Résumé

  • L'architecture de continuité publique du NRO n'est pas un plan unique de reprise complète d'AFRINIC. Il s'agit d'un ensemble d'engagements d'entraide, d'un Fonds de stabilité, de procédures d'évaluation ICP-2, d'attentes techniques et d'un projet de document de gouvernance encore non adopté.
  • Les sauvegardes, l'entiercement, le personnel pair et le financement d'urgence sont des garanties nécessaires. Ils préservent les options et réduisent les risques de panne. Ils ne confèrent pas automatiquement l'autorité de modifier les enregistrements de ressources, de révoquer des certificats, de prendre en charge des contrats, de collecter des frais ou de décider des droits contestés.
  • Les procédures ICP-2 de 2024 permettent à l'ICANN et aux autres registres d'identifier un fournisseur de services d'urgence si un RIR ne peut pas être restauré, mais le procès-verbal de ratification de l'ICANN indique expressément que les procédures formelles de déreconnaissance et de transition n'étaient pas encore couvertes.
  • Le « consentement de l'opérateur » ne devrait pas signifier que chaque détenteur de ressources peut opposer son veto à un basculement nécessaire. Il devrait signifier que l'autorité, les déclencheurs, les utilisations de données, les pouvoirs temporaires, les avis, les corrections, les recours, la portabilité et les conditions de retour ont été acceptés par un instrument valide avant la crise, ou fournis par un processus juridique compétent pendant celle-ci.
  • Le prochain texte de gouvernance devrait préserver une activation technique rapide tout en empêchant la dérive des mandats: séparer la continuité en lecture seule du pouvoir discrétionnaire du registre, publier le déclencheur et la portée, protéger les données confidentielles, maintenir des pistes d'audit au niveau de l'opérateur et exiger un retour programmé vers AFRINIC ou vers un successeur légalement reconnu.

Le « plan » de continuité est en réalité un ensemble d'instruments partiels

Les discussions publiques font souvent référence à un plan de continuité du NRO comme si les cinq registres Internet régionaux avaient adopté un document complet spécifiant ce qui se passe lorsque AFRINIC défaillit. Les archives publiques sont plus fragmentées. Il existe un mémorandum du NRO attribuant les responsabilités collectives. Il existe un Fonds conjoint de stabilité des RIR pour un soutien financier et en nature. Il existe les procédures de l'ICANN de 2024 pour évaluer la conformité continue à l'ICP-2. Il existe des attentes concernant les enregistrements, les sauvegardes et la confidentialité.

Il existe également un projet de document de gouvernance de 2025 qui propose un opérateur d'urgence et des règles de transition plus explicites, mais qui reste en développement en 2026.

Chaque élément résout une partie du problème. Le fonds peut payer la reprise. Les registres pairs peuvent fournir du personnel expérimenté et une capacité technique. Les sauvegardes peuvent préserver les enregistrements. Une évaluation peut établir qu'un RIR est incapable de se conformer. Un opérateur temporaire peut maintenir les fonctions critiques disponibles. Aucun de ces éléments, seul, ne répond à toutes les questions d'autorité soulevées par l'activation.

Qui décide qu'AFRINIC ne peut pas continuer? La décision est-elle technique, corporative, judiciaire ou basée sur la reconnaissance? Quels services le substitut peut-il effectuer? Peut-il faire de nouvelles allocations, changer les contacts d'une organisation, révoquer un certificat de l'infrastructure à clé publique de ressources, modifier la délégation inverse du DNS, facturer des clients ou mettre fin à une relation? Quelles données peuvent être copiées, et à quelle fin? Comment un opérateur conteste-t-il une erreur? Quand et comment le service revient-il?

Qualifier l'ensemble de plan peut cacher ces lacunes. La meilleure approche consiste à identifier chaque fonction, son instrument et son décideur. L'ingénierie de la continuité est nécessaire. L'ingénierie du mandat est tout aussi nécessaire car un substitut techniquement compétent peut encore manquer d'autorité pour prendre une décision contestée.

Les sauvegardes sont prudentes car l'administration des numéros ne peut pas improviser après une défaillance

Les enregistrements d'AFRINIC relient les organisations aux ressources numériques Internet, aux contacts, au matériel d'autorisation de routage et à l'historique des services. Une perte soudaine d'accès, de personnel ou d'infrastructure pourrait entraver les mises à jour légitimes et affaiblir la confiance dans la capacité d'agir pour le compte d'un détenteur de ressources. Il est donc tout à fait raisonnable que le système de registres régionaux maintienne des données répliquées, des procédures de reprise testées, un financement d'urgence et une aide par les pairs.

Lerapport de reconnaissance IANA 2005 pour AFRINICtraitait déjà la robustesse technique et la reprise après sinistre comme des considérations de reconnaissance. Il a enregistré les dispositions de sauvegarde et la migration prévue des relations de service existantes des registres régionaux en exercice. La continuité n'a pas été inventée en réponse à des litiges récents; elle faisait partie de la conception de l'institution.

La leçon de cette histoire n'est pas que les transferts sont interdits. C'est qu'une transition est plus que la copie de fichiers. La migration initiale impliquait des organisations reconnues, une sensibilisation régionale, des communications avec les parties concernées et un changement convenu des fournisseurs de services existants vers AFRINIC. Elle combinait la préparation technique avec l'autorisation institutionnelle.

Aujourd'hui, une sauvegarde qui ne peut pas être activée sous pression a une valeur limitée. Mais l'activation devrait être conçue avant l'arrivée de la pression. L'autorisation peut être inscrite dans un accord de service valide, un pacte d'adhésion, une norme de gouvernance reconnue ou un arrangement supervisé par un tribunal. Ce qu'il faut éviter est un choix entre deux extrêmes mauvais: aucune préparation du tout, ou un substitut préparé dont les pouvoirs ne sont définis qu'après qu'il ait pris le contrôle.

Le soutien et la succession sont des événements juridiques différents

L'entraide peut préserver l'identité et l'autorité du registre affecté. Un pair peut prêter des ingénieurs, financer la paie, héberger un système secondaire ou conseiller un administrateur judiciaire tandis qu'AFRINIC reste le fournisseur de services et le décideur. Le pair agit en soutien d'AFRINIC, sous les instructions licites d'AFRINIC ou un autre mandat défini.

La succession est différente. Un successeur ou un fournisseur d'urgence temporaire peut devenir l'institution qui authentifie les utilisateurs, interprète les droits, modifie les enregistrements faisant autorité, émet ou révoque les titres de compétence, conclut des contrats, perçoit les paiements et résout les litiges. Même si le transfert est temporaire, le substitut exerce un pouvoir sur les opérateurs plutôt que de simplement aider AFRINIC à exercer le sien.

