Résumé

  • La réforme ICP-2 doit être jugée comme un problème de conception de norme de reconnaissance: la norme doit mesurer si un registre peut fournir des services de ressources de numéros fiables, auditables et responsables devant les membres, et non si les titulaires peuvent préserver leur franchise.
  • L'ARIN est le test régional mature parce que la rareté des IPv4, les ressources héritées, la dépendance au marché de transfert, la concentration du cloud et la dépendance externe aux registres rendent la reconnaissance économiquement conséquente même lorsque l'institution est stable.
  • Une norme crédible devrait définir des obligations observables, un examen indépendant, une portée d'audit, des mesures correctives de continuité et des sanctions graduées avant la dé-reconnaissance, tout en évitant un pouvoir discrétionnaire global vague.
  • Le principal danger n'est pas un langage de gouvernance trop peu, mais trop: les processus de consensus du NRO, de l'ICANN ou des RIR peuvent transformer la préférence institutionnelle en un pouvoir mondial de contrôle si les critères ne sont pas étroits et fondés sur des preuves.
  • Les 12 à 24 prochains mois devraient être surveillés pour la conception de l'audit, la préparation des opérateurs d'urgence, les garde-fous anti-capture, la neutralité du marché de transfert et pour voir si l'ARIN traite la réforme comme une discipline sur elle-même plutôt que comme une protection contre les contestataires.

Les normes de reconnaissance sont des instruments économiques

L'ancien langage de la gouvernance des numéros Internet peut faire paraître la reconnaissance cérémonielle. Un registre Internet régional est « reconnu »; il rejoint le système familier; il dessert une région; il participe à la coordination; il suit des processus de politique ouverts. Ces mots décrivent de réels arrangements institutionnels, mais ils sous-estiment l'économie. La reconnaissance n'est pas une médaille. C'est une licence pour exploiter le registre régional faisant autorité pour les adresses IPv4, les adresses IPv6 et les numéros de systèmes autonomes. Ce registre est utilisé par les opérateurs, les courtiers, les banques, les tribunaux, les fournisseurs de cloud, les équipes de sécurité, les clients et les gouvernements pour décider qui peut agir, quel enregistrement est fiable, quel transfert peut être clôturé et quel contact réseau est crédible.

C'est pourquoi la réforme de la Politique de coordination Internet 2 devrait être traitée moins comme de l'entretien institutionnel et davantage comme une conception de norme de reconnaissance. Ledocument ICP-2original, accepté en 2001, était principalement une norme pour l'établissement de nouveaux RIR. Il appartenait à une période où le système régional se stabilisait encore dans sa forme à cinq registres. Le processus de réforme actuel, décrit sur lapage NRO ICP-2, a pris de l'ampleur. Il couvre désormais la reconnaissance, le fonctionnement continu, l'audit, la continuité d'urgence et une éventuelle dé-reconnaissance. Il ne s'agit pas seulement de savoir comment un nouveau registre devrait entrer dans le système, mais comment les registres existants devraient rester dignes de reconnaissance et ce qui se passe en cas d'échec.

Ce changement est économiquement inévitable. Une norme de reconnaissance définit les conditions dans lesquelles les services de registre restent une infrastructure de confiance. Si elle est trop faible, un registre défaillant peut imposer un risque de continuité à toute une région alors que le système mondial ne dispose pas d'un recours crédible. Si elle est trop forte, ou trop discrétionnaire, la norme devient une porte mondiale par laquelle les registres en place, les processus de l'ICANN et la coordination du NRO peuvent discipliner les communautés défavorisées ou les challengers potentiels. Si elle est trop vague, les marchés fixeront le prix de l'incertitude. Si elle est trop détaillée, elle risque de figer un modèle institutionnel et de rendre l'adaptation régionale coûteuse.

L'ARIN importe parce que ce n'est pas un cas de crise. C'est le cas mature de l'Amérique du Nord et des Caraïbes. Son pool d'IPv4 libres est épuisé depuis le 24 septembre 2015, comme l'indique lapage des options IPv4de l'ARIN. Les transferts, les enregistrements hérités, les attributions de la liste d'attente, RPKI, Whois/RDAP, le DNS inversé et les frontières de service contractuelles ont désormais plus de poids économique que les attributions ordinaires de première fois en période d'abondance. Dans un tel marché, une norme de reconnaissance ne sert pas seulement à prévenir l'effondrement. Il s'agit de définir le prix de la confiance.

La bonne question n'est donc pas de savoir si l'ARIN devrait être soumis à des attentes mondiales. Elle devrait l'être. La question est de savoir ce que ces attentes devraient mesurer, qui devrait les appliquer, quelles preuves devraient compter, quels recours devraient exister avant la dé-reconnaissance et comment empêcher la norme de devenir une protection des titulaires déguisée en stabilité.

L'ARIN est le test du marché mature

La région de l'ARIN est un laboratoire utile car elle combine stabilité institutionnelle et forte dépendance économique aux enregistrements du registre. L'ARIN dessert le Canada, les États-Unis et de nombreux territoires des Caraïbes et de l'Atlantique Nord; sapage de régionrépertorie des juridictions allant du Canada et des États-Unis aux Bermudes, à la Jamaïque, à Porto Rico, à Sainte-Lucie, aux Îles Vierges britanniques et autres. Il ne s'agit pas d'une économie nationale unique. C'est une zone de services de registre couvrant des plateformes cloud à très grande échelle, des opérateurs nationaux, des fournisseurs d'accès ruraux, des universités, des sous-traitants gouvernementaux, des centres de données, des opérateurs caribéens, des détenteurs d'entreprises héritées, des courtiers et de petits réseaux ayant peu de capacité d'adresses disponible.

La stabilité de la région peut induire en erreur. Parce que l'ARIN est ordonné, le risque ne se présente pas comme une défaillance institutionnelle dramatique. Il apparaît sous forme de friction: délais de transfert, coût de la documentation, incertitude sur les ressources héritées, contraintes de la liste d'attente, incidence des frais, coût de participation aux politiques, dépendance à la sécurité du routage et difficulté à distinguer une règle de registre neutre d'une règle de contrôle économique. Dans une région riche, de nombreux entités absorbent cette friction en silence. Une plateforme à très grande échelle engage des avocats. Un grand câblo-opérateur retient du personnel spécialisé. Une banque insère des conditions de reconnaissance. Un courtier structure une transaction autour de l'examen de l'ARIN. Un petit FAI, en revanche, peut vivre le même processus comme une décote de liquidité ou une expansion bloquée.

Le marché IPv4 d'après 2015 rend la différence visible. L'ARIN indique que les demandes ordinaires ne peuvent pas être satisfaites à partir d'un pool libre, sauf par des voies de politique réservée spéciales, des distributions de la liste d'attente ou des transferts. Sapage de liste d'attenteexplique que les organisations dépassant un équivalent /20 ne sont pas éligibles, que le maximum cumulé à un moment donné est un /22, et que les blocs d'adresses restitués ou révoqués sont utilisés pour satisfaire les demandes dans l'ordre de première approbation, sous réserve de la taille des blocs disponibles. Sesdirectives de transfertdécrivent les transferts à bénéficiaire spécifié dans la région ARIN selon NRPM 8.3 et les transferts inter-RIR selon NRPM 8.4, les relations de politique de transfert compatibles étant actuellement répertoriées pour l'APNIC, le LACNIC et le RIPE NCC, mais pas pour l'AFRINIC.

Ces pages sont des pièces factuelles, pas le cadre normatif. Elles montrent une économie de rareté mature dans laquelle le registre n'est ni le vendeur, ni le courtier, ni l'opérateur de réseau, mais contrôle néanmoins la couche de règlement reconnue. Un achat privé de capacité IPv4 n'est pas pleinement opérationnel tant que l'enregistrement au registre n'a pas bougé. La posture de sécurité du routage dépend de la relation reconnue du détenteur avec les services de l'ARIN. Un tribunal, une banque ou un acheteur peut consulter les enregistrements du registre comme preuve de contrôle même lorsque le langage du titre légal reste contesté. Les clients ne savent peut-être pas que l'ARIN existe, mais ils ressentent sa couche d'enregistrement à travers la continuité, la réputation et la supportabilité.

C'est pourquoi l'ARIN est le test difficile pour la réforme ICP-2. Une norme conçue uniquement pour l'effondrement visible passera à côté du problème du marché mature. Elle définira une continuité d'urgence après l'échec tout en laissant le pouvoir de marché quotidien intact. Une norme conçue uniquement pour la culture ordonnée de l'ARIN passera à côté des régions plus faibles et surprotégera les registres en place. La norme utile doit faire les deux: discipliner le pouvoir ordinaire du registre avant la crise et fournir des outils de continuité crédibles si la crise survient.

