Introduction
Vous venez de trouver le nom de domaine parfait pour votre projet. Vous remplissez le formulaire, payez, et quelques heures plus tard, vous recevez un appel d'une agence web que vous n'avez jamais contactée. Comment ont-ils eu votre numéro ? La réponse tient en un mot : WHOIS.
En 2026, la protection des données personnelles associées aux noms de domaine reste un sujet brûlant. Si le RGPD a imposé des changements majeurs depuis 2018, toutes les extensions ne sont pas logées à la même enseigne. Voici ce qu'il faut savoir pour ne pas voir son nom, son adresse et son numéro de téléphone s'afficher en libre accès sur Internet.
Qu'est-ce que le WHOIS et pourquoi vos données sont exposées ?
Le WHOIS est un annuaire public qui recense les propriétaires de noms de domaine. Créé dans les années 80, il avait une logique simple : si vous croisez un site, vous devez pouvoir identifier qui se cache derrière. Transparence totale.
Concrètement, une requête WHOIS classique renvoie les informations suivantes :
| Champ | Donnée typique |
|---|---|
| Registrant Name | Nom et prénom du propriétaire |
| Registrant Organization | Nom de l'entreprise (le cas échéant) |
| Registrant Email | Adresse email du contact administratif |
| Registrant Phone | Numéro de téléphone |
| Registrant Address | Adresse postale complète |
Avant le RGPD, ces données étaient en accès libre pour n'importe qui. Résultat : spam téléphonique, emails de prospection non sollicités, et dans les cas les plus graves, usurpation d'identité ou harcèlement. Les particuliers étaient les plus exposés, car contrairement aux entreprises, ils n'avaient pas d'adresse professionnelle distincte à fournir.
Ce que le RGPD a changé pour le WHOIS
En mai 2018, l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) a tout bouleversé. L'ICANN, l'organisme qui supervise les noms de domaine au niveau mondial, s'est retrouvé en porte-à-faux : son annuaire WHOIS, conçu pour la transparence totale, violait potentiellement la réglementation européenne sur la protection des données.
La solution trouvée a été un système de WHOIS « réduit » (aussi appelé RDAP, pour Registration Data Access Protocol). Désormais, pour les résidents de l'Union Européenne, les données personnelles sont masquées par défaut. Une requête WHOIS affiche des champs remplis de mentions comme « REDACTED FOR PRIVACY » au lieu de votre adresse personnelle.
Mais attention, ce masquage n'est ni universel ni automatique. Il dépend de trois facteurs :
- L'extension du domaine : les extensions gérées par l'ICANN (.com, .net, .org) appliquent le RGPD, mais certaines extensions nationales hors UE ne le font pas.
- Votre pays de résidence : le RGPD protège les résidents de l'UE. Si vous êtes hors UE, vos données peuvent être publiques même sur un .com.
- Votre statut : les personnes morales (entreprises) ne bénéficient pas du même niveau de protection que les personnes physiques sous le RGPD.
Protection WHOIS par extension : le vrai-faux comparatif
Toutes les extensions n'offrent pas la même protection. Voici l'état des lieux en 2026 :
| Extension | Protection par défaut | Particularité |
|---|---|---|
| .fr | Oui (gratuit) | L'AFNIC masque automatiquement les données des particuliers depuis 2018. Protection complète et gratuite. |
| .com | Variable | Masquage appliqué si résident UE, mais certains registrars facturent l'option "Domain Privacy" |
| .eu | Oui (gratuit) | EURid applique le RGPD strictement. Masquage automatique pour les particuliers. |
| .be | Oui (gratuit) | DNS Belgium masque les données par défaut. |
| .ch | Non | La Suisse n'est pas dans l'UE. Les données des .ch restent publiques, sauf option payante chez certains registrars. |
| .io | Non | Aucune protection RGPD. Données entièrement publiques. |
| .uk | Oui | Nominet propose un masquage gratuit pour les particuliers (opt-out possible). |
Le cas du .fr est particulièrement intéressant pour un public français. L'AFNIC ne se contente pas de masquer les données : elle propose aussi un système de contact anonymisé. Si quelqu'un veut vous joindre à propos de votre domaine, il passe par un formulaire sans jamais voir votre adresse email réelle.
Solutions techniques : comment masquer vos données
Selon votre situation, plusieurs options s'offrent à vous pour protéger vos informations WHOIS.
1. La protection WHOIS du registrar (la plus courante)
La quasi-totalité des bureaux d'enregistrement proposent une option de protection des données. Techniquement, le registrar remplace vos informations personnelles par les siennes dans la base WHOIS, tout en vous conservant comme propriétaire légal du domaine.
