulaires où la collecte est indirecte via le bureau d’enregistrement et (ii) les tiers cités par les parties à la procédure

6. Nature des données :

Nécessaires. Des données d’identification et de contact erronées ne permettront pas de recevoir les éléments de la procédure intégralement en ligne. Le titulaire du nom de domaine est libre de répondre à un dossier de PARL. En tout état de cause, la décision de PARL lui sera opposable (cf. Règlement des PARL)

7. Destinataires:

Les services internes concernés de l’Afnic. Le requérant et le titulaire ainsi que, le cas échéant, les représentants. Le bureau d’enregistrement en charge du nom de domaine objet de la demande de PARL. Si le requérant saisit la PARL EXPERT : L’expert désigné et les services concernés du Centre d’arbitrage et de médiation de l’OMPI. Public pour la décision PARL

8. Le cas échéant, transferts hors UE :

En cas de dossier PARL EXPERT, le destinataire est le Centre d’arbitrage et de médiation de l’OMPI établi en Suisse en tant que coadministrateur de la PARL EXPERT avec l’Afnic. Modalités de protection adéquate : La Suisse est un pays reconnu par la Commission européenne comme adéquat et offrant un niveau suffisant de protection des données personnelles

La gestion des signalements de noms de domaines illicites ou contraires à l’ordre public

1. Finalité :

Le traitement de gestion des signalements de noms de domaines illicites ou contraires à l’ordre public permet à l’Afnic de :

• Permettre, via un formulaire disponible sur afnic.fr, à toute personne de porter à la connaissance de l’Afnic un nom de domaine présentant un caractère illicite ou contraire à l’ordre public
• Générer des statistiques

2. Base juridique :

En exécution de notre mission de service public (art. 6 – 1. e/ du RGPD) : Dispositif pour répondre à l’exigence d’un dispositif permettant à toute personne de porter à la connaissance de l’AFNIC un nom de domaine susceptible de présenter un caractère illicite ou contraire à l’ordre public. Articles L45-1 §1 et R20-44-39 du CPCE

3. Durée :

Destruction des demandes de signalement et de leur traitement au terme des 2 mois à compter de la clôture des opérations de vérification lancées puis classées sans suite. En cas de suite (poursuite judiciaire, extra judiciaire ou de l’Afnic), destruction au terme des procédures engagées et de leur délai légal de prescription.

4. Catégories de données traitées :

Données identifiantes de l’émetteur du signalement. Données du signalement et son traitement. Titulaire : nom de domaine signalé.

5. Conditions de collecte des données :

Collecte directe.

6. Nature des données :

L’exigence des données est règlementaire sans quoi les demandes ne peuvent être traitées.

7. Destinataires :

Les services internes concernés de l’Afnic. Les autorités publiques compétentes.

La gestion du service web Zonemaster de l’Afnic

1. Finalité

Le traitement de gestion du service web Zonemaster de l’Afnic permet à l’Afnic de :

• Gérer le site web zonemaster proposant le service de diagnostics techniques de noms de domaine
• Générer des statistiques de fréquentation du site web
• Utiliser les codes d’erreurs de l’application obtenus par les utilisateurs pour gérer et améliorer le service
• Réaliser des statistiques sur les noms de domaine testés par les utilisateurs de zonemaster
• Utiliser les contenus des demandes (version anonymisée) pour gérer et améliorer le service
• Recevoir et gérer les demandes de contact et de support via le site web (messagerie)
• Gérer et animer l’ensemble des développements de zonemaster en mode collaboratif
• Gérer et proposer les historiques de l’ensemble des tests réalisés depuis le site sur le nom de domaine requêté par l’utilisateur

2. Base juridique :

• Sur consentement (art. 6 – 1. a/ du RGPD) : en envoyant un courriel ou utilisant les services, l’utilisateur manifeste son consentement au traitement de données personnelles nécessaires pour répondre à ses demandes
• Pour les titulaires de noms de domaine : En exécution d’une mission de service public (art.6-1.e/ du RGPD) : en application des Articles L45 et s. du Code des Postes et Communications électroniques (CPCE), R20-44-39 et s. du CPCE et la Convention Etat – Afnic

3. Durée :

Destruction au bout d’un an à compter du dernier contact ou d’un retrait du consentement. Le cookie n’est pas conservé au-delà de 13 mois et n’est pas prorogé lors des nouvelles visites

4. Catégories de données traitées :

• Catégories de données traitées des utilisateurs du site web zonemaster : IP – Pays – Navigateur – OS – Code et message d’erreur de la réponse HTML du serveur web – Date et heure de visite – Nom de domaine testé – Résultats des tests du nom de domaine (= analyse par le moteur de zonemaster du contenu public de zone du nom de domaine) – Numéro du test – Date et heure du test – Diagnostic du test technique du nom de domaine
• Catégories de données traitées des visiteurs du site web zonemaster (pas d’utilisation du moteur de tests) : IP – Pays – Navigateur – OS – Code et message d’erreur de la réponse HTML du serveur web – Date et heure de visite
• Catégories de données traitées des personnes contactant l’Afnic par courriel : Adresse électronique – Contenu du message – Echanges
• Catégories de données traitées des membres du projet zonemaster pour son développement collaboratif : Information du profil public de l’utilisateur ayant un compte auprès de la société GitHub, Inc. (San Francisco) : nom prénom, société, localisation, email, site web – Echanges avec l’Afnic sur l’espace projet dédié à Zonemaster animé par l’Afnic
• Catégories de données traitées des titulaires (personnes physiques) des noms de domaine testés SI identifiants : Nom de domaine testé et toutes les informations techniques en relation avec ce nom de domaine dans le service zonemaster

5. Conditions de collecte des données :

• Pour toutes les catégories de données mises à part celles des titulaires : Collecte directe
• Catégories de données traitées des titulaires (personnes physiques) des noms de domaine testés SI identifiants : Collecte indirecte (fichiers de zone DNS)

6. Nature des données :

Obligatoire

7. Destinataires :

Services internes de l’Afnic.

