Résumé
- Les lettres de l'ICANN de juin et juillet 2025 adressées à l'administrateur judiciaire de l'AFRINIC avertissaient qu'un examen de conformité pourrait être nécessaire, liaient les irrégularités électorales et les préoccupations relatives aux enregistrements aux obligations de l'ICP-2, et exigeaient des réponses étayées. C'était un avertissement de reconnaissance, pas un plan de remplacement complet.
- La règle manquante ne concerne pas seulement qui peut être un opérateur d'urgence. Elle définit comment les services de registre, l'autorité des membres, les enregistrements, le matériel RPKI, le DNS inverse, les transferts, la facturation, les données confidentielles, les litiges et les contraintes judiciaires sont transférés pendant une urgence sans nuire aux détenteurs de ressources ordinaires.
- Une règle de remplacement devrait exiger des déclencheurs définis, le consentement de l'opérateur, la portée des services, le séquestre des données, des tests de portabilité, un avis public, la contribution de la communauté, des limites de temps, la rétrocession, un examen indépendant et un rapport post-événement avant qu'une menace de reconnaissance ne puisse être convertie en une transition de service.
Une menace sans point de réception
La phrase la plus importante après l'échec d'un registre n'est pas « le registre est en cours d'examen ». C'est « voici où le service fonctionnera demain ». Une région peut survivre à un conflit de conseil d'administration, à un procès, à une élection retardée ou même à un administrateur provisoire si les données d'enregistrement, les services d'assistance, le DNS inverse, le RPKI, les enregistrements de consultation publics, les transferts, la facturation et les communications avec les membres restent stables. Elle devient fragile lorsque l'examen de reconnaissance est mentionné sans point de réception visible pour la fonction publique.
L'AFRINIC a rendu cette distinction inévitable. En juin 2025, le registre régional africain était déjà enlisé depuis des années dans une crise juridique et de gouvernance. Les tribunaux de Maurice avaient nommé un administrateur judiciaire. Le registre manquait de gouvernance ordinaire par un conseil d'administration. Une élection destinée à rétablir le conseil a été suspendue puis annulée à la suite d'allégations concernant les pouvoirs de vote et les procurations. L'ICANN a alors écrit à l'administrateur nommé et a avisé l'AFRINIC qu'un examen de conformité pourrait être nécessaire.
L'avertissement n'était pas anodin. Dans la correspondance du25 juin 2025, l'ICANN a lié les allégations aux obligations découlant de l'ICP-2, a posé treize questions détaillées, a exigé une réponse étayée dans un délai d'un jour, a demandé la préservation des enregistrements et a déclaré que la situation pourrait soulever de sérieuses questions quant à la capacité de l'AFRINIC à continuer d'agir en tant qu'entité capable de gérer de manière responsable les ressources de numérotation. Dans la correspondance du3 juillet 2025, l'ICANN a déclaré que l'annulation de l'élection ne répondait pas à nombre de ses questions et s'est à nouveau réservé tous les droits d'engager un examen.
Cette correspondance avait un motif légitime de continuité. Un registre régional n'est pas une association privée ordinaire. Il maintient une surface de dépendance publique pour les enregistrements d'adresses et de systèmes autonomes. Si un processus électoral est compromis ou si les enregistrements ne sont pas préservés, les dégâts peuvent aller bien au-delà des personnes qui se battent devant les tribunaux. L'ICANN avait raison de poser des questions sur le soutien des membres, l'égalité de traitement, l'impartialité, l'indépendance et les sauvegardes des enregistrements.
Mais l'avertissement a également révélé la règle de remplacement manquante. Si l'ICANN était passée de l'avertissement à un examen formel, et si cet examen avait révélé une non-conformité importante, que se passerait-il exactement ensuite? L'AFRINIC perdrait-elle immédiatement sa reconnaissance? Un autre RIR n'exploiterait-il que les services techniques? L'administrateur resterait-il en place? Les membres continueraient-ils à payer l'AFRINIC? Les transferts continueraient-ils? Les certificats RPKI resteraient-ils valides? Les modifications du DNS inverse seraient-elles traitées?