Le changement économique depuis le premier ICP-2

Le premier ICP-2 a émergé lorsque la reconnaissance signifiait principalement admettre de nouveaux registres régionaux dans un système en expansion. L'Internet mondial n'avait pas encore vécu l'épuisement complet des IPv4 au niveau de l'IANA, chaque région de RIR n'avait pas encore été confrontée à des contraintes d'attribution post-épuisement, et les transferts d'adresses n'étaient pas devenus une architecture commerciale mature. Les critères de reconnaissance pouvaient se concentrer sur la question de savoir si un registre candidat avait un soutien régional, des politiques neutres, une capacité technique, un soutien financier et une zone de service plausible. L'hypothèse sous-jacente était la croissance.

La réforme actuelle se déroule sous un régime de rareté différent. Lapage des ressources de numérosde l'IANA décrit le rôle de l'IANA dans la coordination des systèmes d'adressage Internet mondiaux et des numéros de systèmes autonomes, en allouant des pools aux RIR selon la politique mondiale plutôt que directement à la plupart des FAI ou des utilisateurs finaux. Pour IPv4, l'ancienne logique d'inventaire a disparu. Les blocs d'adresses sont encore techniquement des identifiants, mais leur rareté les a rendus semblables à du capital. Ils peuvent soutenir l'expansion du réseau, la fidélisation des clients, l'intégration dans le cloud, la valeur d'acquisition, la confiance des prêteurs, la réputation et la continuité des activités. Ils ne sont pas une propriété ordinaire au sens simple, mais les marchés les évaluent comme des intrants économiquement durables.

La reconnaissance a donc une fonction différente. Dans l'ancien monde, la reconnaissance déterminait qui pouvait distribuer les ressources futures dans une région. Dans le nouveau monde, la reconnaissance détermine également qui tient le registre des ressources déjà intégrées dans les réseaux et les bilans. Un registre qui échoue ne peut plus être remplacé en disant aux réseaux de redemander ailleurs un approvisionnement généreux en nouvelles IPv4. Un registre qui outrepasse ses pouvoirs ne peut plus être discipliné par une renumérotation facile. Un registre qui ne peut pas traiter les transferts de manière prévisible peut imposer une taxe de marché. Un registre qui perd son auditabilité peut dégrader la confiance dans les preuves de type titre, les assertions de sécurité de routage et les contacts publics.

Le processus du NRO reflète ce changement. La page du NRO rapporte qu'en octobre 2023, le Conseil exécutif du NRO a demandé à l'ASO AC/NRO Number Council d'établir et de gérer un processus de mise à jour d'ICP-2, et qu'un questionnaire a été mené du 8 octobre au 6 décembre 2024 avec 298 soumissions. Un premier document de gouvernance des RIR a été publié en avril 2025, une deuxième version le 28 août 2025, et un rapport d'étape de mai 2026 a décrit les travaux en cours après l'ICANN85. Le calendrier importe moins que le changement institutionnel: la réforme ne concerne plus simplement les nouveaux entrants. Elle porte sur la gouvernance du cycle de vie.

La gouvernance du cycle de vie n'a de valeur que si elle est spécifique. « Stable », « responsable », « axé sur la communauté » et « transparent » sont des aspirations utiles, mais elles ne disent pas à elles seules à un marché ce qui se passe lorsque les enregistrements sont périmés, lorsqu'un transfert est retardé, lorsque les frais influencent la participation, lorsqu'un conseil d'administration est capturé, lorsqu'un audit est demandé, lorsque des services d'urgence doivent être exploités ou lorsque les recours des membres doivent commencer. Les normes de reconnaissance doivent convertir les adjectifs institutionnels en devoirs observables.

Pour l'ARIN, le test économique est particulièrement exigeant. Parce que le registre fonctionne, la réforme ne doit pas être jugée uniquement sur la capacité de l'ARIN à survivre à une urgence. Elle devrait être jugée sur la question de savoir si la norme donne à l'ARIN, aux membres et aux entités au marché une frontière plus claire entre l'infrastructure de registre et le contrôle du marché.

Ce qu'une norme de reconnaissance crédible devrait mesurer

Une norme de reconnaissance ne devrait pas demander si un registre ressemble aux RIR existants. Elle devrait demander si le registre fournit de manière fiable les services dont la communauté de numérotation et les marchés adjacents dépendent. Cela nécessite des catégories mesurables. La première est la continuité: le registre peut-il maintenir les fonctions d'attribution, d'enregistrement, d'annuaire public, de DNS inversé, de RPKI, d'IRR ou de sécurité de routage connexes disponibles en cas de stress? A-t-il une redondance testée? Les arrangements de dépôt de données et de transfert d'urgence sont-ils utilisables plutôt qu'aspirationnels? Un opérateur d'urgence peut-il exécuter l'ensemble minimal de services sans prendre en charge des politiques institutionnelles plus larges?

La deuxième catégorie est l'intégrité des enregistrements. Le registre doit maintenir des enregistrements précis des titulaires, des voies de modification authentifiées, des marqueurs de litige, des historiques de transfert et des services de consultation publique. La précision n'est pas la perfection. C'est un système discipliné pour savoir quelles données sont vérifiées, lesquelles sont en attente, lesquelles sont contestées et lesquelles ont été corrigées. Pour l'ARIN, cela inclut une charge particulière concernant les ressources héritées. Certaines ressources sont antérieures à la structure actuelle des accords de l'ARIN; une norme qui prétend que tous les enregistrements peuvent être normalisés par le biais des contrats actuels méconnaîtra le registre historique.

La troisième catégorie est la neutralité du marché. Un registre devrait être en mesure de prévenir la fraude, la reconnaissance en double, l'autorité falsifiée et les modifications d'enregistrement techniquement dangereuses. Il devrait être beaucoup plus prudent quant à l'utilisation de la reconnaissance pour juger du mérite commercial. Dans un marché de transfert post-épuisement, la frontière entre la vérification des enregistrements et l'approbation du plan d'affaires est économiquement importante. Si une norme récompense les registres pour avoir préservé les anciens contrôles de l'ère d'attribution sans se demander si ces contrôles réduisent encore le préjudice net, elle renforcera les frictions. Si elle supprime toutes les garanties, elle invitera à la fraude. La norme crédible devrait obliger les registres à justifier les conditions affectant le marché en termes de risque concret pour le registre.

La quatrième catégorie est la responsabilité des membres. L'actueldocument de gouvernance des RIR version 2exigerait une adhésion ouverte pour les détenteurs de ressources, une majorité du conseil d'administration élue par les membres, un développement de politiques transparent et des mécanismes permettant aux membres de poser des questions et de recevoir des réponses significatives. C'est une bonne orientation, mais cela ne doit pas être considéré comme auto-exécutoire. Un droit de vote n'est pas une responsabilité si les règles de nomination, l'asymétrie d'information, les frais de déplacement, la culture des réunions, la faible participation ou les réseaux en place rendent l'élection structurellement prévisible. La norme devrait mesurer l'accès à l'information, les élections contestées, les contrôles des conflits, le coût de participation et la réactivité, et non simplement le droit formel de voter.

La cinquième catégorie est l'auditabilité. Il ne suffit pas de publier des rapports annuels et des procès-verbaux de réunions. Un registre devrait pouvoir faire l'objet d'un examen externe par rapport aux critères opérationnels, de gouvernance, financiers et de continuité de service. L'audit doit être délimité de manière à ne pas devenir une expédition de pêche ou une arme politique. Il doit aussi être assez solide pour révéler si le registre peut faire ce que la reconnaissance prétend qu'il peut faire. Sans audit, la reconnaissance devient une confiance en la réputation. Avec un audit excessif, la reconnaissance devient une bureaucratie permanente. La norme doit fixer un prix médian.

Les forces de l'ARIN ne remplacent pas la discipline

L'ARIN aborde ce débat avec de réelles forces institutionnelles. Sapage du conseil d'administrationindique qu'en 2025, le conseil était composé de dix membres, neuf élus par les membres généraux en règle, le président et chef de la direction agissant comme dixième administrateur. L'ARIN publie des documents de politique, des informations sur les réunions, des procédures de transfert, une documentation de service et des barèmes de frais. Il participe au système du NRO, exploite des services de registre matures et a des décennies d'expérience dans la gestion des questions difficiles liées aux ressources héritées et aux transferts. Ce ne sont pas des vertus cosmétiques.

Mais la force institutionnelle peut devenir un argument contre la réforme si elle est utilisée avec insouciance. Un registre mature peut dire, en effet, qu'il a déjà les processus que la réforme recherche. Cela peut être partiellement vrai. Pourtant, le but d'une norme de reconnaissance n'est pas seulement de sauver les institutions faibles. Il est de rendre les institutions fortes lisibles et contraintes. Dans un système où la sortie est limitée, la confiance ne devrait pas dépendre du tempérament du conseil actuel, du professionnalisme du personnel actuel ou des habitudes de la communauté actuelle. Elle devrait être intégrée dans des tests durables.

