|
Art. 9 Généralités
1 Le registre gère le domaine de manière rationnelle et judicieuse. Il exerce sa fonction de manière transparente et non discriminatoire. 2 Il dispose du personnel ayant les qualifications et les connaissances professionnelles nécessaires pour remplir ses différentes tâches. Il désigne un responsable technique. 3 L’OFCOM peut prescrire les exigences de qualité et de sécurité des services du registre et les modalités du contrôle de la sécurité et de la résilience des infrastructures.
|
Art. 10 Tâches
1 Dans l’exercice de sa fonction, le registre a les tâches suivantes: - a.
- fournir les prestations, opérations et fonctionnalités du DNS requises conformément aux règles qui s’appliquent à l’échelon international, en particulier:
- 1.
- tenir le journal des activités,
- 2.
- administrer et maintenir à jour les bases de données comprenant l’ensemble des informations relatives au domaine considéré qui sont nécessaires pour exécuter sa fonction,
- 3.
- gérer les serveurs de noms primaires et secondaires, en assurant la diffusion du fichier de zone vers ces serveurs,
- 4.
- exécuter la résolution des noms de domaine en adresses IP,
- 5.
- assurer l’installation, la gestion et la mise à jour d’une banque de données RDDS (WHOIS)3,
- 6.4
- donner accès aux informations contenues dans le fichier de zone à des fins de lutte contre la cybercriminalité, à des fins de recherche scientifique ou sociétale ou à d’autres fins d’intérêt public;
- b.
- mettre à la disposition des registraires un système qui leur permet de déposer des demandes d’enregistrement de noms de domaine et d’en assurer la gestion administrative (système d’enregistrement) et fixer les procédures ainsi que les conditions techniques et organisationnelles relatives à l’enregistrement et à la gestion des noms de domaine par les registraires;
- c.
- attribuer et révoquer les droits d’utilisation sur les noms de domaine;
- d.
- prévoir une procédure technique et administrative permettant, lorsque cela est requis par leurs titulaires, un transfert aisé entre registraires de la gestion de noms de domaine;
- e.
- mettre en œuvre les services de règlement des différends (art. 14);
- f.
- assurer l’acquisition, l’installation, l’exploitation et la mise à jour de l’infrastructure technique nécessaire;
- g.
- prendre les mesures propres à assurer la fiabilité, la résilience, l’accessibilité, la disponibilité, la sécurité et l’exploitation de l’infrastructure ainsi que des prestations nécessaires;
- h.
- annoncer immédiatement aux registraires touchés toute perturbation de l’exploitation du DNS, de son infrastructure ou de ses services d’enregistrement;
- i.
- lutter contre la cybercriminalité conformément aux dispositions prévues par la présente ordonnance;
- j.5
- fournir au public, en ligne par le biais d’un site dédié et facilement identifiable, toute information utile sur les activités du registre;
- k.6
- …
2 Le registre n’examine pas de manière générale et continue les activités des registraires ainsi que des titulaires. Sous réserve de l’art. 51, let. b, il n’est pas tenu de rechercher activement des faits ou des circonstances révélant des activités illicites commises au moyen de noms de domaine. 3 Nouvelle expression selon le ch. I de l’O du 18 nov. 2020, en vigueur depuis le 1erjanv. 2021 (RO 2020 6251). Il a été tenu compte de cette mod. dans tout le texte. 4 Introduit par le ch. I de l’O du 18 nov. 2020, en vigueur depuis le 1erjanv. 2021 (RO 2020 6251). 5 Nouvelle teneur selon le ch. I de l’O du 15 sept. 2017, en vigueur depuis le 1er nov. 2017 (RO 2017 5225). 6 Abrogée par le ch. I de l’O du 15 sept. 2017, avec effet au 1er nov. 2017 (RO 2017 5225).
|
Art. 11 Journal des activités
1 Le registre consigne dans un journal les activités déployées en rapport avec l’enregistrement et l’attribution de noms de domaine, leurs mutations, leurs transferts, leurs mises hors service et leurs révocations. 2 Il conserve les données consignées et les pièces justificatives correspondantes pendant dix ans à partir de la révocation d’un nom de domaine. 3 Toute personne qui fait état de manière vraisemblable d’un intérêt légitime prépondérant a le droit de consulter le dossier figurant au journal des activités qui concerne un nom de domaine particulier. Le registre fixe les modalités techniques et administratives de la consultation. Il peut demander une rémunération pour la consultation.7 7 Nouvelle teneur selon le ch. I de l’O du 18 nov. 2020, en vigueur depuis le 1er janv. 2021 (RO 2020 6251).