La distinction peut être exprimée par un test. Si AFRINIC reste responsable de la décision et que le pair fournit la capacité, il s'agit d'un soutien. Si le pair décide en son propre nom ou sous une nouvelle autorité, il s'agit d'une substitution. L'interface technique peut sembler identique à l'utilisateur, mais la relation juridique ne l'est pas.

Cela importe car de nombreux documents de continuité sont les plus solides sur le soutien. Ils précisent l'argent, le personnel et la coordination. Ils sont plus minces sur la succession: transfert de contrat, statut de responsable du traitement des données, droit applicable, recours, responsabilité et retour. Une architecture de continuité devrait dire clairement où l'assistance se termine et où l'autorité substituée commence.

Le Fonds de stabilité est un outil de reprise, pas une charte de transfert

LeFonds conjoint de stabilité des RIRdu NRO est un engagement sérieux et utile. Les registres entités s'engagent à fournir un soutien financier et en nature pour aider un RIR à rétablir la stabilité. Le soutien peut inclure du personnel opérationnel, et les règles prévoient un plan concret, un budget, un rapport et une approbation par le Conseil exécutif du NRO.

Le déclencheur ordinaire du fonds est révélateur. On attend une demande formelle du conseil d'administration du registre affecté, expliquant les raisons et le soutien recherché. L'organe directeur du registre affecté est censé décider de la direction de la reprise. Cette structure respecte l'autonomie: les pairs aident parce que le RIR affecté le demande.

La crise d'AFRINIC a exposé le cas limite. Que se passe-t-il lorsque le conseil dont la demande légitime l'assistance n'existe pas, manque de quorum ou est lui-même contesté? Un administrateur judiciaire peut posséder l'autorité locale pour demander de l'aide, mais les règles publiques du fonds n'expliquent pas complètement comment cette autorité s'applique à chaque fonction du registre. Les autres registres peuvent approuver le financement à l'unanimité, mais la volonté unanime d'aider n'est pas la même chose que l'autorisation de l'organisation dont les contrats et les enregistrements sont impliqués.

Le fonds résout donc mieux la capacité que le mandat. Ce n'est pas une critique de l'existence du fonds. C'est une raison de le compléter. Un instrument de continuité moderne devrait identifier les demandeurs substituts lorsque le conseil n'est pas disponible, préciser comment leur autorité est vérifiée, et distinguer les dépenses de soutien de l'activation d'un fournisseur de services de remplacement.

La prise de position publique de 2022 promettait de l'aide sans annoncer une reprise en main

En juillet 2022, les registres régionaux ont publié unmessage à la communauté AFRINIC. Il exprimait de l'inquiétude, offrait du soutien et soulignait que l'activité et la politique du registre régional restaient entre les mains de la communauté régionale. Le message disait, en substance, qu'AFRINIC restait le RIR de l'Afrique.

Cette déclaration était une position institutionnelle, pas une adjudication contraignante. Néanmoins, elle fournit un point de repère utile pour interpréter les mesures de continuité ultérieures. Le soutien a été présenté publiquement comme préservant l'institution régionale, pas la remplaçant. Tout transfert d'urgence ultérieur devrait donc identifier l'événement qui a changé la posture, l'instrument permettant le changement et les conditions dans lesquelles l'institution régionale reprend le service.

Le même mois, le NRO a écrit au gouvernement mauricien au sujet de la situation d'AFRINIC et de l'importance de la continuité. Ce plaidoyer a démontré la préoccupation des pairs, mais une lettre au gouvernement n'a pas en soi attribué les obligations d'AFRINIC à un autre registre. Elle cherchait de l'aide auprès de l'autorité capable d'agir en vertu du droit local.

La base publique contenait donc une retenue saine: les pairs pouvaient préparer, soutenir et plaider tout en reconnaissant qu'AFRINIC et sa communauté conservaient une position institutionnelle distincte. Une conception d'urgence crédible devrait préserver cette retenue même lorsque des mesures rapides sont nécessaires.

Le mémorandum du NRO permet la coordination mais rejette le mandat implicite

Lemémorandum du NROest le pacte constitutionnel entre les registres régionaux. Il permet une activité opérationnelle et externe collective sur les questions déléguées en vertu de l'accord. Les engagements importants dépendent d'un accord écrit ou unanime entre les registres entités. Des tâches techniques peuvent être assignées, et le Conseil exécutif peut représenter les registres sur des sujets spécifiquement délégués.

Les limites sont aussi importantes que les octrois. Le mémorandum stipule que l'arrangement ne crée pas de partenariat, de mandat, d'association ou de franchise entre les signataires. Il restreint également le transfert ou la cession d'intérêts, de droits et d'obligations sans le consentement écrit préalable des signataires.

Ces clauses empêchent une inference hâtive selon laquelle un registre parle automatiquement pour un autre ou lui succède. Le NRO peut coordonner une activité commune. Son Conseil exécutif peut engager des ressources collectives selon les règles convenues. Mais le mémorandum n'est pas une procuration universelle sur les relations clients d'AFRINIC.

L'adhésion d'AFRINIC en 2005à l'arrangement du NRO confirme la participation à la structure collective. Elle n'identifie pas les détenteurs de ressources individuels comme ayant cédé leurs droits contractuels au NRO ou aux quatre autres registres. Elle ne précise pas non plus qu'un pair peut exercer toutes les fonctions d'AFRINIC pendant une période de tutelle.

Le mandat pour un basculement doit donc provenir de quelque chose de plus spécifique: un consentement préalable dans les arrangements pertinents, une demande autorisée d'AFRINIC, un administrateur judiciaire légal ou une ordonnance du tribunal, une règle valide de reconnaissance-transition, ou une combinaison. La préparation technique collective n'est pas cet instrument manquant.

La relation ASO ne comble pas le fossé du consentement de l'opérateur

Lemémorandum ASO de 2019fait du NRO le véhicule par lequel les registres régionaux remplissent le rôle de l'Address Supporting Organization au sein de l'ICANN. Il établit des responsabilités politiques mondiales, des recommandations de reconnaissance, des nominations et une coordination.

Cette relation importe si la reconnaissance continue d'AFRINIC est remise en question. Elle importe également lorsque les registres restants conseillent l'ICANN ou demandent une évaluation. Mais elle n'est pas rédigée comme un accord de service direct avec les opérateurs de réseau africains. Elle ne dit pas à un opérateur quelle loi régit un compte transféré, qui supporte la responsabilité en cas de révocation erronée, ou comment une demande d'allocation contestée est portée en appel après le basculement.