Dans les faits, si quelqu'un interroge le WHOIS, il voit le nom du registrar, une adresse générique et une adresse email de redirection. Vous restez joignable, mais vos vraies coordonnées n'apparaissent jamais.
Chez la plupart des hébergeurs français, cette protection est incluse gratuitement dans le prix du domaine. C'est le cas de Gaprod, OVH, Ionos ou LWS. À l'étranger, certains registrars comme GoDaddy la facturent entre 5 et 10 euros par an.
Vérifiez votre contrat
Si vous avez acheté un domaine avant 2018, la protection WHOIS n'est peut-être pas activée automatiquement. Connectez-vous à votre espace client et vérifiez que l'option est bien cochée. Une vérification qui prend deux minutes peut vous éviter des mois de spam.
2. Le proxy WHOIS (solution avancée)
Pour les entreprises qui veulent un niveau de contrôle supplémentaire, il existe des services de proxy WHOIS tiers. Contrairement à la protection registrar, ces services agissent comme un intermédiaire juridique : ils deviennent le titulaire officiel du domaine (en trust) et vous louent les droits d'usage.
Cette solution est surtout pertinente si vous souhaitez :
- Enregistrer un domaine sans que votre entreprise soit identifiable
- Protéger un projet en phase de lancement
- Éviter que des concurrents surveillent vos acquisitions de domaines
Le coût est plus élevé (de 50 à 200 euros par an selon le prestataire) et la solution est plus complexe à mettre en place. Pour un usage classique, la protection WHOIS standard est largement suffisante.
3. Les services de redirection email WHOIS
Certains registrars remplacent votre adresse email WHOIS par une adresse temporaire qui redirige vers votre vraie boîte mail. L'avantage : si l'adresse de redirection commence à recevoir du spam, vous pouvez la changer sans toucher à votre email principal.
Les limites du masquage WHOIS
Aussi efficace soit-elle, la protection WHOIS n'est pas une solution de sécurité à 360°. Voici ce qu'elle ne protège pas :
- Le Whois historique : des bases de données tierces conservent des archives du WHOIS. Si vos données étaient publiques avant l'activation de la protection, elles peuvent encore être trouvables via des services comme DomainTools.
- Les certificats SSL : les logs de transparence des certificats (Certificate Transparency) sont publics. Le nom de domaine y apparaît, parfois avec des informations sur l'organisation.
- Les informations légales du site : si vous affichez votre adresse dans les mentions légales de votre site, le WHOIS protégé ne sert à rien.
- Les requêtes judiciaires : en cas de procédure légale (cybersquatting, contrefaçon), les autorités peuvent obtenir vos informations auprès du registrar, protection WHOIS ou pas.
Comment vérifier que vos données sont bien protégées
Ne partez pas du principe que tout est en ordre. Vérifiez par vous-même. C'est gratuit et prend 30 secondes.
Rendez-vous sur un service de consultation WHOIS comme whois.com, who.is, ou directement sur le terminal avec la commande whois votre-domaine.fr. Regardez les champs « Registrant Name », « Registrant Email » et « Registrant Phone ». Si vous voyez vos informations personnelles, la protection n'est pas active.
Si vous voyez des mentions comme « REDACTED FOR PRIVACY », « OVH, 2 rue Kellermann, 59100 Roubaix », ou un email en @contact.gandi.net, c'est bon signe : vos données sont masquées.
Le cas du .fr
Avec un domaine .fr, vous pouvez aussi vérifier directement sur le site de l'AFNIC (afnic.fr). Leur outil WHOIS affiche clairement si les données sont masquées et quel type de contact est utilisé (particulier, entreprise, auto-entrepreneur).
Conclusion
Protéger ses données WHOIS en 2026 n'est plus une option : c'est un réflexe de base, au même titre que choisir un mot de passe solide ou activer le HTTPS. La bonne nouvelle, c'est que pour la majorité des résidents français utilisant des extensions européennes, cette protection est automatique et gratuite.
Les points à retenir : vérifiez systématiquement l'état de votre WHOIS après chaque achat ou transfert de domaine, privilégiez les extensions avec protection RGPD (.fr, .eu, .be) si la protection des données est une priorité, et méfiez-vous des extensions exotiques qui ne bénéficient d'aucun cadre réglementaire protecteur.
Un nom de domaine, c'est la première brique de votre présence en ligne. Autant qu'elle ne commence pas par une fuite de vos données personnelles.