Les enregistrements confidentiels seraient-ils copiés vers un opérateur temporaire? Les ordonnances judiciaires nationales lieraient-elles cet opérateur? Les détenteurs de ressources auraient-ils un moyen de contester un transfert erroné de leurs fichiers?
La réponse publique n'était pas assez claire. Les reportages de la presse à l'époque ont saisi le risque. The Register a rapporté le 26 juin 2025 que la lettre de l'ICANN avertissait d'un possible examen de conformité et que, si l'AFRINIC échouait à cet examen, l'ICANN pourrait demander à un autre RIR d'intervenir en tant que registre d'urgence pour l'Afrique. Cette phrase est une idée puissante. Ce n'est pas non plus une procédure. Une règle de remplacement crédible ne peut pas être une explication journalistique d'un éventuel soutien d'urgence. Elle doit être un document que les opérateurs peuvent exécuter et que les membres peuvent tester.
Le problème n'est pas que le remplacement d'urgence devrait être impossible. Le problème est qu'il devrait être difficile, étroit et prédéfini. Un opérateur temporaire peut préserver le service si l'entité juridique en place ne peut pas le faire. Le même opérateur temporaire peut créer une crise de légitimité si la sélection, le consentement, le transfert de données, la portée, la limite de temps et la rétrocession sont vagues. Dans une région déjà méfiante à l'égard du pouvoir extérieur, « un autre RIR interviendra » peut ressembler moins à une continuité qu'à un déplacement, à moins que la règle ne soit explicite.
Le point de réception doit donc être identifié avant que la menace ne soit utilisée. Pas nécessairement en nommant un successeur permanent à l'avance, mais en définissant quel type d'entité peut servir, qui doit être d'accord, quels services elle peut exploiter, quelles données elle peut recevoir, ce qu'elle ne peut pas décider, combien de temps elle peut agir et comment la communauté concernée est entendue. L'examen de reconnaissance sans règle de remplacement est la moitié d'un pont au-dessus d'une rivière profonde.
La crise électorale a fait de la continuité une question pratique
La crise de l'élection du conseil d'administration de l'AFRINIC n'était pas simplement une affaire interne à l'association. Le conseil d'administration d'un registre régional contrôle les budgets, la nomination des dirigeants, la supervision, la posture juridique, la responsabilité des membres et l'environnement de confiance autour des services techniques. Une élection contestée peut donc devenir un problème de service de registre même si les serveurs de base de données continuent de répondre.
La question de l'élection de juin 2025 comportait plusieurs facettes. L'ICANN a décrit des rapports selon lesquels les membres rencontraient des difficultés d'inscription. Elle a décrit une différence entre les limites ordinaires des procurations et les pouvoirs de vote en personne. Elle a relayé des rapports selon lesquels certaines procurations avaient été obtenues frauduleusement ou déposées sans autorisation. Elle a demandé si les listes des membres votants autorisés avaient été partagées à l'extérieur et si un tiers avait été autorisé à utiliser le logo de l'AFRINIC dans les communications de soutien aux candidats.
Elle a également demandé l'état de la conservation des enregistrements et des sauvegardes des données d'enregistrement et des dossiers des membres.
Ces questions montrent pourquoi l'intégrité électorale et la continuité du service sont liées. Une procuration falsifiée n'est pas la même chose qu'un transfert de ressources corrompu, mais les deux dépendent de la capacité de l'institution à reconnaître qui peut lier un membre. Une liste de membres divulguée n'est pas la même chose qu'une corruption de base de données, mais elle suggère une faiblesse de contrôle autour des informations confidentielles ou sensibles des membres. Une enquête peu claire n'est pas la même chose qu'une panne de service, mais elle affaiblit la confiance que les décisions futures seront impartiales et documentées.