L'arrangement ASO aide donc à répondre à la question de savoir qui participe aux décisions mondiales de reconnaissance. Il ne répond pas complètement à la question de savoir qui peut prendre en charge les relations de service en aval. C'est un problème de conception récurrent: les institutions au niveau du système peuvent décider qu'un nœud reconnu est en échec, tandis que les mécanismes juridiques de déplacement des clients de ce nœud restent sous-spécifiés.

La solution n'est pas de nier l'autorité au niveau du système. C'est de la connecter aux droits au niveau de l'opérateur. Une détermination de reconnaissance ou d'urgence devrait activer un protocole de continuité de service préalablement convenu que les opérateurs peuvent inspecter. Le protocole devrait nommer le substitut, définir ses pouvoirs et préserver les droits de contestation et de retour. Sans ce pont, une décision mondiale valide peut encore produire des relations locales incertaines.

Le rôle de l'IANA montre pourquoi la hiérarchie technique n'est pas une succession contractuelle

Lapage des services de numérotation de l'IANAexplique la hiérarchie d'allocation. L'IANA alloue des pools non alloués de ressources numériques Internet aux registres régionaux. Les registres distribuent et administrent ensuite les ressources selon la politique régionale. L'IANA ne gère pas ordinairement les comptes des opérateurs africains.

Cette hiérarchie est cruciale pour la continuité. Si AFRINIC ne peut pas recevoir ou administrer des ressources numériques, les fonctions IANA de l'ICANN et les registres pairs doivent savoir comment le registre mondial reste cohérent. L'IANA peut préserver l'unicité de haut niveau et se coordonner avec un fournisseur reconnu ou d'urgence.

Mais la hiérarchie n'équivaut pas à un lien contractuel direct. Les droits quotidiens d'un opérateur, ses frais, ses contacts et son historique de ressources découlent des politiques, de la structure d'adhésion et des conditions de service d'AFRINIC. La capacité de l'IANA à coordonner les pools de haut niveau ne transfère pas automatiquement ces relations à un autre registre.

Lelivret d'information de l'IANAdécrit également l'IANA comme mettant en œuvre plutôt que définissant la politique. La politique régionale et le service régional restent des couches distinctes. Une continuité qui maintient le registre de haut niveau correct peut encore laisser non résolu la question de savoir qui peut prendre une décision régionale contestée.

L'architecture devrait donc séparer la fonction mondiale minimale de la fonction régionale complète. Préserver l'unicité et l'accès en lecture peut nécessiter une action immédiate. Modifier les droits, les contrats ou les résultats basés sur des politiques nécessite un mandat plus fort et plus de procédure.

Une carte de service utile commence par cinq couches distinctes

« Service de registre » est un terme trop large pour une conception d'urgence. Au moins cinq couches devraient être distinguées.

La première est la préservation: maintenir des copies complètes, immuables et testées des enregistrements publics et protégés. Cela peut se produire avant la défaillance et devrait impliquer une conservation stricte, un chiffrement et des contrôles d'audit.

La deuxième est la disponibilité: maintenir accessibles les informations d'annuaire publiques, les référentiels de sécurité de routage et les fonctions de recherche essentielles. Certaines mesures de disponibilité peuvent être automatisées et en lecture seule.

La troisième est la maintenance authentifiée: permettre à un détenteur de ressources connu de mettre à jour les contacts, les objets de routage, les certificats ou les informations DNS inverses. Cela nécessite une vérification fiable de l'identité et un enregistrement de l'autorité.

La quatrième est l'administration discrétionnaire: approuver une nouvelle allocation, interpréter la politique, résoudre des demandes concurrentes, récupérer des ressources ou sanctionner la non-conformité. Ces actes affectent des droits substantiels et nécessitent souvent un jugement.

La cinquième est la relation commerciale et corporative: facturer, gérer les dépôts ou les frais, modifier les conditions contractuelles, admettre des membres, traiter les votes et accepter la signification légale.

Une continuité peut activer ces couches par étapes. La préservation devrait être continue. La disponibilité en lecture seule peut avoir un seuil d'activation faible. La maintenance authentifiée peut nécessiter une incapacité vérifiée d'AFRINIC et une autorité plus forte. Les actes discrétionnaires et commerciaux devraient exiger le mandat le plus clair, une procédure explicite et un examen. Traiter les cinq comme un seul interrupteur technique rend trop facile le passage d'une conservation de sauvegarde à un pouvoir de gouvernance non examiné.

Les enregistrements publics, les enregistrements confidentiels et l'autorité décisionnelle ne sont pas interchangeables

Certaines informations sur les ressources numériques sont destinées à être publiques. D'autres matières comprennent des contacts personnels, des identifiants de compte, des contrats, des factures, des documents d'identité, des données de sécurité et des historiques de décisions internes. Un miroir qui détient légalement des enregistrements publics n'a pas nécessairement l'autorisation d'utiliser des enregistrements confidentiels à une nouvelle fin.

Lesprocédures d'évaluation ICP-2 de 2024contiennent une règle de confidentialité notable. Les informations d'enregistrement doivent être utilisées à des fins d'enregistrement et peuvent être transmises à un autre RIR ou à l'IANA sur demande; d'autres transmissions nécessitent généralement le consentement écrit du détenteur de ressources. Le texte donne au système de registres une base importante pour une conservation contrôlée par les pairs. Il lie également les données à un objectif.

Cette règle soutient la sauvegarde et la continuité plus fortement que les critiques ne l'admettent parfois. Une permission individuelle n'est pas nécessairement requise chaque fois que des données d'enregistrement protégées sont mises en miroir de manière sécurisée vers un pair autorisé aux fins déclarées du registre. Pourtant, la règle ne répond pas à toutes les questions d'activation. Posséder les données n'est pas la même chose que devenir le fournisseur contractuel.

Les utiliser pour maintenir un enregistrement existant n'est pas nécessairement la même chose que les utiliser pour trancher un litige, commercialiser un nouveau service, modifier les frais ou les exposer sous un régime juridique différent.

L'instrument de continuité devrait donc définir les rôles: conservateur, processeur, opérateur de service temporaire, décideur et successeur. Il devrait également définir les finalités autorisées et les obligations de suppression ou de retour. Le consentement à la conservation ne devrait pas être étendu à un consentement à tout exercice futur du pouvoir discrétionnaire.

Les procédures de 2024 autorisent l'évaluation et pointent vers un service d'urgence

Les procédures de 2024 donnent à l'ICANN et aux autres registres un rôle plus clair que l'ancien texte ICP-2. Les RIR restants peuvent demander un examen à l'unanimité. L'ICANN peut initier un examen limité s'il croit raisonnablement que la coordination sûre et stable des identifiants uniques est en danger. La procédure prévoit la collecte d'informations, des conclusions provisoires, une correction factuelle et, dans les cas critiques, un traitement accéléré.

