The gatekeeper’s bargain: the deepening liability crisis at AFRINIC

• La responsabilité de l’AFRINIC est contractuellement plafonnée à seulement 100 $, malgré son contrôle sur les ressources Internet critiques à travers l’Afrique.
• Les litiges en cours et l’incertitude de la gouvernance révèlent des défauts structurels plus profonds dans le modèle mondial des RIR.

Le relayeur

Le 9 mars 2026, une société appelée Skyconnect a déposé une plainte auprès de la Cour suprême de Maurice. La cible était l’AFRINIC, le registre Internet régional pour l’Afrique—l’organisme qui détient l’autorité sur chaque adresse IP utilisée sur tout un continent. Le grief portait sur une politique de transfert d’adresses IPv4 que le conseil d’administration de l’AFRINIC avait ratifiée le 4 février.

Pour les non-initiés, cela ressemble à une autre querelle juridique fastidieuse. Pour ceux qui suivent la gouvernance de l’Internet en Afrique, cela ressemble à autre chose: le dernier relayeur dans une longue guerre par procuration. Voir aussi: ZION-AS Zion Boetzel.

AfroDIG, un forum africain de gouvernance de l’Internet, a dit la même chose le 11 mars. « Regardons-nous un acteur véritablement nouveau mû par des principes, » demandait-il, « ou le dernier relayeur dans une campagne qui a passé des années à essayer de maintenir le registre Internet régional africain trop litigieux pour gouverner ? » L’article notait qu’il n’avait « pas vu de preuve prouvant que Skyconnect est formellement mandatée par Cloud Innovation »—une société au cœur des batailles juridiques précédentes avec l’AFRINIC. Voir aussi: William-Marie DESPORTES.

Deux jours plus tard, The Register—un site d’actualité technologique britannique—a publié la réponse de l’AFRINIC. Le registre a déclaré faire face à « un tissu de litiges et d’obstacles procéduraux » montrant « une intention de perturber et/ou de paralyser le seul registre Internet régional d’Afrique ». Les frais juridiques avaient déjà coûté « des millions de dollars ». Voir aussi: Registre des membres disparaissant de l'AfriNIC.

Lu Heng, PDG de Cloud Innovation, a proposé un cadrage différent le 16 mars. « Il ne s’agit pas simplement d’un différend concernant Cloud Innovation ou des tactiques de litige, » a-t-il écrit. « Le vrai problème est structurel: le modèle actuel de registre concentre un pouvoir à fort impact sur des ressources numériques Internet économiquement critiques, tout en déconnectant ce pouvoir de toute responsabilité légale et financière proportionnelle. » Voir aussi: AfriNIC: disparition du registre des membres.

Les trois récits sont convaincants. Tous tournent autour d’une question plus profonde à laquelle aucun ne répond pleinement. Voir aussi: ARJOM-AS Arjom Arinenko.

À lire aussi: Si le nouveau conseil d’administration de l’AFRINIC n’a rien à cacher, pourquoi a-t-il si peur d’une simple question factuelle ?

La question à 100 dollars

Sous le drame judiciaire se cache une histoire plus calme et plus étrange. Elle concerne une clause contractuelle si ordinaire que la plupart des membres de l’AFRINIC ne l’ont probablement jamais remarquée, et si extraordinaire qu’elle devrait alarmer quiconque dépend de l’Internet africain. Voir aussi: Alejandro Fernandez.

L’accord de services d’enregistrement de l’AFRINIC limite la responsabilité du registre à « le montant le plus élevé entre les frais des six derniers mois ou 100 dollars américains ». Voir aussi: Aldo Garcia.

Laissez ce chiffre s’installer. Cent dollars. À Port-Louis, la capitale mauricienne où l’AFRINIC est constituée, cela permet d’acheter un bon dîner pour deux dans l’un des restaurants chics de la ville. Cela équivaut également, selon les propres documents de l’AFRINIC, à ce que l’organisation paie à son cabinet d’avocats en une heure. Voir aussi: Alcymer Vieira.