La maturité de l'ARIN lui donne aussi de l'influence. Une norme façonnée autour des pratiques d'un titulaire fort peut devenir un modèle que les régions plus faibles ou différentes doivent copier. Cela peut être efficace lorsque la pratique est véritablement nécessaire, mais nuisible lorsqu'elle transforme la culture administrative d'une région en orthodoxie mondiale. Par exemple, les exigences en matière de gouvernance d'entreprise, de vote des membres, de règlement des litiges, d'audit et d'indépendance financière devraient être définies au niveau fonctionnel, et non par mimétisme procédural. Un registre dans un environnement juridique différent peut satisfaire le même objectif de contrôle par un mécanisme différent. Une norme qui ne permet aucune variation favorisera les titulaires et les avocats au détriment de la conception institutionnelle locale.

Le risque opposé est que les pratiques propres de l'ARIN soient considérées comme suffisantes parce que la région est stable. La stabilité ne prouve pas l'optimalité. Elle peut cacher une perte de poids mort. Les entités au marché du transfert peuvent accepter les frictions parce que les alternatives sont pires. Les petits opérateurs peuvent éviter de participer aux politiques parce que le coût est trop élevé. Les détenteurs de ressources héritées peuvent signer des accords pour accéder aux services de sécurité du routage même s'ils n'aiment pas l'ensemble de la politique. Les plateformes cloud peuvent s'adapter en sur-achetant, en louant ou en diversifiant leurs portefeuilles d'adresses. Ces adaptations maintiennent le fonctionnement du système, mais elles sont la preuve d'un coût, non la preuve que le coût est justifié.

La réforme ICP-2 devrait donc être utilisée pour discipliner l'ARIN même si l'ARIN n'est pas en crise. La norme devrait demander si l'ARIN peut expliquer les décisions affectant le marché en termes étroits de registre, si la responsabilité des membres atteint les petits acteurs et les non-répétitifs, si l'audit révélerait un risque opérationnel significatif, si la continuité pourrait survivre à un choc institutionnel et si les recours sont proportionnés. Une institution forte devrait accueillir ce test si elle croit que sa légitimité repose sur la performance plutôt que sur l'ancienneté.

La dépendance au marché du transfert est le fait central de l'ARIN

Aucune analyse de l'économie de l'ARIN et d'ICP-2 ne peut éviter les transferts. L'environnement post-épuisement de l'ARIN fait de la reconnaissance des transferts l'un des moyens les plus importants par lesquels le registre touche à la valeur économique. Le guide de transfert indique que les organisations sources dans les transferts à bénéficiaire spécifié doivent être les titulaires enregistrés actuels, ne pas être impliquées dans des litiges concernant les ressources et fournir des lettres de reconnaissance signées et notariées par un dirigeant. Il fixe un minimum de /24, restreint les sources qui ont récemment reçu des ressources, exclut les ressources du pool réservé et impose des conséquences sur la liste d'attente. Pour les transferts inter-RIR, l'ARIN exige des politiques réciproques, compatibles et fondées sur les besoins, et les bénéficiaires dans la région ARIN doivent démontrer un besoin d'approvisionnement allant jusqu'à 24 mois.

Ces règles ne sont pas arbitraires à première vue. Elles protègent contre la fraude, l'arbitrage de politique, les revendications en double, le blanchiment du pool réservé et le roulement spéculatif. Mais elles façonnent aussi le marché. Elles affectent le calendrier, le pouvoir de négociation, le prix, les conditions des prêteurs, la valeur des courtiers et la capacité des petits réseaux à acquérir de la capacité. Une norme de reconnaissance qui ignore les effets sur le marché du transfert passera à côté d'une partie essentielle du pouvoir du registre.

La question difficile n'est pas de savoir si un registre doit vérifier un transfert. Il le doit. La question difficile est de savoir si la vérification doit inclure des jugements commerciaux prospectifs hérités de l'ère d'attribution. Dans une transaction de marché, la volonté de payer de l'acheteur révèle le besoin d'une manière qu'une prévision administrative ne peut pas facilement améliorer. Il y a des cas où la thésaurisation, la fraude, l'exposition à des sanctions ou les abus nécessitent une intervention. Mais la norme de reconnaissance devrait demander aux registres de séparer ces cas du mouvement ordinaire du marché. Une règle devrait dire quel préjudice elle prévient, quelles preuves la déclenchent et pourquoi un outil plus étroit d'intégrité des enregistrements est insuffisant.

Cela est important pour ICP-2 car les exigences opérationnelles du projet actuel incluent une application impartiale et cohérente des politiques, des services stables et responsables, et la conformité aux politiques de ressources de numéros. Ces devoirs sont nécessaires mais pas suffisants. Un registre peut appliquer une politique économiquement restrictive de manière cohérente. Il peut traiter les transferts de manière prévisible tout en préservant des barrières de marché inutiles. Il peut être transparent sur des règles qui devraient être plus étroites. La réforme a donc besoin d'une optique de neutralité du marché: l'utilisation de la reconnaissance par le registre préserve-t-elle le registre, ou protège-t-elle une idéologie de l'ère d'attribution après que la rareté a changé la fonction?

L'ARIN est un cas utile parce que son marché du transfert est relativement mature. Les entités comprennent la pré-approbation, la documentation, la compatibilité inter-RIR et le risque de règlement. Cette sophistication peut donner au système une apparence saine. Pourtant, elle peut aussi masquer des coûts que seuls les entités plus petits ou moins experts ressentent. Si la réforme ICP-2 doit renforcer le système, elle ne devrait pas simplement exiger des registres qu'ils aient des politiques. Elle devrait exiger qu'ils montrent que les politiques touchant aux transferts rares restent proportionnées au risque du registre.

L'auditabilité est l'endroit où la confiance devient prix

La conception de l'audit est l'une des questions économiques les plus importantes de la réforme. Le document actuel de la version 2 indique que chaque RIR doit participer à des audits périodiques ou ad hoc par un auditeur externe indépendant nommé par l'ICANN, avec publication d'un rapport de synthèse, et que les audits périodiques devraient avoir lieu au moins tous les trois ans. Lerapport d'étape de mai 2026indique que des travaux de rédaction supplémentaires étaient en cours après l'ICANN85 et que la fréquence des audits réguliers, les seuils d'audit et le processus ad hoc étaient encore en cours de révision, y compris la discussion sur le passage des audits réguliers à tous les cinq ans et le renommage de l'audit ad hoc en examen de conformité.

Le débat sur la fréquence importe, mais la portée importe davantage. Un audit qui demande si un registre a des documents sera bon marché et faible. Un audit qui examine chaque jugement de politique contesté sera coûteux et politisé. Un audit utile devrait mesurer la continuité du service, l'intégrité des données, les contrôles de gouvernance, la responsabilité des membres, l'indépendance financière, les contrôles de sécurité, la reprise après sinistre, la transparence de la publication, la gestion des conflits, la cohérence des processus de transfert et la gestion des preuves. Il ne devrait pas devenir un appel sur chaque dossier de transfert ou un référendum sur des choix de politique impopulaires.

Pour l'ARIN, l'auditabilité aurait deux effets sur le marché. Premièrement, elle réduirait l'incertitude pour les utilisateurs externes des données de registre. Si les banques, les tribunaux, les courtiers et les opérateurs savent que les contrôles de continuité et d'enregistrement de l'ARIN sont testés de l'extérieur, les enregistrements du registre deviennent plus crédibles. Deuxièmement, elle disciplinerait les incitations internes de l'ARIN. Un critère d'audit documenté rend plus difficile de s'appuyer sur un langage hérité ou une confiance informelle. Si le registre dit que les arrangements de continuité existent, l'audit peut demander s'ils ont été testés. Si le registre dit que les membres peuvent tenir le conseil responsable, l'audit peut examiner les voies de participation et d'information. Si le registre dit que les transferts sont traités de manière cohérente, l'audit peut examiner les catégories de processus sans exposer les détails confidentiels des transactions.

Le danger est que l'audit devienne un nouveau centre de pouvoir. Si l'ICANN nomme les auditeurs, définit les portées, interprète les rapports et déclenche des conséquences de conformité sans limites claires, le système d'audit peut devenir un contrôle mondial par une autre voie. Si les RIR façonnent collectivement l'audit pour éviter l'inconfort, cela devient une protection des titulaires. Si les seuils des membres sont si élevés que l'examen ad hoc est impossible, le recours est décoratif. Si les seuils sont trop bas, les audits deviennent des outils de harcèlement dans les litiges commerciaux. La norme devrait donc spécifier à la fois les déclencheurs d'audit et les contrôles anti-abus.

Un système d'audit économiquement crédible publierait des conclusions sommaires, identifierait les non-conformités importantes, protégerait les dossiers confidentiels, distinguerait les défauts opérationnels des désaccords politiques, fournirait des délais de correction et permettrait aux membres de comprendre si les faiblesses sont corrigées. Cela rendrait la reconnaissance moins chère à tarifer. C'est l'objectif de l'audit: non pas la bureaucratie, mais des primes de risque plus basses.