|
Art. 12 Dépôt d’une sauvegarde du système d’enregistrement et de gestion
1 Lorsque la fonction de registre est déléguée, le registre peut être tenu par l’OFCOM de conclure avec un mandataire indépendant un contrat de droit privé qui porte sur la sauvegarde au bénéfice de l’OFCOM du système d’enregistrement et de gestion d’un domaine de premier niveau avec toutes les données et informations relatives aux titulaires et aux caractéristiques notamment techniques des noms de domaine attribués. 2 L’OFCOM ne peut donner des instructions au mandataire et exploiter ou faire exploiter le système, les données et les informations sauvegardés que dans les circonstances suivantes: - a.
- le registre se trouve en état de faillite, en liquidation ou dans une procédure concordataire;
- b.
- le registre cesse son activité mais ne transmet pas au nouveau registre ou à l’OFCOM les données ou informations nécessaires pour gérer le domaine;
- c.
- le registre n’est plus en mesure d’exécuter sa fonction ou l’une de ses tâches;
- d.
- des circonstances extraordinaires, telles qu’une catastrophe naturelle, l’exigent.
|
Art. 13 Données personnelles
1 Le registre peut traiter les données personnelles concernant les registraires, les requérants et titulaires de noms de domaine, les services de règlement des différends et leurs experts ou toute autre personne qui prend part ou est impliquée dans la gestion du domaine concerné dans la mesure où et aussi longtemps que cela est nécessaire: - a.
- à la gestion du domaine concerné;
- b.
- à l’accomplissement de la fonction de registre et à l’exécution des obligations qui découlent pour lui de la présente ordonnance, de ses dispositions d’exécution ou de son contrat de délégation;
- c.
- à la stabilité du DNS;
- d.
- à l’obtention du paiement des montants dus pour les prestations du registre.
2 Sous réserve de l’art. 11, al. 2, la durée maximale des traitements de données personnelles opérés par le registre est de 10 ans.
|
Art. 14 Services de règlement des différends
1 Le registre institue les services de règlement des différends qui s’imposent. Il règle l’organisation et la procédure de ces services dans le respect des règles et principes suivants: - a.
- les services constituent des processus de résolution extrajudiciaire des litiges menés par des experts neutres et indépendants;
- b.
- les services connaissent des litiges relevant du droit civil survenant entre titulaires du droit d’utiliser un nom de domaine et titulaires de droits attachés à des signes distinctifs;
- c.
- les décisions des experts concernant les noms de domaine ont force obligatoire pour le registre concerné, à moins qu’une action civile n’ait été ouverte dans le délai prévu par le règlement de procédure;
- d.
- les décisions des experts portent sur la légitimité de l’attribution d’un nom de domaine; elles ne peuvent accorder de dommages-intérêts ou se prononcer quant à la validité de droits attachés à des signes distinctifs;
- e.
- les règles régissant la résolution des litiges doivent s’inspirer des meilleures pratiques en la matière;
- f.
- la procédure doit être équitable, transparente, rapide et avantageuse; les experts mandatés par les services ne peuvent être soumis à aucune directive générale ou particulière concernant la solution d’un litige; ils peuvent entreprendre toutes les démarches nécessaires à la solution d’un litige dont ils sont saisis;
- g.
- la procédure de règlement des différends prend fin avec le retrait de la requête, la conclusion d’un accord entre les parties, la décision des experts ou l’ouverture d’une action civile.
2 La structure de l’organisation, les règles régissant la résolution des litiges, les règles de procédure et la nomination des experts appelés à trancher requièrent l’approbation de l’OFCOM. Celui-ci prend au préalable l’avis de l’Institut fédéral de la propriété intellectuelle et, si l’affaire touche à la structure de l’organisation ou aux règles de procédure, l’avis de l’Office fédéral de la justice.8 3 Le registre transmet sur demande au service de règlement des différends saisi toutes les données personnelles en sa possession qui sont nécessaires à la résolution d’un litige. 4 Il peut publier ou faire publier les décisions prises par les experts. Le nom et d’autres données personnelles des parties ne peuvent être publiées que s’ils sont indispensables pour la compréhension des décisions.9 8 Nouvelle teneur selon le ch. I de l’O du 18 nov. 2020, en vigueur depuis le 1er janv. 2021 (RO 2020 6251). 9 Nouvelle teneur selon le ch. I de l’O du 15 sept. 2017, en vigueur depuis le 1er nov. 2017 (RO 2017 5225).
|
Art. 15 Mesures en cas de soupçon d’abus: blocage 10
1 Le registre peut bloquer techniquement et administrativement un nom de domaine durant 5 jours ouvrables au maximum si des raisons fondées permettent de supposer que le nom de domaine en question est utilisé: - a.