Si la conformité ne peut pas être rétablie, les procédures disent que l'ICANN travaillera de manière transparente avec les RIR restants pour identifier un fournisseur de services d'urgence. Elles encouragent également des sauvegardes ou un dépôt suffisants. C'est un véritable mandat de continuité au niveau du système de reconnaissance. Ce n'est pas simplement une promesse informelle entre ingénieurs.

Ses limites restent importantes. L'identification d'un fournisseur ne spécifie pas par elle-même toutes les fonctions que ce fournisseur peut exercer. Le texte ne définit pas un régime complet d'avis aux opérateurs, un mécanisme de transfert de contrat, une répartition de la responsabilité ou une voie de recours. Il ne définit pas complètement quand un service temporaire devient une succession permanente.

Les procédures permettent également une action d'urgence lorsque le retard serait dangereux, mais elles exigent que l'examen reste lié au risque pour l'identifiant. Ce lien devrait déterminer la portée de l'activation. Si le risque est la perte d'enregistrements, préserver les enregistrements. Si le risque est l'indisponibilité des mises à jour authentifiées, activer ce service. Un transfert complet de l'autorité discrétionnaire et commerciale nécessite une justification supplémentaire.

Le procès-verbal de ratification de l'ICANN a expressément laissé la transition inachevée

L'avis de ratification du Conseil d'administration de l'ICANN de décembre 2024indiquait que les procédures de mise en œuvre n'ajoutaient pas de nouvelles obligations substantielles. Il déclarait également que les procédures formelles de déreconnaissance et de transition étaient en dehors du texte adopté et nécessitaient un développement politique supplémentaire.

Cette reconnaissance est la preuve la plus claire du fossé de mandat. Le système disposait d'une méthode pour examiner un RIR et d'une directive pour identifier un service d'urgence si la restauration échouait, mais il n'avait pas encore de code adopté complet pour la déreconnaissance et la transition.

Le fossé ne signifie pas que le soutien d'urgence est illégitime. Un contrat existant, une ordonnance du tribunal, une instruction du syndic ou un autre arrangement licite peut autoriser des actes particuliers. La nécessité peut également justifier des mesures de protection étroitement définies dans certains systèmes juridiques. Mais la procédure publique ICP-2 ne devrait pas être décrite comme résolvant des questions que son procès-verbal de ratification dit avoir été laissées pour une politique ultérieure.

C'est pourquoi le consentement de l'opérateur importe. Lorsque l'instrument mondial s'arrête avant la transition du contrat et du service, les relations affectées ne disparaissent pas. L'autorité manquante doit être trouvée dans une autre source valide ou intégrée dans le prochain texte de gouvernance.

Les lettres de l'ICANN sur AFRINIC se sont concentrées à juste titre sur les sauvegardes, mais pas encore sur les droits d'activation

Lalettre de l'ICANN du 7 mars 2025a interrogé le syndic d'AFRINIC sur les enregistrements appropriés, les informations protégées des clients, la conformité à l'ICP-2 et les sauvegardes régulières. Salettre du 3 juilletest revenue sur la tenue des registres, les sauvegardes et le dépôt tout en préservant la possibilité d'un examen de conformité.

Ces questions étaient appropriées. Avant qu'un fournisseur d'urgence puisse opérer, le système doit savoir qu'un enregistrement complet, actuel et fiable existe. Le dépôt devrait être testé plutôt que supposé. L'accès ne devrait pas dépendre d'un seul titulaire de fonction contesté ou d'un seul site défaillant.

La correspondance publique n'a pas fourni un pacte d'activation aussi détaillé. Qui pourrait libérer le dépôt? Quel événement constituait une défaillance? Le substitut pouvait-il apporter des modifications ou seulement servir une copie? Qu'adviendrait-il des identifiants et des clés de signature? Quelles conditions de confidentialité s'appliquaient? Comment le syndic, les membres et les opérateurs seraient-ils notifiés? Qui corrigerait un mauvais enregistrement?

Ces omissions peuvent refléter des arrangements confidentiels non visibles publiquement. Elles devraient donc être traitées comme des questions sans réponse, pas comme la preuve qu'aucune préparation n'existait. Mais la légitimité publique exige plus qu'une confiance technique privée une fois que l'activation affecte les droits de tiers. Le déclencheur, la portée et l'architecture de recours devraient être publiables même si les détails sensibles de mise en œuvre restent protégés.

Le projet de document de gouvernance de 2025 améliore l'architecture de déclenchement

Leprojet de document de gouvernance des RIR, version 2, publié en août 2025, tente de combler plusieurs lacunes. Il exige une préparation à la continuité, y compris le partage des enregistrements, procédures et systèmes pertinents avec un opérateur d'urgence sous réserve de conditions de dépôt et de protection des données. Il propose que les autres registres et l'ICANN puissent autoriser à l'unanimité un opérateur d'urgence temporaire lorsqu'un RIR ne peut pas fournir de service.

Le projet propose également une consultation avec le RIR affecté et la communauté régionale lorsque raisonnablement possible, la publication des motifs et de la portée, l'engagement communautaire, un droit pour le RIR affecté de reprendre le service et une période d'urgence de 90 jours. Il prévoit un rapport post-événement, une évaluation et un retour d'information. Ce sont des améliorations substantielles par rapport à un basculement non défini.

Au 13 juillet 2026, cependant, lecalendrier de processus du NRO publiédécrivait toujours une mise à jour supplémentaire au troisième trimestre 2026 et une adoption prévue au quatrième trimestre. Le projet devrait donc être analysé comme une proposition, pas cité comme déjà contraignant.

Même en tant que proposition, il démontre une reconnaissance institutionnelle que la continuité a besoin de règles. Il fournit des concepts d'activation, de divulgation et de limite de temps qui manquaient dans le cadre public antérieur. La tâche restante est de relier ces concepts plus directement aux droits des opérateurs et aux mécanismes juridiques de substitution de service.

La limite de 90 jours du projet est précieuse mais insuffisante

Une courte période d'urgence réduit le risque qu'une mesure temporaire devienne permanente par inertie. Quatre-vingt-dix jours créent une pression pour restaurer le registre affecté, renouveler l'autorité de manière transparente ou commencer une transition formelle. Un rapport post-événement peut révéler si l'opérateur d'urgence est resté dans les limites.

Le temps seul ne définit pas le pouvoir. Un fournisseur temporaire peut commettre une erreur irréversible le premier jour. Il peut révoquer un certificat, rejeter un transfert, divulguer des données privées ou modifier un enregistrement faisant autorité. Le texte de gouvernance devrait donc combiner la limite de temps avec une limite de fonction.