Les recours devraient précéder la dé-reconnaissance

La dé-reconnaissance est le recours nucléaire dans la gouvernance des registres. Il est nécessaire de le définir, mais dangereux de le centrer. Un système qui ne peut choisir qu'entre tolérer l'échec et retirer la reconnaissance tolérera trop d'échecs pendant trop longtemps. Un système qui recourt rapidement à la dé-reconnaissance déstabilisera la continuité même qu'il prétend protéger. La norme utile est une échelle de recours.

La version 2 contient le début d'une telle échelle. Elle prévoit des audits, une continuité d'urgence, une réhabilitation, une présomption en faveur de l'aide à un RIR non conforme pour corriger les défaillances, et la dé-reconnaissance uniquement en dernier recours lorsque les préjudices l'emportent sur les avantages de la tolérance continue. Cette structure est solide. La question économique est de savoir si les barreaux sont assez concrets pour fonctionner avant une crise.

Les recours en deçà de la dé-reconnaissance devraient inclure un avis formel de non-conformité, des plans de correction publiés, un examen de conformité indépendant, une assistance technique ciblée, des restrictions temporaires sur des actions discrétionnaires spécifiques, des changements de gouvernance requis, des rapports renforcés, un dépôt de données supervisé, des exercices de continuité d'urgence, des obligations d'information des membres et un examen indépendant des décisions sujettes à conflit. Tous les recours ne doivent pas figurer dans le document de base, mais la norme devrait préciser que le système dispose d'options entre la politesse et la mort institutionnelle.

Pour l'ARIN, les recours gradués seraient probablement pertinents non pas parce que le registre est sur le point de défaillir, mais parce que les frictions du marché mature ont besoin d'une correction disciplinée. Supposons qu'un audit révèle que les raisons du traitement des transferts étaient insuffisamment spécifiques, ou que les petits opérateurs sont confrontés à des charges de documentation disproportionnées, ou que le matériel de transfert d'urgence existe mais n'a pas été testé, ou que les divulgations de conflits du conseil sont difficiles à relier aux décisions de marché à haute valeur. Aucune de ces conclusions ne devrait menacer une dé-reconnaissance immédiate. Toutes devraient produire des obligations de correction.

La conception des recours doit également protéger contre les jeux des titulaires. Les RIR existants pourraient utiliser le langage de conformité pour alourdir un challenger potentiel, un mouvement de réforme ou un registre sous pression politique. À l'inverse, un titulaire critiqué pourrait décrire chaque défi comme une menace pour la stabilité et exiger un soutien mondial. La norme devrait exiger des preuves, une proportionnalité et une publication. Un recours devrait être lié à une obligation spécifique, à une déficience spécifique et à une correction spécifique. Une préoccupation vague ne devrait pas devenir un contrôle de supervision.

Le recours le plus important est la continuité du service. Si un registre est soumis à un stress, la première obligation est de maintenir les services minimums du registre opérationnels: les enregistrements publics, les modifications authentifiées, le DNS inversé le cas échéant, la publication de la sécurité du routage le cas échéant, les files d'attente de transfert et de litige et la communication avec les clients. La dé-reconnaissance ne devrait pas être le premier mécanisme pratique par lequel le système mondial apprend à maintenir ces services en vie. La continuité d'urgence devrait être répétée avant d'être nécessaire.

Qui applique la norme est aussi important que ce qu'elle dit

Le projet actuel donne des rôles substantiels aux RIR et à l'ICANN. Les propositions de reconnaissance et de dé-reconnaissance impliquent des recommandations des RIR et une prise de décision de l'ICANN. L'ICANN ne peut pas reconnaître ou dé-reconnaître un RIR à moins d'avoir reçu une proposition approuvée par les RIR selon la procédure spécifiée, et les parties affectées peuvent utiliser les procédures d'examen de l'ICANN. La continuité d'urgence nécessite l'accord des autres RIR et de l'ICANN. Les processus d'audit impliquent également l'ICANN. Cela distribue le pouvoir, mais ne l'élimine pas.

L'économie de l'application est délicate. Les RIR existants ont de l'expertise. Ils comprennent les opérations de registre, le dépôt de données, le développement de politiques, les services de sécurité du routage et la coordination inter-registres. Ils ont aussi des intérêts de titulaires. Ils peuvent préférer un petit club, des modèles d'exploitation familiers et des normes qui rendent l'entrée difficile. L'ICANN se situe en dehors du système des RIR dans un sens et à l'intérieur de l'establishment plus large de la gouvernance de l'Internet dans un autre. Il peut fournir de la neutralité, mais il peut aussi devenir une porte centrale si les normes sont vagues. La couche de coordination du NRO peut protéger la stabilité, mais elle peut aussi transformer le consensus en conservatisme de type cartel.

La norme devrait donc séparer l'apport d'expertise des preuves finales. Les RIR existants devraient pouvoir commenter la faisabilité opérationnelle, la coordination inter-registres, le transfert d'urgence et la coopération juridique. Ils ne devraient pas pouvoir bloquer un candidat ou une voie de réforme avec une préférence institutionnelle inexpliquée. L'ICANN devrait pouvoir nommer des examinateurs indépendants, publier les raisons et faire respecter le processus. Il ne devrait pas pouvoir convertir une norme de numérotation en un large pouvoir discrétionnaire politique. Les membres devraient pouvoir déclencher un examen selon des seuils définis. Ils ne devraient pas pouvoir utiliser les procédures de conformité comme une arme dans des conflits commerciaux ordinaires.

Pour l'ARIN, cette question a deux faces. En tant que titulaire, l'ARIN devrait vouloir une norme qui empêche les attaques frivoles contre les registres fonctionnels. En tant que registre soumis au même système, il devrait aussi vouloir une norme qui empêche d'autres titulaires ou organismes mondiaux d'utiliser le langage de la stabilité pour annuler des choix régionaux légitimes. Un ARIN intéressé pourrait préférer un veto maximal des titulaires. Un ARIN soucieux du système devrait préférer un examen motivé, des preuves indépendantes et des limites claires au pouvoir discrétionnaire de l'ICANN et des RIR.

La conception de l'application devrait également inclure la transparence. Les recommandations de reconnaissance, de refus, d'audit, de continuité d'urgence ou de dé-reconnaissance devraient être publiées avec les motifs, sauf si la confidentialité est strictement nécessaire. Si un candidat ou un RIR affecté conteste le résultat, l'examen indépendant devrait examiner si les objections sont fondées sur les faits, le droit et le risque opérationnel. Le consensus secret n'est pas une norme. C'est une gouvernance de club.

La protection des titulaires est le plus grand aléa moral de la réforme

Chaque norme de reconnaissance crée une barrière à l'entrée. Certaines barrières sont nécessaires. L'Internet n'a pas besoin d'une prolifération désordonnée de registres régionaux, de zones de service qui se chevauchent ou d'autorités de ressources de numéros politiquement motivées. La limitation de coordination du projet, qui prévoit que le nombre de RIR reste petit et que les régions de service ne se chevauchent pas, reflète une préoccupation opérationnelle réelle. Mais les barrières nécessaires restent des barrières. Elles peuvent être utilisées pour protéger les utilisateurs ou pour protéger les titulaires.

Le critère d'« amélioration substantielle » du projet pour reconnaître un RIR candidat est donc économiquement significatif. Un candidat qui remplit les conditions de base devrait encore démontrer que la reconnaissance améliorerait substantiellement le fonctionnement du système de registres de numéros Internet par rapport à la situation existante. L'idée est défendable: l'ajout d'un registre augmente les coûts de coordination et ne devrait pas être fait simplement parce qu'un groupe veut un insigne. Mais « l'amélioration substantielle » peut aussi devenir un veto des titulaires si elle n'est pas définie. Les registres existants peuvent toujours dire que le système actuel est assez stable.

Une bonne norme devrait préciser ce que l'amélioration substantielle peut signifier. Elle pourrait inclure le rétablissement des services dans une région où le titulaire ne peut pas fonctionner; l'amélioration de la responsabilité des membres là où la représentation est structurellement défaillante; la réduction des coûts de transaction élevés; la résolution d'une incompatibilité juridique persistante; le renforcement de la continuité pour une région mal desservie; ou le remplacement d'un registre qui a manqué à des obligations objectives. Elle ne devrait pas signifier une préférence idéologique, une rivalité commerciale ou une insatisfaction à l'égard d'un résultat politique.

Le risque n'est pas seulement la formation de nouveaux RIR. La protection des titulaires peut également apparaître dans l'audit et la dé-reconnaissance. Les registres existants peuvent concevoir des portées d'audit qui correspondent à leurs pratiques actuelles et alourdissent les modèles alternatifs. Ils peuvent insister sur des règles de consensus qui permettent à un titulaire de ralentir le changement. Ils peuvent traiter les arrangements NIR ou les innovations sous-régionales comme des menaces plutôt que comme des choix de conception. Ils peuvent favoriser les politiques qui préservent l'économie de leur propre adhésion. Le langage sera la stabilité, la coordination et la confiance. L'effet peut être la protection de la franchise.