La gestion des enquêtes de satisfaction en .fr

1. Finalité

Le traitement de gestion des enquêtes de satisfaction en <.fr> permet à l’Afnic de :

• Gestion des enquêtes de satisfaction des titulaires de noms de domaine en <.fr> ou potentiels titulaires (ou candidats à la présence en ligne)
• Réaliser l’étude et les statistiques sur les résultats d’enquêtes une fois anonymisés
• Réaliser les profils des titulaires de <.fr>
• Connaître les motivations d’enregistrement d’un nom de domaine en <.fr>
• Connaître les usages faits des noms de domaine en <.fr>
• Améliorer la qualité des prestations de l’Afnic dans sa mission de service public
• Identifier les insatisfactions pour agir sur les axes d’amélioration
• Suivre la progression de l’Afnic dans ses engagements sur le <.fr>

2. Base juridique :

En exécution d’une mission de service public (art.6-1.e/ du RGPD) : en application de l’article L45 du CPCE et de la Convention Etat-Afnic pour le traitement de préparation de la liste des personnes concernées contactées pour l’enquête

Consentement de la personne concernée à l’occasion du premier contact avec faculté immédiate de s’opposer (art. 6 – 1. a/ du RGPD)

3. Durée :

• Base de données de l’enquête : destruction à fin de l’enquête
• Résultats bruts : destruction à réception par le prestataire de l’attestation de fin de mission
• Sous-traitant du Prestataire : destruction immédiate à la fin de la réalisation de sa prestation
• Sans limite sur les résultats anonymisés

4. Catégories de données traitées :

• Représentants de personnes morales titulaires d’un nom de domaine en <.fr> : Nom de l’organisme, Nom et prénom, Civilité, Fonction, Courriel professionnel, téléphone professionnel, Adresse postale professionnelle, Réponses au questionnaire de l’enquête
• Représentants de personnes physiques titulaires d’un nom de domaine en <.fr> : Nom et prénom, Civilité, Profession si possible, Courriel, téléphone, Réponses au questionnaire de l’enquête
• Pour les non titulaires de noms de domaine en .fr : courriel, Réponses au questionnaire de l’enquête

5. Conditions de collecte des données :

Collecte indirecte : pour les données des titulaires via leurs bureaux d’enregistrement et pour les non titulaires, via un prestataire d’enquête

6. Nature des données :

Nécessaire pour la réalisation de l’enquête facultative

7. Destinataires :

Interne. En externe, les prestataires en charge de l’enquête. Tout destinataire pour les résultats anonymisés

La gestion des Droits personnels Informatique & Libertés

1. Finalité

Le traitement de gestion des Droits personnels Informatique & Libertés permet à l’Afnic de :

• Gérer les demandes d’exercice des droits d’accès, d’opposition, de rectification et d’effacement des données, de limitation du traitement, de retirer le consentement, d’introduire une réclamation auprès d’une autorité de contrôle ainsi que le droit de définir des directives relatives à la conservation, à l’effacement et à la communication des données à caractère personnel en cas de décès
• Gérer les demandes d’accès et de suppression de ses données personnelles en cas d’usurpation d’identité dans l’enregistrement d’un nom de domaine

2. Base juridique :

En exécution des obligations légales (art. 6 – 1. c/ du RGPD) : Chapitre III du RGPD

3. Durée :

1 an en archive courante puis 3 ans en archive intermédiaire en cas d’exercice du droit d’opposition

4. Catégories de données traitées :

Les données d’identification. La demande et son traitement

5. Conditions de collecte des données :

Collecte directe

6. Nature des données :

L’exigence de vos données est règlementaire et l’absence de fourniture peut empêcher le traitement de votre demande

7. Destinataires :

Les services internes concernés de l’Afnic. Le cas échéant, les bureaux d’enregistrement chargés des noms de domaine concernés par la demande.

La gestion des signalements Informatique & Libertés et des notifications de violations de données à caractère personnel

1. Finalité

Le traitement de gestion des signalements Informatique & Libertés et des notifications de violations de données à caractère personnel permet à l’Afnic:

• La réception et l’exploitation des signalements reçus
• L’analyse des signalements reçus, les investigations éventuelles auprès de toutes personnes et entités pertinentes et rapports/synthèses
• La tenue des journaux, le suivi des mesures et actions
• Le cas échéant, la gestion des notifications (CNIL et personnes concernées)
• La gestion des suites données par l’Afnic
• La production de statistiques d’activité

2. Base juridique :

En exécution de nos obligations légales (art. 6 – 1. c/ du RGPD) à savoir celles résultant des articles 32 et suivants du RGPD

3. Durée :

Les données relatives à une notification de violation de données à caractère personnel sont conservées dix ans à compter de la clôture du dossier.

4. Catégories de données traitées :

Données d’identification, coordonnées professionnelles, vie professionnelle

Données concernées par le signalement voire la violation de données

En cas de violation, les analyses de risques, les échanges et suivis avec les personnes concernées

5. Conditions de collecte des données :

Collectes directe et indirecte en fonction des données

6. Nature des données :

L’exigence des données est nécessaire aux finalités

7. Destinataires :

Services chargés de l’instruction et de la gestion des signalements et violations. En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :

• les membres et agents de la CNIL autorisés ;
• en cas de notification concernant un traitement transfrontalier pour lequel la CNIL est autorité chef de file, les données pourront être transmises aux autres autorités de protection des données concernées.
• les partenaires de l’Afnic concernés par les signalements voire violations de données