En même temps, le lien a des limites. Une mauvaise élection ne signifie pas automatiquement que chaque enregistrement d'adresse n'est pas fiable. Un vote annulé n'exige pas automatiquement un nouveau registre. Une mauvaise communication de l'administrateur ne signifie pas nécessairement que le service d'assistance ne peut pas traiter les tickets de routine. Un vide temporaire au conseil d'administration ne justifie pas nécessairement le transfert de dossiers confidentiels à une autre organisation. La règle de remplacement doit respecter ces distinctions.
C'est là que de nombreux arguments de crise échouent. Un côté dit que la continuité exige de laisser l'opérateur en place tranquille parce que toute intervention extérieure risque de déstabiliser les services. L'autre côté dit que l'échec de la gouvernance prouve que l'opérateur en place doit être remplacé. Aucune des deux réponses n'est assez précise. La continuité exige une cartographie des services. Quels services fonctionnent? Quels services sont à risque? Quelles décisions sont contaminées par le défaut de gouvernance? Quels enregistrements nécessitent une préservation indépendante? Quels droits des membres doivent être vérifiés?
Quels changements peuvent continuer en toute sécurité? Quels changements doivent être suspendus?
Pour l'AFRINIC, une cartographie des services inclurait les données publiques d'enregistrement, les dossiers de comptes et de membres non publics, les délégations de DNS inverse, l'état de la certification des ressources, les transferts en attente, la facturation, les communications avec les membres, les dossiers d'autorité de l'entreprise, les enregistrements de politiques, les files d'attente du service d'assistance, les ordonnances judiciaires, les contrats avec les fournisseurs, l'accès aux banques et les identifiants.
Elle inclurait également les dépendances que d'autres acteurs utilisent pour s'appuyer sur les enregistrements de l'AFRINIC: intégration cloud, filtres de routage, diligence raisonnable, marchés publics et avis juridiques dans les transactions d'adresses.
Le NRO a reconnu la continuité dès la nomination de l'administrateur. Sadéclaration du 14 septembre 2023a salué l'administrateur comme une voie vers une gouvernance fonctionnelle et a déclaré que la nomination contribuerait à garantir que les membres continuent de recevoir les services de registre. C'était le bon cadre: préserver les services pendant que la gouvernance est rétablie. Mais une crise prolongée transforme la préservation temporaire en une question plus difficile. Si la préservation elle-même échoue, qui prend en charge uniquement les parties qui doivent continuer?
La règle doit pouvoir répondre sans dramatiser chaque défaut comme un remplacement. Elle devrait commencer par le triage des services, et non par la condamnation institutionnelle.
Le service d'urgence n'est pas une gouvernance de succession
Un opérateur d'urgence n'est pas un nouveau gouvernement régional. Il devrait être un fournisseur de services temporaire avec une autorité étroitement limitée. Il peut exploiter un service d'assistance, tenir à jour les enregistrements, traiter les changements de routine définis, préserver la continuité du DNS inverse et du RPKI, conserver les données en toute sécurité et rendre compte des indicateurs de service. Il ne devrait pas réécrire la politique régionale, restructurer les droits des membres, régler les litiges privés sur les ressources, prendre parti dans les élections ou devenir l'institution de services permanente par défaut.
Le projet de document de gouvernance des RIR version 2 du NRO va dans le sens de cette distinction. Il définit un opérateur d'urgence comme une entité qualifiée sélectionnée pour fournir temporairement des services de RIR. Il indique que la continuité d'urgence peut être déclenchée lorsqu'un RIR ne peut pas fournir adéquatement tout ou partie de ses services.
Il exige l'accord unanime de tous les autres RIR et de l'ICANN, une discussion avec le RIR concerné et sa communauté dans la mesure du possible, la publication rapide de la justification et de la portée, la participation de la communauté, la coopération lors de la passation, le droit du RIR concerné de reprendre les services une fois la capacité rétablie et vérifiée, et une limite initiale de quatre-vingt-dix jours, renouvelable en vertu de la même section.