L'ARIN devrait être particulièrement sensible à ce risque car elle bénéficie d'une région forte. L'Amérique du Nord contient une vaste richesse d'adresses, des avoirs hérités de grande valeur, des marchés profonds et de grandes plateformes. Une norme qui privilégie l'échelle actuelle et la profondeur financière peut sembler neutre du point de vue de l'ARIN tout en désavantageant les communautés ayant des histoires différentes. À l'inverse, une norme qui ignore la profondeur financière et opérationnelle peut admettre des structures fragiles qui créent un risque de continuité. L'équilibre est la mesure fonctionnelle: le registre fournit-il les services requis, avec une gouvernance responsable et une protection de la continuité, à un risque acceptable?

La protection des titulaires est mieux contrôlée par des preuves. Chaque barrière devrait avoir une raison liée à la stabilité du service, à l'intégrité des enregistrements, à la responsabilité des membres ou à la coopération inter-registres. Si la raison ne peut pas être énoncée sans faire appel au confort du titulaire, la norme est trop protectrice.

La continuité d'urgence devrait préserver les services, pas les institutions

Le mécanisme de continuité d'urgence du projet est l'une des innovations les plus importantes de la réforme. Il envisage un arrangement temporaire lorsqu'un RIR ne peut pas fournir adéquatement tout ou partie de ses services, avec un opérateur d'urgence autorisé par les autres RIR et l'ICANN. Le texte de la version 2 fixe des conditions procédurales, notamment la discussion avec le RIR affecté et sa communauté lorsque cela est raisonnablement possible, la publication de la justification et de la portée, l'engagement communautaire et une limite de 90 jours, sauf renouvellement.

Ce mécanisme est économiquement nécessaire. La défaillance d'un registre n'est pas comme la défaillance d'un fournisseur ordinaire. Les détenteurs de ressources ne peuvent pas simplement emporter les mêmes enregistrements reconnus dans un autre registre du jour au lendemain. Les clients, les routes, le DNS inversé, les contacts abuse, les objets RPKI, les files d'attente de transfert et les enregistrements publics dépendent de la continuité. Une région sans services de registre fonctionnels créerait une incertitude bien au-delà du bureau du registre.

Le risque de conception est que la continuité d'urgence devienne soit trop difficile à déclencher, soit trop facile à abuser. Si les exigences d'unanimité et de processus rendent l'action impossible en cas d'urgence réelle, le mécanisme sera décoratif. Si un langage d'urgence vague permet aux autres RIR et à l'ICANN de déplacer un registre parce qu'ils n'aiment pas sa gouvernance, le mécanisme devient un outil de coup d'État. La norme devrait définir l'urgence par la défaillance du service: incapacité à maintenir les fonctions essentielles du registre, pas un simple désaccord avec la politique ou la direction.

Pour l'ARIN, la continuité d'urgence n'est pas principalement un plan pour l'effondrement de l'ARIN. C'est une discipline pour chaque registre, y compris l'ARIN. Pour participer à un système avec une continuité d'urgence, l'ARIN devrait être en mesure d'identifier l'ensemble minimal de services qu'elle devrait préserver pour une autre région et les données minimales dont un autre opérateur aurait besoin si l'ARIN elle-même faisait face à une perturbation grave. Cela nécessite un dépôt de données, une documentation technique, des contrôles de sécurité, une compatibilité juridique, des manuels de procédure pour le personnel, des plans de communication et une répétition. Une promesse de coopération ne suffit pas.

L'opérateur d'urgence devrait également être étroit. Son travail est de maintenir les services de registre, pas de définir une politique à long terme, de restructurer la gouvernance régionale, de décider de la philosophie de propriété ou d'imposer une idéologie de marché. L'exploitation temporaire devrait préserver les derniers états vérifiés lorsque c'est possible, traiter les changements urgents de sécurité et de continuité, maintenir les fonctions de consultation publique et de sécurité, et préparer le retour ou la transition. Si la continuité d'urgence devient un moyen de gouverner la région, elle détruira la confiance qu'elle était censée protéger.

C'est le principe central: la continuité protège les utilisateurs de la défaillance institutionnelle; elle ne devrait pas protéger les institutions de la responsabilité. Les services sont l'intérêt public. Le titulaire ne l'est pas.

La responsabilité des membres doit être mesurée, pas supposée

Le contrôle des membres est un élément central de la légitimité des RIR. Le projet exigerait une adhésion ouverte pour les détenteurs de ressources et une majorité de l'organe directeur élue par les membres. L'ARIN a déjà une majorité de conseil élue, une communauté de politique, un Conseil consultatif et des processus électoraux. Cela semble solide sur le papier. La question économique est de savoir si la responsabilité des membres atteint les parties qui supportent le risque du registre.

Un système de membres peut échouer silencieusement. La participation peut être faible. Les candidats peuvent provenir d'un réseau restreint de entités habituels. Les petits opérateurs peuvent manquer de temps pour assister aux réunions, lire les listes de politique ou comprendre les implications du conseil. Les grandes plateformes et les réseaux sophistiqués peuvent avoir plus de capacité à influencer les nominations, les consultations et la culture de travail. Les opérateurs caribéens peuvent être confrontés à des barrières de voyage, de coût, de langue ou d'échelle même lorsque la région formelle les inclut. Les détenteurs de ressources héritées peuvent interagir avec l'ARIN uniquement lorsqu'un problème survient, pas en tant que membres actifs. Les clients qui dépendent des détenteurs de ressources n'ont aucun vote direct du tout.

Cela ne rend pas la gouvernance des membres illégitime. Cela la rend incomplète. Une norme de reconnaissance ne devrait pas simplement demander si un vote existe. Elle devrait demander si les membres reçoivent des informations en temps utile, si les procès-verbaux du conseil et les documents financiers sont compréhensibles, si les divulgations de conflits sont significatives, si les processus de nomination sont ouverts, si des élections contestées ont lieu, si la participation à distance fonctionne, si les questions des minorités reçoivent des réponses substantielles et si la participation aux politiques est accessible au-delà d'une petite classe d'experts.

Pour l'ARIN, la question de responsabilité la plus importante n'est pas de savoir si les membres peuvent théoriquement remplacer les administrateurs. C'est de savoir si les membres peuvent voir comment l'économie du registre change. Les structures de frais affectent-elles les petits détenteurs différemment des grands? Les politiques de transfert créent-elles des coûts de documentation régressifs? Les frontières des services de sécurité poussent-elles les détenteurs de ressources héritées à signer des accords? Les politiques de réserve reflètent-elles les besoins de continuité du service ou l'expansion institutionnelle? Les budgets juridiques révèlent-ils un risque de gouvernance? Ce sont des questions économiques que les membres doivent comprendre avant que le vote ne puisse discipliner l'institution.

La réforme devrait également éviter de prétendre que la responsabilité des membres peut résoudre les externalités mondiales. Les membres de l'ARIN ne sont pas l'Internet entier. Ce sont des détenteurs de ressources et des entités dans une région. Leurs choix peuvent affecter les clients, les contreparties et d'autres régions par le biais de transferts inter-RIR, de dépendances en matière de sécurité du routage et de la confiance mondiale dans le système de numérotation. C'est pourquoi ICP-2 a besoin de normes mondiales. Mais les normes mondiales devraient compléter la responsabilité des membres, pas la remplacer. Si l'ICANN et d'autres RIR peuvent passer outre les membres régionaux trop facilement, l'adhésion devient du théâtre. Si les membres ne font face à aucune discipline externe, la capture régionale devient possible. La norme doit tenir les deux vérités à la fois.

Les ressources héritées de l'ARIN compliquent l'économie de la reconnaissance

La région de l'ARIN contient de nombreuses ressources héritées émises avant les contrats de registre actuels et avant le marché post-épuisement. Les ressources héritées rendent l'économie de la reconnaissance plus compliquée parce qu'elles séparent la tenue de registres historique de la prestation de services moderne basée sur des accords. Une norme de registre qui traite toutes les ressources comme si elles avaient commencé sous l'ensemble actuel de politiques méconnaîtra la réalité nord-américaine.

Les enregistrements hérités comptent pour plusieurs raisons. Premièrement, ils représentent souvent des avoirs IPv4 importants et économiquement significatifs. Deuxièmement, ils peuvent avoir des historiques d'entreprise incomplets après des fusions, des changements de nom, des faillites ou de longues périodes d'inactivité. Troisièmement, les détenteurs peuvent apprécier l'exactitude de base du registre tout en résistant à des obligations contractuelles plus larges. Quatrièmement, l'accès à des services avancés tels que RPKI ou IRR peut dépendre du statut de l'accord, ce qui peut créer une pression douce pour entrer dans le régime moderne. Cinquièmement, les acheteurs et les prêteurs peuvent déprécier les ressources si le statut hérité crée une incertitude quant à la préparation au transfert ou à l'accès aux services.