La Number Resource Society (NRS), un groupe d’opérateurs de réseau, l’a explicité. « Une société privée constituée à Maurice conserverait l’autorité administrative sur les ressources d’adresses IP utilisées par les opérateurs de télécommunications, les FAI, les fournisseurs de cloud, les centres de données, les institutions financières, les universités et les réseaux gouvernementaux dans toute la région AFRINIC—tout en supportant au maximum 100 USD de responsabilité pour les conséquences de ses décisions. »

La lettre mettait en garde contre « des tentatives renouvelées d’obtenir l’immunité », et un « verrou régional » qui réduirait les « options de sortie pratiques » des opérateurs. En résumé: une faible responsabilité, une immunité plus forte, et moins de voies de sortie, équivalent à un point unique de pouvoir à fort impact sans inconvénient significatif.

Du commis au gardien

Pourquoi cela importe-t-il maintenant, alors que cela n’importait pas auparavant ?

La réponse réside dans ce que sont devenues les adresses IPv4. Lorsque le système des registres Internet régionaux a été conçu dans les années 1990, les adresses étaient abondantes. Le travail des registres était administratif: tenir des registres, coordonner les allocations, garantir que personne n’utilise deux fois le même numéro. Les clauses de limitation de responsabilité avaient du sens pour une fonction administrative aux conséquences limitées.

Ce monde n’existe plus. L’épuisement des adresses IPv4 signifie qu’elles sont désormais rares, transférables et monnayables. L’AFRINIC ne gère que 7,23 /8 d’espace IPv4 pour un continent avec un ratio très faible d’adresses par utilisateur d’Internet. Une décision du registre peut affecter la capacité d’un réseau à fonctionner, si les ressources peuvent être vendues ou déplacées, si le routage reste crédible.

Pourtant, l’enveloppe juridique n’a pas changé. Le registre exerce des conséquences pratiques de niveau souverain tout en conservant une responsabilité de niveau fournisseur de services. Dans le commerce ordinaire, les parties peuvent négocier, changer de prestataire, s’assurer ou se retirer. Ici, les membres ne négocient pas véritablement l’architecture institutionnelle. Le registre peut affecter la reconnaissance continue, la transférabilité ou le statut des ressources—et le recours reste symbolique.

D’autres RIR ont des plafonds de responsabilité similaires, bien qu’ils opèrent dans des environnements plus stables. Ce qui distingue l’AFRINIC, c’est le contexte: une institution confrontée à des millions de frais juridiques, avec un conseil d’administration non validé, gouvernant les ressources IPv4 les plus rares de toutes les régions. Le plafond de 100 $ a été écrit pour un commis. Il protège désormais un gardien.

Qui détient les clés ?

À la question de la responsabilité s’ajoute une question non résolue: qui, exactement, dirige l’AFRINIC ?

La lettre de la NRS note que le conseil actuel « n’a pas encore été validé par le tribunal ». Un administrateur nommé par le tribunal a organisé une élection en septembre 2025 et a déposé une demande demandant au tribunal de valider les administrateurs. Cette demande n’a pas encore été tranchée.

La mise à jour des membres de l’AFRINIC du 12 mars a reconnu la complexité. Elle a indiqué que les administrateurs nouvellement élus avaient repris leurs fonctions « conformément à la loi sur les sociétés de Maurice », mais a noté que la demande de décharge de l’administrateur « a été entendue, et le jugement est maintenant attendu ».

L’élection elle-même a fait l’objet d’un examen minutieux. Le conseil présumé a reçu « plus de 90 % des voix » dans ce qui a été décrit comme l’une des élections les plus contestées de l’AFRINIC. La NRS dit avoir « recueilli des preuves indiquant que certains membres dont les noms figurent sur le registre électoral ont déclaré qu’ils n’avaient pas voté ».

Rien de tout cela n’a été jugé. Mais cela ajoute à l’incertitude entourant une institution déjà confrontée à des questions sur sa responsabilité.

À lire aussi: La montée de CAIGA et les défis de l’AFRINIC: quelle suite ?

Le défaut de conception

Quelle est donc la voie à suivre ?