Pendant la période initiale, le fournisseur d'urgence pourrait être autorisé à préserver les enregistrements, maintenir les services publics existants, traiter les changements authentifiés à faible risque et prévenir l'expiration. Les actes discrétionnaires à fort impact pourraient nécessiter une deuxième approbation, un examen indépendant ou une validation judiciaire. Les nouvelles allocations, la récupération involontaire, les modifications majeures des frais et la révocation contestée des titres pourraient être suspendus sauf si essentiels pour éviter un préjudice immédiat.

La condition de retour a également besoin de précision. « Le RIR peut reprendre » devrait signifier que les enregistrements, les journaux, les clés, les demandes en attente et la responsabilité juridique peuvent être restitués sans lacunes. Le fournisseur d'urgence ne devrait pas devenir la seule institution capable d'expliquer ce qui s'est passé pendant l'intervalle.

Le consentement manquant de l'opérateur n'est pas une demande de 10 000 veto individuels

L'expression « consentement de l'opérateur » peut sembler peu pratique. Une urgence ne peut pas attendre que chaque réseau signe un nouveau formulaire. Un détenteur de ressources malveillant ou injoignable ne devrait pas pouvoir bloquer une mesure nécessaire pour préserver le registre régional.

Ce n'est pas le modèle de consentement requis. Les infrastructures matures utilisent un consentement préalable et constitutionnel. Les opérateurs acceptent, par le biais de conditions de service publiées, de règles d'adhésion et de politiques reconnues, que des fonctions spécifiques puissent être transférées lorsque des conditions objectives sont remplies. L'instrument identifie la classe de substitut, les utilisations de données autorisées, les pouvoirs, la durée, les droits d'avis et de contestation.

Un tribunal compétent ou un syndic légal peut fournir l'autorité lorsque les arrangements préalables échouent, sous réserve du droit local et d'un examen.

Le consentement dans ce sens est une architecture de mandat. Il dit à l'opérateur, avant la crise, ce qui peut arriver à son compte et à ses enregistrements. Il dit au substitut ce qu'il ne peut pas faire. Il donne à l'opérateur un moyen de corriger une erreur sans opposer son veto à la continuité pour tous les autres.

Les archives publiques ne montrent pas encore un tel pacte complet orienté vers l'opérateur pour AFRINIC. Les documents du NRO et de l'ICANN établissent une autorité collective et au niveau de la reconnaissance, mais le pont vers les droits de service individuels reste incomplet. C'est le problème du consentement manquant.

L'approbation des membres n'est pas un substitut complet aux droits des détenteurs de ressources

AFRINIC est basé sur l'adhésion, et un conseil élu par les membres restauré est central pour la légitimité. Pourtant, toutes les parties opérationnellement dépendantes du service du registre ne détiennent pas nécessairement des droits d'adhésion ou de vote identiques. Un vote corporatif peut autoriser l'organisation dans le cadre de sa constitution; il ne réécrit pas automatiquement chaque contrat ou ne renonce pas à chaque droit sur les données.

La distinction fonctionne également dans l'autre sens. Le contrat d'un détenteur de ressources individuel ne devrait pas lui permettre de capturer la gouvernance corporative. Les droits devraient suivre la relation pertinente. Les membres votent là où la constitution le permet. Les détenteurs de ressources reçoivent un service et protègent leurs droits sur les comptes et les données. Les opérateurs supportent les conséquences opérationnelles des décisions du registre. La communauté régionale contribue à la légitimité politique. L'ICANN et les autres registres protègent la coordination mondiale dans le cadre de leurs instruments.

Un pacte de basculement devrait donc utiliser plusieurs formes d'autorisation plutôt qu'un seul appel vague à « la communauté ». L'approbation corporative, les conditions de l'opérateur, les procédures de reconnaissance et l'autorité judiciaire peuvent se renforcer mutuellement. Elles ne devraient pas être traitées comme interchangeables.

Le fossé de mandat devient dangereux lorsqu'une institution prétend que le soutien d'une circonscription autorise une action sur toutes les autres. Une consultation publique peut montrer une légitimité mais ne transfère pas les contrats. Une résolution des membres peut diriger AFRINIC mais ne lie pas un non-membre en vertu d'une clause non énoncée. Une évaluation mondiale peut justifier une coordination d'urgence mais ne règle pas un litige de facturation privé.

Les opérateurs sont les parties qui subissent les erreurs du registre dans les réseaux en direct

Les opérateurs de réseau signent des contrats clients, configurent des routeurs, maintiennent des systèmes de sécurité et répondent des pannes. Les décisions du registre peuvent affecter leur capacité à démontrer l'autorité sur les ressources, à mettre à jour les contacts opérationnels, à créer des autorisations de routage ou à maintenir les délégations DNS inverses. L'opérateur n'est pas simplement un observateur de la gouvernance du registre.

Cela ne signifie pas que les opérateurs possèdent le registre ou peuvent ignorer la politique régionale. Cela signifie que la conception de la continuité devrait reconnaître où atterrit la perte pratique. Si un substitut identifie mal un titulaire de compte autorisé, le retard ou la révocation qui en résulte peut affecter le routage et le service client. Si les enregistrements deviennent inaccessibles, l'opérateur supporte le coût de prouver un droit que le registre devrait déjà connaître.

Les droits orientés vers l'opérateur ne sont donc pas une concession optionnelle. Ils font partie de la fiabilité du système. Les avis, les corrections, la portabilité et les recours réduisent les erreurs techniques car les parties les plus proches des réseaux affectés peuvent identifier les erreurs. Les pistes d'audit leur permettent d'établir ce qui a changé et sous quelle autorité.

Un plan de continuité qui ne parle qu'entre registres peut être techniquement sophistiqué mais incomplet. Le service existe pour les détenteurs de ressources et les réseaux, pas pour le confort institutionnel des registres eux-mêmes.

Les enregistrements de ressources devraient être portables sans rendre les droits facilement transférables

La portabilité a deux dimensions. La première est probatoire: un opérateur devrait pouvoir obtenir un enregistrement vérifiable de ses ressources, de son statut, de ses contacts, de ses demandes soumises et des décisions pertinentes. La seconde est opérationnelle: un substitut légal devrait pouvoir continuer le service sans forcer l'opérateur à reconstruire son historique à partir d'e-mails ou d'archives privées.

Les enregistrements portables réduisent la dépendance envers une institution défaillante. Ils améliorent également la responsabilité car l'opérateur peut comparer l'état avant le basculement avec les changements ultérieurs. Un instantané signé, un journal des modifications et une provenance claire peuvent établir si une modification contestée s'est produite avant ou après l'activation.

La portabilité ne devrait pas être confondue avec la libre transférabilité des droits sous-jacents. Un enregistrement de ressources peut être portable tandis qu'une allocation reste soumise à la politique régionale et au contrat. Le substitut reçoit la preuve et une autorité limitée pour l'administrer; il n'acquiert pas la propriété de la ressource ou un pouvoir discrétionnaire illimité pour réécrire la relation.