La réforme ICP-2 ne devrait pas décider en détail de la politique héritée de l'ARIN. Elle devrait cependant exiger des registres qu'ils maintiennent des enregistrements précis et des règles d'accès aux services équitables sans utiliser les fonctions essentielles du registre comme levier sans rapport avec le risque du registre. L'enregistrement public de base, les mises à jour authentifiées, le traitement des litiges et la continuité devraient être traités comme des obligations fondamentales du registre. Les services optionnels ou à plus forte dépendance peuvent nécessiter des conditions supplémentaires, mais ces conditions devraient être liées au risque du service et ne pas être utilisées pour obtenir des concessions institutionnelles sans rapport.

Cette distinction est importante pour la neutralité du marché. Si la version la plus sûre ou la plus commercialisable d'une ressource nécessite l'acceptation d'un contrat large, le registre a un moyen de consolider son autorité sans forcer formellement personne. Cela peut être commercialement rationnel, mais devrait être visible. Une norme de reconnaissance devrait obliger les registres à expliquer quels services sont essentiels, lesquels sont optionnels, lesquels nécessitent des accords et pourquoi. Elle devrait également exiger un traitement prévisible des enregistrements historiques afin que les détenteurs et les contreparties puissent évaluer le risque.

La complexité des ressources héritées de l'ARIN donne à la réforme mondiale une mise en garde utile. Une norme de gouvernance propre peut être attrayante, mais l'histoire des ressources de numéros n'est pas propre. Les normes de reconnaissance devraient être assez robustes pour gérer les anciens enregistrements, la documentation imparfaite et les relations juridiques plurielles sans transformer l'incertitude en pouvoir discrétionnaire. Si la norme devient trop ordonnée, les titulaires l'utiliseront pour normaliser l'histoire selon leurs propres conditions. Si elle devient trop laxiste, la fraude et les enregistrements périmés proliféreront. L'équilibre est une continuité fondée sur des preuves: préserver l'enregistrement, vérifier l'autorité, marquer l'incertitude et restreindre les conditions dans lesquelles des revendications institutionnelles plus larges s'attachent.

Les plateformes cloud et les petits opérateurs évaluent différemment la réforme

La région de l'ARIN comprend certaines des plus grandes entreprises de cloud et de plateformes au monde. Elle comprend également de petits FAI, des réseaux ruraux, des opérateurs caribéens, des sociétés d'hébergement, des universités et des organismes publics disposant de peu de personnel de politique. La réforme ICP-2 ne les affectera pas de manière égale. Les grandes plateformes se soucient de la certitude, de l'échelle, de l'automatisation, de la compatibilité des transferts inter-RIR et de la fiabilité de la sécurité du routage. Les petits opérateurs se soucient du coût, de la continuité et d'éviter un processus qui transforme chaque interaction avec le registre en un projet juridique.

Les normes reflètent souvent les voix les plus aptes à participer. Un grand opérateur peut soutenir des audits détaillés, une documentation complexe et des obligations de sécurité sophistiquées parce qu'il dispose déjà d'équipes pour cela. Un petit opérateur peut soutenir les mêmes objectifs mais subir la mise en œuvre comme un coût fixe. Une norme qui semble neutre peut donc être régressive.

Le marché post-épuisement de l'ARIN accentue l'asymétrie. Une grande plateforme cloud peut obtenir de l'espace d'adressage par achat, location, acquisition, architecture, déploiement double pile et gestion de portefeuille mondial. Un petit opérateur peut avoir besoin d'un seul transfert ou d'une seule attribution de la liste d'attente pour servir ses clients. Un délai qui est une nuisance pour la plateforme peut être existentiel pour la petite entreprise.

La norme de reconnaissance ne devrait pas abaisser les exigences fondamentales d'intégrité pour les petits opérateurs. La prévention de la fraude, l'exactitude des enregistrements et la sécurité ne peuvent pas être facultatives. Mais elle devrait exiger une mise en œuvre proportionnée. Si un registre impose des obligations de documentation, d'audit, de transfert, d'adhésion ou de service, il devrait se demander si le coût est proportionné au risque. Il devrait publier des parcours en langage clair, des étapes de correction et des attentes de service. Il devrait maintenir les services essentiels stables pendant la résolution des litiges. Il devrait éviter d'utiliser un langage opaque qui oblige les petits opérateurs à embaucher des spécialistes simplement pour comprendre leurs droits.

Pour les plateformes cloud, la question clé est la capture par les plus gros acheteurs. Les grandes plateformes ont des besoins opérationnels légitimes, mais elles ont aussi des incitations à façonner les marchés de transfert, les normes de sécurité du routage et les processus de politique de manière à convenir à l'échelle. Une norme de reconnaissance devrait inclure des contrôles anti-capture non seulement contre les gouvernements ou les factions hostiles, mais contre l'influence commerciale concentrée.

La crédibilité de la réforme ICP-2 dépendra de la capacité des deux groupes à dire la même chose: la norme rend le registre plus fiable sans rendre la participation plus coûteuse que ce que le risque justifie.

La bureaucratie de l'ICANN, du NRO et des NIR n'est pas neutre par défaut

La coordination mondiale est nécessaire. L'IANA, l'ICANN, le NRO, l'ASO et les RIR forment le maillage institutionnel par lequel la gouvernance des ressources de numéros reste cohérente. Mais la coordination ne devrait pas être idéalisée. La bureaucratie a des incitations. Elle préfère les procédures qu'elle peut administrer, les documents qu'elle peut interpréter, les réunions qu'elle peut programmer, les seuils qu'elle peut compter et les rôles qu'elle peut préserver. Une réforme qui ajoute des processus mondiaux sans limites strictes peut augmenter la responsabilité en forme tout en la réduisant dans la pratique.

Le processus du NRO est précieux car il apporte l'expertise opérationnelle des cinq registres. Il est risqué car les registres sont aussi les titulaires réglementés. La participation de l'ICANN est précieuse car elle ajoute un point de décision externe et des mécanismes d'examen. Elle est risquée car l'ICANN peut devenir le gardien mondial si la norme lui donne un large pouvoir discrétionnaire d'interprétation. Les questions des NIR et des registres sous-régionaux sont également sensibles. Le document de la version 2 indique qu'il ne s'applique pas directement aux registres Internet nationaux, aux registres Internet locaux ou à d'autres registres sous-régionaux qui ne reçoivent pas de ressources directement de l'IANA, tout en préservant le pouvoir discrétionnaire des RIR sur ces arrangements. Cela évite une forme d'excès, mais laisse également aux RIR la possibilité de gérer les structures sous-régionales d'une manière qui peut affecter la responsabilité locale.

Le danger économique est le blanchiment de mandat par le processus. Un registre ou un organisme mondial peut dire qu'une décision suit la consultation, le consensus, les procédures de mise en œuvre ou les besoins de coordination. Ces mots peuvent être vrais tout en cachant l'effet distributionnel. Qui profite de la procédure? Qui peut se permettre de participer? Qui rédige les détails de mise en œuvre? Qui contrôle les données? Qui déclenche l'examen? Qui interprète les rapports d'audit? Qui paie pour la conformité? Ce ne sont pas des notes de bas de page procédurales. C'est l'économie de la gouvernance.

La réforme devrait donc insister sur une hiérarchie étroite. La norme de base devrait définir les obligations et les limites. Les procédures de mise en œuvre devraient donner effet à ces obligations, pas les réécrire. L'ICANN devrait publier les raisons et nommer un examen indépendant si nécessaire, pas devenir un superviseur discrétionnaire de la politique régionale. Le NRO devrait fournir une coordination opérationnelle, pas une discipline de cartel. Les RIR devraient coopérer sur la continuité, pas protéger le confort institutionnel des uns et des autres. Les arrangements NIR et sous-régionaux devraient être évalués selon qu'ils préservent la qualité du service, l'intégrité des enregistrements et la responsabilité locale, pas selon qu'ils correspondent à un modèle préféré.

L'ARIN devrait avoir un intérêt dans cette retenue. Aujourd'hui, l'ARIN peut avoir confiance en sa propre influence dans les salles mondiales. Demain, une procédure mondiale pourrait être utilisée contre la région ou les membres de l'ARIN. Les institutions ne devraient pas concevoir des règles en supposant qu'elles seront toujours le titulaire de confiance.

Les marchés fixeront le prix de la norme avant que les juristes n'aient fini de la débattre

Les entités au marché n'attendent pas que la théorie de la gouvernance soit réglée. Ils évaluent l'incertitude par des décotes, des garanties, des dépôts fiduciaires, des indemnités, des conditions de calendrier, des structures de location, des avis juridiques, des listes de vérification de diligence raisonnable et l'évitement. Si la réforme ICP-2 produit une norme de reconnaissance crédible, certains de ces coûts baissent. Si elle produit un vague pouvoir discrétionnaire mondial, les coûts augmentent.