Ce cadre est utile parce qu'il rejette l'idée que le remplacement n'est qu'une prise de contrôle institutionnelle. Il traite le service d'urgence comme temporaire, délimité et révisable. Il exige également un examen après l'événement, comprenant un rapport public sur les circonstances, les services fournis, la durée, le processus de retour, la performance de l'opérateur, les retours d'information et les améliorations.
Les détails restent décisifs. L'exploitation temporaire nécessite toujours des identifiants, des enregistrements, des connaissances du personnel, des procédures, des limites de protection des données, l'autorité pour répondre aux demandes, des attentes de niveau de service et des règles de conflit. Si ceux-ci ne sont pas préparés, un opérateur d'urgence peut être techniquement disposé mais pratiquement aveugle.
Il peut ne pas avoir de copie à jour des dossiers d'autorité des membres, d'état validé des transferts en attente, de moyen sûr de signer ou de modifier les éléments de certification des ressources, de connaissance des comptes soumis à des restrictions judiciaires et de moyen de vérifier qui peut lui donner des instructions.
L'opérateur d'urgence a également besoin d'un mandat de non-gouvernance. Il devrait pouvoir traiter une mise à jour de contact de routine si l'autorité du membre est vérifiée. Il ne devrait pas décider si un candidat contesté au conseil d'administration a été légalement exclu. Il devrait pouvoir préserver l'état d'un transfert en attente. Il ne devrait pas statuer sur les mérites commerciaux du transfert si le registre en place n'avait pas pris de décision. Il devrait pouvoir maintenir les délégations de DNS inverse en vie. Il ne devrait pas imposer une nouvelle politique régionale de DNS inverse. Il devrait pouvoir publier une page d'état.
Il ne devrait pas faire campagne pour une faction de gouvernance.
La crise de l'AFRINIC est précisément le cas où cette limite serait importante. Si un autre RIR avait été invité à fournir des services d'urgence, les membres africains demanderaient raisonnablement si ce RIR ne faisait que maintenir la fonction utilitaire ou absorbait l'autorité régionale. Les tribunaux de Maurice demanderaient si l'opérateur temporaire respectait les ordonnances locales. Les autres RIR demanderaient s'ils assumaient une responsabilité pour les enregistrements contestés. Les détenteurs de ressources demanderaient si leurs enregistrements confidentiels avaient été déplacés et sur quelle base juridique.
La règle devrait stipuler que le service d'urgence n'est pas une gouvernance de succession. La question de la gouvernance de succession peut se poser ultérieurement en cas de perte de reconnaissance, mais elle ne doit pas être introduite clandestinement dans un pont de service de quatre-vingt-dix jours. Ce pont devrait maintenir les lumières allumées, préserver les preuves, empêcher les dommages irréversibles et gagner du temps pour une restauration légale ou une transition justifiée séparément.
Le consentement de l'opérateur ne peut pas être présumé
La phrase « un autre RIR pourrait intervenir » cache un problème de consentement difficile. Un registre régional n'est pas une instance cloud de rechange. C'est une entité juridique avec son propre conseil d'administration, ses membres, ses lois, son appétit pour le risque, ses capacités en personnel, son budget, ses assurances, ses obligations de protection des données et sa responsabilité régionale. Lui demander d'exploiter des services pour une autre région pendant une crise soulève des risques opérationnels et politiques.
L'opérateur doit consentir en connaissance de cause. Il doit comprendre la portée des services, les enregistrements à recevoir, les contraintes juridiques, le financement, l'indemnisation, les obligations de confidentialité, les tâches techniques, les besoins linguistiques, les limites de temps, les obligations de rapport et les conditions de sortie. Il doit savoir s'il est censé fournir uniquement une continuité technique ou gérer des décisions tournées vers les membres. Il doit savoir si ses propres membres en supporteront les coûts. Il doit savoir si la région concernée peut contester ses actions.
Le consentement des autres RIR compte également collectivement. Le projet du NRO exige l'accord unanime de tous les autres RIR et de l'ICANN pour la continuité d'urgence. C'est une sauvegarde solide. Elle réduit le risque qu'un acteur extérieur puisse installer un opérateur favorisé. Elle oblige également le système à se confronter à la capacité et à la légitimité avant d'agir.