Le pacte de continuité devrait spécifier l'enregistrement portable minimum et le mécanisme d'authenticité. Il devrait également exiger du fournisseur temporaire qu'il restitue un delta complet de chaque changement, décision et question en suspens. Sans cette exigence, la restauration peut produire deux histoires incompatibles.

RPKI et DNS inversé rendent la question de l'autorité opérationnellement urgente

Certaines fonctions du registre ne sont pas des répertoires passifs. L'infrastructure à clé publique de ressources permet aux détenteurs d'autoriser les origines de routage via des objets cryptographiquement vérifiables. La délégation DNS inversée relie l'espace de numérotation à l'infrastructure de nom de domaine. Les modifications de compte et de délégation peuvent donc influencer la manière dont les réseaux valident le routage et résolvent les adresses.

Une sauvegarde peut préserver les référentiels et le matériel de signature, mais l'utilisation de ce matériel est une autorité distincte. Qui peut émettre, révoquer ou remplacer un certificat? Que se passe-t-il lorsqu'un détenteur conteste l'authentification du substitut? Les clés d'urgence peuvent-elles être activées sans invalider la confiance existante? Comment une action erronée est-elle inversée et communiquée?

Les réponses exigent à la fois des cérémonies techniques et un mandat légal. La garde des clés peut être divisée, l'activation peut nécessiter plusieurs approbations, et les actions d'urgence peuvent être limitées au maintien de la validité existante. Pourtant, l'instrument de gouvernance doit identifier ces approbations et la portée de l'action.

Il en va de même pour le DNS inversé et les mises à jour du registre. Maintenir les données existantes disponibles est moins risqué qu'accepter un changement contesté. Une carte de service devrait classer les actions par réversibilité et impact, avec des seuils d'autorité plus élevés pour les opérations destructrices ou modifiant les droits.

C'est pourquoi le fossé du consentement ne peut pas être écarté comme du droit corporatif abstrait. Il détermine qui peut appuyer sur les boutons qui modifient la confiance opérationnelle.

Le transfert de contrat, la protection des données et la loi applicable nécessitent un traitement explicite

Si un autre registre devient le fournisseur temporaire, plusieurs questions juridiques se posent immédiatement. L'accord d'AFRINIC de l'opérateur est-il cédé, nové ou simplement géré pour le compte d'AFRINIC? Quelle entité facture et reçoit les paiements? Quel avis de confidentialité s'applique? Où l'opérateur peut-il introduire une réclamation? Qui supporte la responsabilité en cas d'erreur de service? Le substitut applique-t-il la politique d'AFRINIC ou ses propres règles régionales?

Ces questions ne devraient pas être répondues par défaut technique. Un registre pair peut être le mieux placé pour faire fonctionner le système, mais son droit national et ses politiques ordinaires peuvent différer. Le service d'urgence ne devrait pas silencieusement relocaliser la relation contractuelle ou la politique d'une autre région.

Le modèle préféré est un service de type mandat sans mandat général implicite: le fournisseur temporaire agit en vertu d'un mandat d'urgence étroitement défini, applique la politique et les conditions existantes d'AFRINIC dans la mesure où cela est licite, sépare les données et l'argent, et n'acquiert pas les relations de manière permanente. Si le droit local exige une cession ou une novation, l'instrument devrait le dire et prévoir un avis et des protections.

Lorsqu'un syndic nommé par un tribunal autorise l'arrangement, l'ordonnance devrait identifier ces conséquences. Lorsque des conditions préalables l'autorisent, les conditions devraient être accessibles et spécifiques. Une promesse générique de coopération n'est pas suffisante pour les fonctions à fort impact.

Les déclencheurs d'activation devraient être objectifs, stratifiés et révisables

Une continuité solide ne devrait pas dépendre d'une déclaration non définie selon laquelle un RIR est « instable ». L'instabilité peut décrire un litige, une pression financière, une perte de personnel, un compromis d'enregistrement, une panne de service ou un manque de gouvernance légale. Ces conditions justifient des réponses différentes.

Une matrice de déclenchement pourrait inclure:

ConditionMesure initialeAutorité supplémentaire avant expansion
Perte d'un site ou d'un systèmeBasculement technique sous l'autorité de service existanteAucune si AFRINIC reste en contrôle
Pénurie temporaire de personnelPersonnel pair et soutien financéDemande autorisée d'AFRINIC ou demandeur substitut légal
Risque pour l'intégrité des enregistrementsGeler les modifications destructrices, vérifier la sauvegarde, préserver les journauxAvis ICP-2 et autorité locale appropriée
Incapacité d'authentifier les mises à jour de routineMaintenance authentifiée temporaireDétermination d'urgence publiée et avis à l'opérateur
Absence de décideur légal pour les demandes contestéesPréserver le statu quo et rechercher une autorité indépendanteOrdonnance du tribunal, pouvoir de syndic valide ou règle d'urgence adoptée
Incapacité persistante à fournir un service régionalFournisseur d'urgence à durée limitéeDécision de reconnaissance plus transition et garanties pour les parties affectées
Succession permanenteDéreconnaissance formelle et reconnaissance du successeurProcessus adopté complet, traitement contractuel et légitimité régionale

La matrice permet une action rapide sans accorder le pouvoir maximum au premier signe de problème. Elle donne également aux tribunaux, aux opérateurs et aux registres un vocabulaire commun pour ce qui a réellement été activé.

L'avis devrait expliquer les conséquences, pas seulement annoncer le substitut

Un avis à l'opérateur devrait identifier l'événement déclencheur, le décideur, l'instrument, l'heure d'entrée en vigueur, les fonctions activées et la durée prévue. Il devrait indiquer si les identifiants existants restent valides, où envoyer les demandes, quelle politique s'applique et comment les corrections urgentes sont traitées.

L'avis devrait également dire ce qui n'apasété transféré. Si le substitut ne peut pas faire de nouvelles allocations, modifier les frais ou décider des demandes contestées, cette limite importe. Si un tribunal a autorisé des pouvoirs plus larges, l'ordonnance ou un résumé accessible devrait être lié.

L'avis peut être échelonné dans une véritable urgence. Un court message initial peut accompagner l'activation, suivi rapidement par un exposé détaillé des motifs. Les détails de mise en œuvre sensibles pour la sécurité n'ont pas besoin d'être publiés. Le public devrait encore recevoir suffisamment d'informations pour comprendre l'autorité et la portée.

Les opérateurs devraient disposer d'un canal de contact vérifié indépendant d'un compte AFRINIC potentiellement compromis. Le système a également besoin d'un mécanisme pour atteindre les opérateurs dont les données de contact sont périmées, sans traiter le défaut de réponse comme un consentement à tout changement.