Sur le marché de l'ARIN, le risque de reconnaissance apparaît à plusieurs endroits. Un acheteur d'espace IPv4 peut réduire le prix si le chemin de transfert est incertain. Un vendeur peut accepter un paiement différé jusqu'à l'approbation du registre. Un prêteur peut exiger la preuve que l'emprunteur contrôle des ressources utilisables et peut maintenir les services de registre. Un fournisseur de cloud peut diversifier ses sources d'adresses pour éviter l'exposition à un seul processus de registre. Un petit FAI peut éviter de monétiser l'espace inutilisé parce que l'incertitude du transfert dépasse le gain attendu. Un détenteur de ressources héritées peut conclure des accords pour accéder aux services de sécurité parce que les clients les exigent, même si le détenteur n'aime pas les implications politiques.

La réforme ICP-2 peut réduire ces primes si elle rend la reconnaissance du registre plus prévisible. Les rapports d'audit peuvent rassurer les contreparties. Des procédures claires de continuité d'urgence peuvent réduire le risque de catastrophe. Des recours définis pour les membres peuvent réduire les décotes liées au risque de gouvernance. Des règles de marché de transfert proportionnées peuvent améliorer la liquidité.

Elle peut aussi augmenter les primes. Si la norme introduit de larges déclencheurs d'audit sans contrôles anti-abus, les contreparties peuvent craindre des examens politiquement motivés. Si les critères de dé-reconnaissance sont vagues, les marchés peuvent s'inquiéter qu'un différend régional puisse dégénérer en incertitude mondiale. Si les procédures de mise en œuvre ne sont pas publiées ou sont contrôlées par les titulaires, les entités peuvent évaluer des règles cachées. Si le rôle de l'ICANN n'est pas clair, les parties peuvent s'inquiéter d'une deuxième porte au-dessus du registre. Si la continuité d'urgence n'est pas techniquement répétée, le mécanisme peut être perçu comme une fausse promesse.

Les normes de reconnaissance ne sont pas seulement des instruments de gouvernance interne. Ce sont des infrastructures de marché. Leur qualité sera observée dans les écarts entre les ressources propres et incertaines, les délais de transfert, les conditions bancaires, la documentation des courtiers, la demande de location et la mobilisation des membres. L'ARIN devrait traiter ces signaux comme des preuves de la confiance accordée à la couche de reconnaissance.

Le seuil de dé-reconnaissance devrait être élevé, mais pas impossible

Le processus de dé-reconnaissance de la version 2 permet une proposition par tout RIR ou groupe de RIR, par l'ICANN ou par un groupe de membres du RIR affecté composé d'au moins 25 % du total des membres ou de 2 000 membres, selon le chiffre le plus bas. Les autres RIR, à l'exclusion du registre affecté, doivent recommander à l'unanimité la dé-reconnaissance avant que l'ICANN ne prenne la décision finale. Le rapport d'étape de mai 2026 indique que le NRO NC n'avait pas l'intention de modifier le seuil de dé-reconnaissance, tout en séparant les questions de seuil d'audit de la dé-reconnaissance.

C'est un domaine de prudence raisonnable. La dé-reconnaissance devrait être difficile. Un registre régional est une infrastructure profondément intégrée. Un seuil bas pourrait permettre à des factions, des rivaux commerciaux ou des campagnes politiques de déstabiliser un registre. Un seuil élevé protège également les marchés: les contreparties doivent avoir confiance que la reconnaissance ne sera pas retirée de manière désinvolte.

Mais « difficile » ne doit pas signifier impossible. Si un registre perd une gouvernance efficace, ne peut pas maintenir les services, refuse l'audit, échoue à l'intégrité des enregistrements, est capturé ou ne peut pas assurer la responsabilité des membres, le système a besoin d'une voie d'intervention. Le défi est que les défaillances les plus graves peuvent aussi rendre difficile la mobilisation des membres. Si les enregistrements sont médiocres, les membres peuvent ne pas savoir qu'ils sont membres. Si la gouvernance est capturée, l'information peut être contrôlée. Si les services échouent, les opérateurs peuvent se concentrer sur la survie plutôt que sur la procédure. Un seuil de 25 % des membres ou de 2 000 membres peut être crédible dans un registre et irréaliste dans un autre.

La réponse n'est pas nécessairement d'abaisser le seuil de dé-reconnaissance. C'est de rendre les seuils d'audit et d'examen de conformité plus utilisables. Si les membres ne peuvent pas déclencher la dé-reconnaissance, ils devraient quand même pouvoir déclencher un examen indépendant des défaillances spécifiques dans des conditions plus basses et protégées contre la capture. Les autres RIR et l'ICANN devraient également pouvoir agir sur la base de preuves crédibles avant que la mobilisation des membres n'atteigne le seuil nucléaire. La dé-reconnaissance devrait intervenir après un dossier de non-conformité, d'échec de la correction et de planification de la continuité.

Pour l'ARIN, la question du seuil est surtout prospective. La région ne fait pas face à une dé-reconnaissance. Mais les membres de l'ARIN devraient s'en soucier parce que des seuils élevés sans recours intermédiaires significatifs peuvent laisser tout registre, y compris l'ARIN, trop dépendant de la bonne volonté informelle. Une norme mature devrait faciliter la correction précoce afin que la dé-reconnaissance reste rare.

La légitimité d'un seuil élevé dépend de la solidité des étapes en dessous. Si les audits, les plans de correction, la continuité d'urgence et les droits d'information des membres sont réels, la dé-reconnaissance peut rester un dernier recours. S'ils sont faibles, un seuil élevé devient l'immunité des titulaires.

Le problème anti-capture est plus grand qu'une seule faction

Le projet exige que les RIR maintiennent des règles et des contrôles de gouvernance pour garantir qu'aucune personne, entité ou groupe affilié ne puisse effectivement contrôler le registre. C'est nécessaire. C'est aussi difficile. La capture n'est pas toujours une prise de contrôle hostile. Elle peut être culturelle, commerciale, procédurale, géographique, linguistique, financière ou informationnelle.

Les risques de capture de l'ARIN diffèrent de ceux des institutions plus petites ou plus visiblement fragiles. Le risque nord-américain évident n'est pas qu'un seul acteur s'empare du registre du jour au lendemain. C'est la domination progressive d'acteurs récurrents bien dotés en ressources: grands opérateurs de réseau, sociétés de cloud, courtiers, juristes, figures de la communauté de longue date ou initiés institutionnels dont les vues deviennent la norme par défaut. Cette forme de capture peut coexister avec des élections formelles, des réunions publiques et un processus poli. Elle est plus difficile à voir parce qu'elle ressemble à de l'expertise.

L'expertise est précieuse. Les personnes qui comprennent le routage, RPKI, les transferts, la fraude, les réorganisations d'entreprise et les opérations de registre devraient être entendues. Le problème commence lorsque l'expertise devient une barrière à l'entrée. Si un petit opérateur ne peut pas comprendre une proposition de politique sans des années d'historique de liste de diffusion, le processus politique est techniquement ouvert mais économiquement fermé. Si les réseaux de nomination favorisent les entités connus, les élections sont ouvertes mais socialement filtrées. Si les divulgations financières ou de conflits sont trop générales, les membres ne peuvent pas savoir si les décideurs ont des intérêts matériels dans les marchés d'adresses. Si la participation à distance est formellement disponible mais que la culture des réunions récompense la présence physique, la géographie compte toujours.

Une norme anti-capture devrait donc mesurer plus que le contrôle des votes affiliés. Elle devrait demander si le registre publie des informations utiles sur les conflits, si les rôles au conseil et dans la politique ont des règles claires de récusation, si les canaux de participation sont accessibles, si les documents électoraux permettent une comparaison significative, si les interprétations du personnel sont révisables, si les grands acteurs commerciaux ont un pouvoir disproportionné de fixation de l'ordre du jour et si les préoccupations des minorités ou des petits opérateurs reçoivent des réponses substantielles.

Ce n'est pas un argument en faveur du populisme contre l'expertise. C'est un argument pour rendre l'expertise responsable. Dans une économie d'adresses rares, les personnes les mieux informées sur la politique ont souvent une exposition économique au marché. Cela ne les disqualifie pas. Cela exige une divulgation, une récusation le cas échéant et un raisonnement clair. Sinon, la norme de reconnaissance certifiera des institutions dont les décisions sont techniquement sophistiquées mais commercialement orientées.

L'ARIN a la capacité administrative de modéliser une meilleure pratique ici. Si elle traite l'anti-capture comme plus qu'une règle formelle, elle peut renforcer tout le processus ICP-2. Si elle traite l'anti-capture comme une case déjà cochée par les élections, la réforme passera à côté de l'une des principales façons dont les registres matures accumulent du pouvoir.