Mais l'unanimité a un coût. Dans une panne rapide, obtenir un accord unanime peut être lent. Dans un cas politiquement chargé, un RIR peut hésiter en raison de la responsabilité ou de la réputation. La règle devrait donc distinguer la préparation de l'activation. La préparation peut être effectuée à l'avance: inventaire des services, attentes en matière de séquestre, conditions de confidentialité standard, qualifications des opérateurs temporaires, formules de financement, modèles de communication, listes de contrôle juridiques et tests.
L'activation peut alors être plus étroite et plus rapide parce que les acteurs ne sont pas en train d'inventer les conditions sous pression.
Le consentement du registre concerné est plus compliqué. Si le registre peut coopérer de manière adéquate, le soutien d'urgence devrait être discuté avec lui et sa communauté. Si le registre est incapable de coopérer en raison d'une paralysie de gouvernance, d'une restriction judiciaire ou de mauvaise foi, la règle peut nécessiter une voie sans consentement total de l'opérateur en place. Mais cette voie devrait être exceptionnelle et expliquée.
Elle devrait identifier pourquoi la coopération n'était pas raisonnablement possible, sur quelle base juridique la passation limitée est autorisée, et comment le registre concerné peut reprendre les services une fois la capacité rétablie.
Le consentement des membres n'est pas non plus monolithique. Les membres de la région concernée ne parlent pas d'une seule voix. Certains peuvent craindre l'opérateur en place, certains peuvent craindre le contrôle extérieur, certains peuvent vouloir une restauration rapide du service, certains peuvent être des plaideurs, et beaucoup peuvent simplement avoir besoin d'une stabilité de routine. Une règle qui exige un consensus régional total rendrait l'action d'urgence impossible. Une règle qui ignore les points de vue des membres manquerait de légitimité.
La meilleure réponse est une contribution structurée: un avis, de courtes fenêtres de rétroaction lorsque c'est possible, des canaux protégés pour les preuves, un résumé publié des préoccupations et un examen après l'événement.
Dans l'AFRINIC, le consentement de l'opérateur et la légitimité des membres seraient particulièrement sensibles parce que la crise impliquait déjà des allégations concernant les pouvoirs de vote, les procurations et les listes de membres. Tout opérateur d'urgence devrait éviter de s'appuyer sur les mêmes dossiers d'autorité contestés sans vérification. Il aurait également besoin d'un plan de communication qui atteigne les membres directement par le biais des coordonnées conservées tout en protégeant la confidentialité.
Le consentement n'est donc pas une signature cérémonielle. C'est la différence entre la continuité du service et l'occupation contestée. La règle de remplacement devrait le traiter comme une infrastructure.
La portabilité des enregistrements est l'actif central
La chose la plus importante qui bouge dans une urgence de registre n'est pas la marque, le bureau ou les procès-verbaux du conseil d'administration. C'est l'état actuel des enregistrements. Si les enregistrements sont incomplets, périmés, contestés, non portables ou juridiquement inaccessibles, aucun opérateur d'urgence ne peut fournir un service crédible. Il héritera d'un brouillard.
La portabilité des enregistrements a plusieurs couches. La couche publique comprend les entrées d'enregistrement visibles par les services d'annuaire, les attributions et allocations de ressources, les rôles de contact, les références liées au routage et les délégations de DNS inverse. La couche protégée comprend les identifiants de compte, les preuves d'autorité, les dossiers des membres, les enregistrements de facturation, les documents juridiques, les vérifications d'identité, les contacts non publics, les tickets en attente, les preuves de transfert, les dossiers de litige et les contraintes judiciaires.
La couche de confiance technique comprend le matériel de certification des ressources, l'état du référentiel, les accords de signature, les détails de zone inverse et les identifiants opérationnels. La couche de gouvernance comprend le statut des membres, l'autorité de vote, les enregistrements du conseil et des comités, les documents de politique et l'historique des décisions.