La transparence n'est pas seulement une responsabilité rétrospective. Elle fait partie de l'activation sûre car elle aide les utilisateurs légitimes à distinguer un véritable fournisseur d'urgence du hameçonnage, de l'usurpation d'identité ou d'une intervention non autorisée.

La correction et l'appel doivent fonctionner pendant l'urgence, pas après

Un fournisseur d'urgence rencontrera des enregistrements incohérents et des demandes contestées. Attendre le retour du service à AFRINIC peut être inacceptable. Le substitut a donc besoin d'un processus de correction rapide, fondé sur des preuves et limité.

Les erreurs administratives courantes peuvent être corrigées par des preuves vérifiées et une double approbation. Les litiges à fort impact devraient préserver le statu quo lorsque possible et être transférés à un examinateur indépendant, un syndic ou un tribunal. L'opérateur devrait recevoir une décision motivée et une référence d'audit. Le personnel d'urgence ne devrait pas se fier à des connaissances personnelles non documentées ou à des pressions privées.

L'appel ne doit pas suspendre toute action. Un compromis de titres manifestement malveillant peut nécessiter une suspension protectrice immédiate. Mais le détenteur concerné devrait recevoir un avis rapide, des preuves suffisantes pour répondre et un examen accéléré. La distinction entre protection réversible et privation finale devrait rester visible.

Le rapport post-événement du projet de document de gouvernance est utile, mais il ne peut pas remplacer un recours en direct. Un rapport trois mois plus tard ne restaure pas un objet d'autorisation de routage nécessaire aujourd'hui. Les droits doivent voyager avec le service.

La transparence devrait fonctionner avant, pendant et après l'activation

Avant une crise, les registres devraient publier le modèle d'autorité, la carte de service, les classes de déclenchement, les rôles des données et la voie de responsabilité. Ils peuvent tester la reprise technique sans exposer les identifiants ou les détails exploitables. Les opérateurs devraient savoir comment vérifier un avis d'urgence authentique.

Pendant l'activation, le décideur devrait publier la raison, la portée, le fournisseur et la durée. Les métriques de service agrégées, les changements de portée importants et les risques non résolus devraient être rapportés. Les incidents confidentiels peuvent être décrits sans exposer les données des clients.

Après l'activation, un rapport public devrait comparer le déclencheur avec les preuves, lister les fonctions utilisées, expliquer les décisions à fort impact, divulguer les pannes ou erreurs, rendre compte des fonds et évaluer si le mandat était adéquat. Les opérateurs concernés devraient recevoir leurs propres historiques de modifications.

La transparence discipline également les institutions. Si le fournisseur sait que toute extension de portée sera enregistrée, il est moins susceptible de transformer un rôle de continuité étroit en élaboration de politiques. Si AFRINIC sait que son état de préparation à la restauration sera évalué publiquement, il a intérêt à maintenir des enregistrements portables et une capacité de reprise testée.

L'objectif n'est pas la publicité pour elle-même. C'est de rendre l'autorité vérifiable sans publier de secrets.

La gouvernance en split-brain est aussi dangereuse que les données en split-brain

Les ingénieurs conçoivent contre les systèmes split-brain dans lesquels deux nœuds croient tous deux être faisant autorité. Une crise de registre peut produire l'équivalent en gouvernance. Le syndic d'AFRINIC ou le conseil restauré peut revendiquer l'autorité tandis qu'un fournisseur temporaire traite déjà les demandes. Différents tribunaux ou institutions peuvent reconnaître différents acteurs. Les opérateurs peuvent envoyer des instructions contradictoires aux deux.

L'instrument de continuité devrait définir un seul état faisant autorité et une méthode pour le modifier. L'heure d'activation, la portée du service et l'autorité de signature devraient être enregistrées dans un journal inviolable. Les demandes reçues pendant la transition devraient avoir un identifiant de dossier unique. Le système non autoritaire devrait soit devenir en lecture seule, soit acheminer les demandes vers le fournisseur actif.

La restauration nécessite la même discipline. Il devrait y avoir une décision de basculement, des données reconciliées, un transfert de clés et une heure d'entrée en vigueur publiée. Les litiges en suspens ne doivent pas disparaître entre les institutions. Les deux parties devraient attester de l'état transféré, avec une voie indépendante en cas de désaccord.

La clarté du mandat empêche le split-brain institutionnel. Si deux organes peuvent chacun prétendre plausiblement s'être activés, la cohérence technique seule ne restaurera pas la confiance.

Le retour est un droit fondamental de l'opérateur, pas une réflexion administrative

Un fournisseur temporaire devrait entrer avec une obligation de sortie. L'opérateur a besoin d'assurance que ses enregistrements, ses demandes en attente, ses identifiants et son statut de paiement reviendront intacts lorsque AFRINIC reprendra, ou passeront par une transition permanente légale si AFRINIC ne le peut pas.

Les critères de retour devraient être objectifs: gouvernance légale, capacité technique vérifiée, enregistrements reconciliés, tests de sécurité, personnel adéquat et un statut de reconnaissance valide. AFRINIC ne devrait pas retrouver un contrôle sensible simplement en annonçant son état de préparation, mais le fournisseur d'urgence ne devrait pas non plus conserver le service parce que le retour est peu pratique.

La période de 90 jours du projet fournit un point de décision. Avant son expiration, les institutions autorisées devraient publier si le service revient, si le mandat d'urgence est renouvelé en vertu d'une autorité déclarée, ou si un processus de succession formel commence. Les extensions répétées devraient nécessiter un examen plus rigoureux.

Les opérateurs ne devraient pas avoir à prouver à nouveau des droits établis uniquement parce que le fournisseur change. L'enregistrement complet, y compris les décisions de la période d'urgence, devrait suivre la relation. C'est le contenu pratique de la portabilité et de la continuité.

Un modèle de mandat positif est disponible

Le fossé du mandat peut être comblé sans ralentir chaque action d'urgence. Les registres, l'ICANN, les membres d'AFRINIC et les détenteurs de ressources peuvent établir un pacte stratifié avec les éléments suivants.

Premièrement, un dépôt continu et une conservation par les pairs pour les enregistrements définis, avec une reprise testée et des limites d'utilisation strictes. Deuxièmement, des classes d'activation objectives liées à des défaillances de service spécifiques. Troisièmement, une autorisation unanime au niveau du système pour un fournisseur temporaire, combinée à une autorité locale ou contractuelle valide pour les actes en aval. Quatrièmement, un calendrier des fonctions distinguant la préservation, la maintenance de routine, les décisions discrétionnaires et les pouvoirs commerciaux.