- pour accéder par des méthodes illicites à des données critiques;
- b.
- pour diffuser ou exploiter des logiciels malveillants, ou
- c.
- pour soutenir des activités au sens des let. a ou b.
2 Il peut prolonger le blocage durant 30 jours au maximum: - a.
- si des raisons fondées permettent de supposer que le titulaire recourt manifestement à de fausses données d’identification ou usurpe l’identité d’un tiers, et
- b.
- s’il est urgent de prévenir la survenance d’un préjudice imminent et difficilement réparable.
3 Un service de lutte contre la cybercriminalité reconnu par l’OFCOM peut exiger le blocage durant 30 jours au maximum si les conditions mentionnées à l’al. 1 sont remplies. 4 Un blocage ne peut être maintenu au-delà des délais fixés dans le présent article que si l’OFCOM l’ordonne.11 10 Nouvelle teneur selon le ch. I de l’O du 15 sept. 2017, en vigueur depuis le 1er nov. 2017 (RO 2017 5225). 11 Nouvelle teneur selon le ch. I de l’O du 18 nov. 2020, en vigueur depuis le 1er janv. 2021 (RO 2020 6251).
|
Art. 15a Mesures en cas de soupçon d’abus: redirection du trafic 12
1 Le registre redirige le trafic destiné à un nom de domaine ou transitant par ce nom de domaine si les conditions suivantes sont réunies: - a.
- le nom de domaine concerné est bloqué conformément à l’art. 15;
- b.
- le traitement des informations vise uniquement à identifier et à informer les victimes d’activités au sens de l’art. 15, al. 1, ainsi qu’à en analyser le fonctionnement dans le but de développer les techniques visant à identifier, combattre, limiter ou poursuivre ces activités; les informations recueillies qui n’ont aucun rapport avec ces activités ne peuvent être utilisées et doivent être immédiatement supprimées;
- c.
- la redirection du trafic est requise par un service au sens de l’art. 15, al. 3, pour 30 jours au maximum.
2 Il redirige le trafic vers un outil d’analyse ou vers une page d’information qui contient: - a.
- des indications sur le soupçon d’abus en cause;
- b.
- le nom et les données de contact du service ou de l’autorité ayant requis la mesure.
3 Une redirection de trafic ne peut être maintenue au-delà des délais fixés dans le présent article que si l’OFCOM l’ordonne. 12 Introduit par le ch. I de l’O du 15 sept. 2017 (RO 2017 5225). Nouvelle teneur selon le ch. I de l’O du 18 nov. 2020, en vigueur depuis le 1er janv. 2021 (RO 2020 6251).
|
Art. 15b Mesures en cas de soupçon d’abus: information et demande d’identification 13
1 Le registre informe le titulaire du nom de domaine concerné immédiatement, par voie électronique, du blocage ou de la redirection du trafic. 2 Il demande simultanément au titulaire d’indiquer, si besoin est, une adresse de correspondance valable en Suisse et de s’identifier dans les 10 jours.14 3 L’information du titulaire peut être différée si cela est indispensable pour protéger des intérêts publics ou privés prépondérants. 13 Introduit par le ch. I de l’O du 15 sept. 2017, en vigueur depuis le 1er nov. 2017 (RO 2017 5225). 14 Nouvelle teneur selon le ch. I de l’O du 28 juin 2023, en vigueur depuis le 1er janv. 2024 (RO 2023 365).
|
Art. 15c Mesures en cas de soupçon d’abus: décision et révocation 15
1 L’OFCOM rend une décision sur le blocage ou sur la redirection du trafic si, dans les 30 jours suivant l’information par le registre portant sur la mesure, le titulaire: - a.
- demande une telle décision;
- b.
- s’identifie correctement, et
- c.
- indique une adresse de correspondance valable en Suisse lorsqu’il est établi à l’étranger.