Chaque couche a un problème de portabilité différent. Les données publiques peuvent être copiées, mais peuvent ne pas indiquer qui peut ordonner des modifications. Les données protégées peuvent être nécessaires, mais doivent être traitées dans le respect des règles de confidentialité et de protection des données. Le matériel de confiance technique peut nécessiter une gestion prudente des clés et du référentiel; un mouvement négligent peut briser la validation ou créer une autorité en double. Les enregistrements de gouvernance peuvent être contestés; les déplacer sans annotation peut transformer une autorité contestée en fait accepté.
Le texte de l'ICP-2 de 2001 reconnaissait déjà la tenue des enregistrements comme essentielle. Il exigeait des registres appropriés des activités du registre et l'archivage des informations recueillies auprès des LIR lors de l'attribution des espaces d'adressage, décrivant ces données comme nécessaires pour l'évaluation future et la vérifiabilité des opérations neutres responsables. Cette exigence n'a pas été rédigée comme une règle de portabilité complète, mais elle indique la vérité centrale: la continuité du registre dépend des enregistrements qui peuvent être audités.
La lettre de l'ICANN de 2025 à l'AFRINIC demandait à l'administrateur de confirmer l'état de la conservation des enregistrements et des sauvegardes des données d'enregistrement et des dossiers des membres. Cette question est au centre de toute règle de remplacement. Si les sauvegardes ne sont conservées qu'au sein de l'institution en difficulté, la continuité d'urgence peut être impossible. Si les sauvegardes existent mais ne peuvent pas être utilisées légalement, la continuité est théorique.
Si les sauvegardes sont à jour mais manquent de preuves d'autorité, les consultations de routine peuvent continuer tandis que les actions des membres deviennent dangereuses.
La portabilité devrait être testée avant la crise. Un registre devrait pouvoir produire un inventaire des services et un ensemble de séquestre chiffré à jour sous des contrôles clairs. L'ensemble de séquestre ne devrait pas être un vidage de données publiques. Il devrait être suffisamment structuré pour qu'un opérateur d'urgence puisse identifier les enregistrements publics actuels, les changements en attente, les dossiers d'autorité, les catégories de confidentialité, le matériel de confiance technique, l'état du DNS inverse, les tickets de service et les litiges. Il devrait être testé pour la restauration dans un environnement contrôlé.
Le test n'est pas la même chose que l'utilisation. Un opérateur d'urgence n'a pas besoin d'accéder aux enregistrements confidentiels en temps normal. Mais un auditeur indépendant peut vérifier que le séquestre existe, qu'il est à jour, que les contrôles d'accès sont fonctionnels et qu'une restauration serait possible si le déclencheur se produit. Le rapport peut publier des catégories de réussite, d'échec et d'exception sans exposer les secrets des membres.
L'AFRINIC a montré pourquoi ce n'est pas abstrait. Une crise concernant l'autorité de vote, un accès possible à des listes et des sauvegardes d'enregistrements soulève immédiatement la question de savoir si l'état des enregistrements est suffisamment fiable pour être déplacé. Une règle de remplacement doit dire comment les enregistrements contestés sont transférés: avec annotation, gel, validation indépendante ou exclusion de l'action de routine jusqu'à résolution. Elle doit empêcher qu'un transfert ne blanchisse une autorité incertaine en un état opérationnel propre.
La portabilité des enregistrements est donc l'actif central du remplacement. Sans elle, l'opérateur d'urgence n'est qu'un nom. Avec elle, le remplacement devient un acte de préservation discipliné plutôt qu'un acte politique.
L'état des données doit voyager avant l'autorité
L'autorité devrait suivre l'état des données, et non le précéder. Dans une urgence de registre, le système devrait d'abord définir l'état du service à préserver, puis décider quel opérateur peut légalement et techniquement le préserver. Si l'autorité est déplacée en premier, le nouvel opérateur peut être contraint de prendre des décisions sans savoir ce qu'il contrôle.