Cinquièmement, un avis à l'opérateur, un accès vérifié, une correction, un recours et des enregistrements portables. Sixièmement, une séparation des données, des fonds et de la politique afin que le substitut n'absorbe pas AFRINIC par défaut. Septièmement, une courte durée, des changements de portée publiés et un examen indépendant. Huitièmement, un processus de retour testé ou de successeur légal. Neuvièmement, un rapport post-événement et des historiques de modifications spécifiques à l'opérateur. Dixièmement, des dispositions claires sur la responsabilité et la loi applicable.

Ce modèle traite la sauvegarde technique comme un atout, pas une menace. Il permet aux ingénieurs de se préparer agressivement tout en exigeant des institutions qu'elles justifient l'activation. Il reconnaît également que le consentement peut être fourni à l'avance par un pacte public et exécutoire plutôt que collecté individuellement pendant une panne.

La question clé est de savoir qui peut décider, pas qui peut faire fonctionner les serveurs

Les autres registres régionaux possèdent presque certainement l'expertise technique pertinente. Ils comprennent les systèmes de ressources numériques et peuvent fournir du personnel, des infrastructures et un soutien à la continuité plus crédibles qu'un improvisateur externe. La posture d'entraide du NRO est donc une force du système régional.

La capacité, cependant, n'est pas un mandat. Une institution peut être capable de faire fonctionner un service sans avoir l'autorité de décider d'un droit contesté. Elle peut légalement détenir une sauvegarde sans être en droit d'utiliser les données à une autre fin. Elle peut être choisie à l'unanimité par ses pairs sans avoir acquis le contrat de l'opérateur concerné.

Les instruments publics ont évolué dans la bonne direction. Le Fonds de stabilité soutient la reprise. Les procédures de 2024 créent des concepts d'évaluation et de fournisseur d'urgence. Le projet de 2025 ajoute des déclencheurs, des limites de temps, une consultation et un rapport. Ce qui reste est un pont direct vers les personnes et les entreprises dont les réseaux dépendent du service.

Le NRO n'a pas besoin d'abandonner la planification de la continuité. Il a besoin de terminer la partie constitutionnelle du plan.

Le fossé du mandat est réparable avant la prochaine activation

La crise d'AFRINIC a déjà fourni l'hypothèse difficile: un registre régional peut avoir besoin d'aide tout en manquant d'un conseil incontesté capable de la demander. Le système ne devrait pas attendre une panne pour décider si un syndic peut autoriser le personnel pair, si le dépôt peut être libéré ou si un fournisseur temporaire peut effectuer des changements contestés.

La priorité immédiate est de publier un calendrier d'autorité orienté vers l'opérateur parallèlement au prochain texte de gouvernance ICP-2. Le calendrier devrait citer la source de chaque pouvoir, expliquer comment le droit national interagit avec les décisions de reconnaissance et identifier le traitement contractuel. Les propres conditions d'AFRINIC devraient être revues afin que l'autorité d'urgence préalable soit explicite et proportionnée.

La deuxième priorité est un test public qui exerce non seulement la restauration des données mais aussi la restauration des droits. Un opérateur peut-il s'authentifier? Peut-il voir son historique faisant autorité? Un changement contesté peut-il être suspendu et porté en appel? Le substitut peut-il restituer chaque enregistrement et chaque dossier en suspens? Une reprise techniquement réussie qui ne peut pas répondre à ces questions est incomplète.

La troisième priorité est de rendre le statut temporaire réel. La portée, le temps et le retour devraient être appliqués, pas seulement promis. Si une succession permanente devient nécessaire, elle devrait se dérouler selon le processus adopté de déreconnaissance et de reconnaissance plutôt que par des extensions d'urgence répétées.

Ces mesures augmenteraient plutôt que de diminuer la confiance dans le soutien du NRO. Les opérateurs sont plus susceptibles d'accepter une activation rapide lorsqu'ils connaissent son autorité et ses limites.

La continuité sans consentement est fragile; le consentement sans continuité est creux

Le débat ne devrait pas être présenté comme droit contre ingénierie. Un droit purement légal au service est de peu de confort si chaque enregistrement du registre est perdu. Une sauvegarde parfaite est dangereuse si personne ne peut dire qui peut l'activer ou corriger ses erreurs. Une infrastructure résiliente nécessite les deux.

Les mesures publiques du NRO montrent une préparation substantielle pour le financement, l'assistance technique et la coordination entre pairs. Elles montrent également une reconnaissance évolutive que l'exploitation d'urgence a besoin de publication, de consultation, d'une limite de temps et d'un examen. La faiblesse restante n'est pas l'hostilité envers les opérateurs. C'est l'absence, dans l'architecture publique adoptée, d'un mandat complet orienté vers l'opérateur pour la substitution de service.

Ce fossé peut être comblé par des conditions préalables, un pacte de gouvernance reconnu et une autorité juridique compétente. Le pacte n'a pas besoin d'accorder des veto individuels. Il devrait accorder un avis, une limitation de finalité, une correction, un recours, une portabilité et un retour, tout en autorisant une action étroitement nécessaire sous des déclencheurs objectifs.

La sauvegarde technique est bonne. L'entraide est bonne. Un fournisseur d'urgence préparé est bon. L'échec de gouvernance serait de laisser ces forces se substituer à la question sans réponse: sous quelle autorité le fournisseur agit-il sur les opérateurs qu'il est censé protéger?

Sources et limites analytiques

Cette analyse se base principalement sur lemémorandum du NRO, l'adhésion d'AFRINIC au NRO en 2005, leFonds conjoint de stabilité des RIR, lemessage de juillet 2022 des registres régionaux, lemémorandum ASO de 2019, lesprocédures d'évaluation ICP-2 de 2024, l'avis de ratification de l'ICANN, leprojet de document de gouvernance des RIR, version 2, lecalendrier d'examen du NRO, et lerapport de reconnaissance IANA 2005 pour AFRINIC.

Les documents cités établissent les engagements institutionnels publics, les règles proposées et les déclarations de leurs auteurs. Le projet de document de gouvernance n'a pas été traité comme adopté. Les archives publiques n'exposent pas tous les arrangements de dépôt, les cérémonies de sécurité, les contrats de service, les conditions de confidentialité, les instructions du syndic ou les préparations des registres pairs. Il est donc possible que des instruments privés répondent à certaines questions d'activation.

Cet article ne divulgue ni n'évalue les détails techniques protégés, et il ne conclut pas qu'un acte d'urgence particulier serait illégal sans examiner son instrument et le droit applicable. Sa conclusion est plus étroite: l'architecture publique adoptée ne démontre pas encore un mandat complet orienté vers l'opérateur pour l'ensemble des pouvoirs de service dont un substitut pourrait avoir besoin.