2 Si le titulaire ne s’identifie pas correctement ou n’indique pas une adresse de correspondance valable dans le délai conformément à l’art. 15b, al. 2, le registre révoque l’attribution du nom de domaine. 15 Introduit par le ch. I de l’O du 15 sept. 2017 (RO 2017 5225). Nouvelle teneur selon le ch. I de l’O du 18 nov. 2020, en vigueur depuis le 1er janv. 2021 (RO 2020 6251).
|
Art. 15d Mesures en cas de soupçon d’abus: noms de domaine non attribués 16
Le registre peut, de son propre fait, ou doit, sur demande d’un service au sens de l’art. 15, al. 3, prendre les mesures suivantes concernant un nom de domaine qui n’est pas encore attribué s’il y a des raisons fondées de supposer que ce nom de domaine pourrait faire l’objet d’une demande d’attribution et d’une utilisation à une fin ou d’une manière illicite: - a.
- il s’attribue le nom de domaine ou l’attribue à un tiers qui prête son concours à la lutte contre la cybercriminalité;
- b.
- il redirige à des fins d’analyse le trafic destiné au nom de domaine ou transitant par ce nom de domaine.
16 Introduit par le ch. I de l’O du 15 sept. 2017, en vigueur depuis le 1er nov. 2017 (RO 2017 5225).
|
Art. 15dbis Mesures en cas de soupçon d’abus: 17
1 Le registre peut bloquer pendant 10 jours un nom de domaine dont l’attribution remonte à moins de 90 jours si des raisons fondées lui permettent de supposer que le titulaire: - a.
- recourt manifestement à de fausses données d’identification ou usurpe l’identité d’un tiers, et
- b.
- utilise le nom de domaine à une fin ou d’une manière illicite.
2 Il demande simultanément au titulaire de s’identifier dans les 10 jours. 3 Si le titulaire ne s’identifie pas correctement dans les 10 jours, le registre révoque l’attribution du nom de domaine. 17 Introduit par le ch. I de l’O du 28 juin 2023, en vigueur depuis le 1er janv. 2024 (RO 2023 365).
|
Art. 15e Mesures en cas de soupçon d’abus: documentation et rapports 18
1 Le registre documente les cas de blocage et de redirection du trafic. 2 Il présente périodiquement ou sur demande un rapport à l’OFCOM. Il peut également le transmettre aux services reconnus au sens de l’art. 15, al. 3. 18 Introduit par le ch. I de l’O du 15 sept. 2017, en vigueur depuis le 1er nov. 2017 (RO 2017 5225).
|
Art. 16 Assistance administrative et coopération
1 Le registre peut collaborer avec tout tiers qui prête son concours à l’identification et à l’évaluation des menaces, abus et dangers qui touchent ou pourraient toucher la gestion du domaine dont il a la charge, l’infrastructure dédiée à cette gestion ou le DNS. Il veille à ce que les tiers concernés puissent, sur une base volontaire, échanger avec lui en toute sécurité des informations et des données personnelles sur ces menaces, abus ou dangers. Il peut leur communiquer de telles données ou informations personnelles, au besoin à l’insu des personnes concernées. Cette communication peut être opérée par procédure d’appel.19 2 Il signale aux services spécialisés de la Confédération les incidents en matière de sécurité de l’information qui touchent le domaine dont il a la charge ou le DNS. Il peut traiter des données personnelles en rapport avec ces incidents et les communiquer aux services spécialisés, au besoin à l’insu des personnes concernées. Cette communication peut être opérée par procédure d’appel ou par transfert en bloc de données.20 3 Lorsqu’une autorité suisse intervenant dans le cadre de l’exécution de ses tâches le requiert, le registre demande au titulaire qui ne possède pas d’adresse de correspondance valable en Suisse d’indiquer une telle adresse et de s’identifier dans les 30 jours. Le registre révoque le nom de domaine si le titulaire ne s’exécute pas dans le délai imparti et informe l’autorité suisse requérante de la révocation.21 4 Pour le surplus, l’art. 13b LTC s’applique par analogie à l’assistance administrative garantie par le registre. 19 Nouvelle teneur selon le ch. I de l’O du 15 sept. 2017, en vigueur depuis le 1er nov. 2017 (RO 2017 5225). 20 Nouvelle teneur selon le ch. I de l’O du 15 sept. 2017, en vigueur depuis le 1er nov. 2017 (RO 2017 5225). 21 Nouvelle teneur selon le ch. I de l’O du 15 sept. 2017, en vigueur depuis le 1er nov. 2017 (RO 2017 5225).
|