Ce que l'ARIN devrait attendre de la réforme

L'ARIN devrait vouloir une réforme qui réduit et renforce la reconnaissance. Réduire signifie que la norme devrait se concentrer sur les fonctions essentielles du registre: continuité, intégrité des enregistrements, responsabilité des membres, auditabilité, indépendance financière, indépendance opérationnelle, développement de politiques ouvertes, contrôles anti-capture, traitement des litiges et préservation des services d'urgence. Renforcer signifie que ces fonctions devraient être observables, indépendamment révisables et liées à des recours gradués.

L'ARIN ne devrait pas vouloir un veto maximal des titulaires, même si cela semble confortable. Un système qui protège l'ARIN parce qu'elle est un titulaire protège aussi les titulaires plus faibles lorsqu'ils échouent. Il peut rendre le système de numérotation mondial moins crédible et inviter une intervention politique extérieure. L'ARIN ne devrait pas non plus vouloir une norme vague centrée sur l'ICANN. Aujourd'hui, cela peut ressembler à une neutralité utile. Demain, cela peut devenir un pouvoir discrétionnaire mondial sur les choix des registres régionaux.

La meilleure position de l'ARIN serait une position disciplinée. Elle soutiendrait des audits indépendants avec une portée pratique. Elle soutiendrait la préparation à la continuité d'urgence, y compris des plans testés de données et de transfert de services. Elle soutiendrait la publication des raisons pour les décisions de reconnaissance, d'audit et de conformité. Elle soutiendrait un examen déclenché par les membres à des seuils suffisamment élevés pour empêcher les abus, mais assez bas pour être réels. Elle soutiendrait des preuves anti-capture, y compris des mesures de conflit et de participation. Elle soutiendrait une distinction claire entre les choix de politique affectant le marché et les critères minimaux de reconnaissance.

L'ARIN devrait également utiliser la réforme en interne. Elle peut se demander si ses propres processus de transfert sont aussi proches d'un registre qu'ils devraient l'être après l'épuisement des IPv4. Elle peut se demander si les petits opérateurs peuvent comprendre et corriger les défauts sans conseiller spécialisé. Elle peut se demander si les frontières de service des ressources héritées sont économiquement transparentes. Elle peut se demander si les divulgations du conseil et des politiques sont assez solides pour un marché où les décisions sur les ressources de numéros peuvent déplacer de la valeur. Elle peut se demander si ses membres voient les choix budgétaires, de réserve et de risque juridique avec suffisamment de détails pour les discipliner.

Le but n'est pas de rendre l'ARIN timide. Un registre doit agir contre la fraude, la capture et l'instabilité. Le but est de rendre le pouvoir de l'ARIN plus facile à justifier. Plus l'ARIN peut dire clairement: « cette action protège le registre, la continuité ou la gouvernance responsable, et voici les preuves », moins elle a besoin d'un langage de gestion large.

Cela serait bon pour l'ARIN, bon pour ses membres et bon pour la réforme.

Les points de surveillance pour les 12 à 24 mois

La prochaine phase de la réforme ICP-2 devrait être évaluée par des points de surveillance pratiques, pas par des slogans. Le premier est la portée de l'audit. Si les audits réguliers deviennent peu fréquents, vagues ou basés uniquement sur des documents, la norme ne disciplinera pas la confiance. S'ils sont intrusifs et politisés, ils créeront des coûts et de la peur. Le test est de savoir si les audits peuvent révéler une défaillance matérielle dans la continuité, la gouvernance, les finances, la sécurité et l'intégrité des enregistrements sans devenir une supervision du marché au cas par cas.

Le deuxième point de surveillance est les seuils d'examen de conformité. Les seuils de dé-reconnaissance peuvent rester élevés si l'examen de conformité est utilisable. Si les membres, l'ICANN ou d'autres RIR ne peuvent pas déclencher un examen indépendant avant qu'une crise ne soit déjà évidente, le système s'appuiera à nouveau sur la négociation informelle. Si les seuils sont trop bas, les examens deviendront des outils dans des campagnes commerciales ou politiques. La norme a besoin d'une conception anti-capture et anti-harcèlement.

Le troisième est la préparation de l'opérateur d'urgence. La réforme ne devrait pas simplement déclarer qu'un opérateur d'urgence peut exister. Elle devrait exiger un minimum de données, de définitions de services, d'arrangements de sécurité, de répétition et de publication d'informations de préparation non sensibles. Une continuité d'urgence qui n'a jamais été testée n'est pas une continuité. C'est une réassurance.

Le quatrième est la neutralité du marché. Surveillez si le langage de mise en œuvre traite la conception du marché de transfert, l'évaluation des besoins, les règles de connexion régionale ou la pression contractuelle sur les ressources héritées comme des questions de reconnaissance. Certaines peuvent être des politiques légitimes. Toutes ne sont pas des critères de reconnaissance. Plus la réforme transforme les préférences politiques des titulaires en minimums mondiaux, plus elle devient une protection de franchise.

Le cinquième est la posture interne de l'ARIN. L'ARIN utilise-t-elle la réforme pour examiner sa propre responsabilité et ses effets sur le marché, ou seulement pour commenter le processus mondial? Rend-elle la participation plus facile pour les petits opérateurs et les opérateurs caribéens? Publie-t-elle des raisonnements plus clairs autour des processus économiquement significatifs? Traite-t-elle l'audit comme une discipline ou comme un exercice de relations publiques? Sépare-t-elle la continuité essentielle du registre du levier institutionnel optionnel?

Le sixième est la retenue de l'ICANN et du NRO. La norme finale devrait rendre leurs rôles clairs, motivés et révisables. Si les procédures de mise en œuvre deviennent le lieu où le pouvoir réel est écrit, la réforme aura déplacé le pouvoir discrétionnaire hors de la vue. Si le rôle de l'ICANN s'étend sans limites, le système risque d'échanger le risque de registre régional contre le risque de gardien mondial. Si le consensus des RIR devient un bouclier contre le changement, le système aura choisi le confort des titulaires plutôt qu'une reconnaissance responsable.

Le dernier point de surveillance est le comportement du marché. Les délais de transfert, les décotes de prix des adresses, les conditions contractuelles des courtiers, les conditions des prêteurs, la demande de location, la mobilisation des membres et les litiges publics révéleront si la norme réduit le risque de reconnaissance. Les marchés ne sont pas moralement infaillibles, mais ils sont bons pour détecter l'incertitude. Si la réforme ICP-2 est crédible, les entités de la région ARIN devraient éventuellement voir moins de mystère autour du risque de registre. Si la réforme est vague, la prime de risque restera.

La réponse disciplinée

La réforme ICP-2 est nécessaire parce que la reconnaissance des registres est devenue plus économiquement conséquente que ne le supposaient les critères d'établissement initiaux. Le système de numéros Internet a besoin d'attentes mondiales en matière de continuité, de responsabilité et de réponse d'urgence. Il a également besoin que ces attentes soient suffisamment étroites pour ne pas devenir un système mondial de protection de franchise.

L'ARIN montre les deux côtés du problème. C'est un registre fonctionnel avec des services matures, des procédures publiques et une gouvernance des membres. C'est aussi le registre d'une région où la rareté des IPv4, les enregistrements hérités, la dépendance au marché du transfert, l'échelle du cloud et la dépendance externe aux registres rendent chaque règle de reconnaissance plus précieuse qu'elle n'en a l'air. Le fait que l'ARIN fonctionne n'est pas un argument contre la discipline. C'est la raison pour laquelle la discipline doit être conçue avec soin avant la crise.

Une norme crédible mesurerait la performance plutôt que le pedigree. Elle demanderait si un registre peut maintenir des enregistrements précis, des services fiables, une gouvernance responsable, une indépendance financière et opérationnelle, un développement de politiques transparentes, des contrôles anti-capture, des voies de règlement des litiges, une coopération en matière d'audit et une continuité d'urgence. Elle fournirait des recours avant la dé-reconnaissance. Elle rendrait la dé-reconnaissance difficile mais pas impossible. Elle laisserait la politique régionale différer là où la différence ne menace pas le système. Elle empêcherait l'ICANN, le NRO et les RIR en place de transformer la coordination en contrôle.

Pour l'ARIN, la plus grande valeur de la réforme n'est pas qu'elle protège la région d'une défaillance lointaine. C'est qu'elle clarifie ce qu'est l'ARIN elle-même: une couche de reconnaissance et de service fiable pour les ressources de numéros rares, pas le propriétaire du marché, pas un forum d'appel mondial, pas un courtier, pas une banque et pas un détenteur de franchise ayant droit à une protection contre toute alternative. Plus le mandat est étroit, plus la confiance est forte. Plus la norme est observable, plus la prime de risque est faible. Plus les recours sont crédibles, moins il est probable que le système ait jamais besoin du recours final.

C'est l'économie de la réforme ICP-2. La reconnaissance ne discipline les registres que lorsque la norme discipline la reconnaissance elle-même.