L’analyse de Heng Lu du 16 mars soutenait que l’enveloppe institutionnelle avait été construite pour un monde antérieur et gouverne désormais un monde différent. « Le modèle actuel de coordination des RIR ne peut survivre sous sa forme actuelle une fois que les ressources de numérotation deviennent économiquement sérieuses, » a-t-il conclu. Seuls deux états finaux cohérents existent: la décentralisation ou une reconstruction radicale.

Ce qui ne fonctionnera pas, a-t-il averti, c’est de faire plus de la même chose. « Plus d’immunité n’est pas un remède; cela élargit le fossé entre le pouvoir et les conséquences. Plus de contrôle gouvernemental n’est pas un remède; cela transforme une crise de registre en une compétition de souveraineté tout en laissant la structure de responsabilité non résolue. »

L’ICANN et la NRO sont intervenus sur la gouvernance dans des interventions précédentes, mettant en garde contre les « procurations illimitées » et « la perception d’une influence démesurée d’un seul membre ». Ce sont des préoccupations légitimes. Mais elles laissent intacte la question structurelle: pourquoi une institution devrait-elle détenir une autorité si lourde de conséquences avec une responsabilité si légère ?

Les questions inconfortables

Pour les gouvernements, les régulateurs des télécommunications, les banques, les fournisseurs de cloud et les IXP, les questions pertinentes ne portent pas sur qui poursuit qui. Elles sont plus pratiques, et plus inconfortables.

Considérons un opérateur de télécommunications à Nairobi dont tout le réseau dépend des ressources IP enregistrées via l’AFRINIC. Si une décision du registre demain faisait perdre à ce réseau sa crédibilité de routage, les dommages de l’opérateur pourraient dépasser son chiffre d’affaires annuel. L’exposition de l’AFRINIC, par contrat, ne dépasserait pas 100 $. L’asymétrie n’est pas un bug du système. C’est le système.

Ou considérons une agence gouvernementale de services numériques qui a construit une infrastructure nationale en supposant que la couche du registre est stable et neutre. Si le conseil mettant en œuvre la politique n’a pas été validé par le tribunal, sur quelle autorité cette politique repose-t-elle ?

Ensuite, il y a la question de la sortie. La politique ratifiée de l’AFRINIC permet des transferts contrôlés au sein de la région, mais les ressources du pool émises par l’AFRINIC ne peuvent pas être évacuées. Une fois que vous êtes dedans, vous ne pouvez pas partir.

Ce sont des questions auxquelles les directeurs de la technologie, les directeurs juridiques et les ministres de l’Infrastructure devront répondre—avant le dépôt de la prochaine plainte.

Quand le gardien échoue

La plainte de Skyconnect sera finalement tranchée. Le récit de la « guerre par procuration » sera confirmé ou discrédité. L’AFRINIC pourrait encore se stabiliser, ou se fracturer davantage.

Mais ce sont les courants de surface. En dessous coule une histoire plus profonde sur le pouvoir, la responsabilité et l’architecture institutionnelle de l’Internet lui-même.

Le système des RIR a été construit pour un monde qui n’existe plus—un monde où les adresses étaient abondantes, les registres étaient administratifs et les clauses de limitation de responsabilité étaient des formalités inoffensives. Ce monde a disparu. Les adresses sont désormais rares, transférables et économiquement importantes. Les registres qui tenaient autrefois des registres gardent désormais la porte. Pourtant, l’enveloppe juridique reste inchangée, un costume d’employé sur un corps quasi-souverain.

L’AFRINIC n’est pas uniquement coupable. Elle est uniquement exposée. Les mêmes plafonds de responsabilité existent chez ARIN et RIPE NCC. Mais l’AFRINIC gouverne les ressources IPv4 les plus rares de toutes les régions et fait face à des litiges qui ont déjà coûté des millions.

Quand le gardien échoue, qui supporte le coût ? La réponse, pour l’instant, est tout le monde sauf le gardien.

La question de la responsabilité ne sera pas répondue à la Cour suprême de Maurice. Elle le sera dans les salles de conseil des opérateurs de télécommunications et les ministères de l’Infrastructure numérique, où les décideurs doivent décider s’ils acceptent un marché écrit pour un commis—mais appliqué par un gardien.

À lire aussi: Smart Africa vs AFRINIC: Quelle est la différence