Un dossier de migration devrait contenir une cartographie actuelle des services. Il devrait énumérer les services de registre publics, les dossiers non publics des membres et des détenteurs de ressources, les services de confiance technique, les responsabilités de DNS inverse, les demandes en attente, les litiges en cours, les ordonnances judiciaires, les dépendances en matière de personnel et de fournisseurs, les identifiants, la surveillance, l'état des sauvegardes et les canaux de communication. Pour chaque catégorie, il devrait indiquer si le service n'est pas affecté, à risque, gelé, restreint, contesté ou indisponible.
Le dossier devrait également identifier les états des transactions. Les transferts en attente sont particulièrement sensibles. Un transfert peut être demandé, en cours d'examen, en attente de preuves, approuvé mais non finalisé, contesté, bloqué par une ordonnance judiciaire ou retardé pour des frais. Si ces états sont perdus, les acheteurs et les vendeurs peuvent être confrontés à un double dépôt, des promesses contradictoires ou une perte de priorité. Un opérateur temporaire ne devrait pas avoir à déduire l'état à partir de fragments de courriels.
Le RPKI et le DNS inverse nécessitent leurs propres dossiers de transition. Pour la certification des ressources, l'opérateur doit connaître les relations d'autorité de certification, les points de publication, l'état du référentiel, les ROA, les attentes de validation et les limites de révocation d'urgence. Pour le DNS inverse, l'opérateur doit connaître les délégations de zone parente, les enregistrements DS le cas échéant, l'état des serveurs de noms et les modifications en attente. Ces services peuvent affecter la sécurité du routage, la réputation de la messagerie, les diagnostics de réseau et l'intégration cloud.
Ils ne peuvent pas être transférés par un langage d'entreprise général seul.
La facturation et la situation des membres comptent également. Si les membres doivent continuer à payer pour préserver le service, ils doivent savoir à qui payer et comment les paiements sont crédités. Si la bonne situation d'un membre est contestée parce que les comptes bancaires ont été gelés ou que les factures ont été retardées, un opérateur temporaire ne devrait pas transformer cette incertitude en perte de droits de vote ou de service sans examen.
Le dossier de migration devrait préserver le contexte juridique. Les ordonnances judiciaires nationales peuvent restreindre les actifs, les décisions de gouvernance, les communications ou les actions sur les ressources. L'opérateur d'urgence doit savoir quelles ordonnances existent et comment elles affectent le service. Il ne devrait pas supposer qu'une décision de l'ICANN ou du NRO efface le droit local. Une ordonnance locale ne devrait pas non plus être interprétée comme détruisant la continuité du service mondial lorsqu'une conformité plus étroite est disponible.
La règle devrait définir un point de gel. Au moment où la continuité d'urgence commence, les changements ordinaires peuvent nécessiter une brève pause contrôlée pendant que l'état est rapproché. La pause devrait être courte et publiée. Les changements d'urgence qui empêchent la perte de service devraient rester possibles. Une fois l'état confirmé, les services de routine à faible risque devraient reprendre sous le mandat limité de l'opérateur temporaire.
C'est pourquoi la règle de remplacement ne peut pas être uniquement juridique. Elle est opérationnelle. C'est une procédure pour déplacer un système d'enregistrement vivant sans perdre le présent. La règle devrait être testée comme un exercice d'urgence. Si les acteurs ne peuvent pas reconstituer l'état actuel lors d'un test, ils ne peuvent pas promettre la continuité en cas de crise.
Les membres ont besoin d'une procédure de migration, pas d'un slogan
Pour les membres et les détenteurs de ressources, le remplacement se traduit par une séquence de questions pratiques. Où dois-je me connecter? Qui peut signer? Ma facture compte-t-elle? Puis-je mettre à jour un contact d'abus? Puis-je modifier une délégation de DNS inverse? Mon état RPKI est-il valide? Un transfert en attente peut-il être clôturé? Mes documents confidentiels seront-ils déplacés? Quelle loi protège mes données? Que se passe-t-il si l'ancien registre et l'opérateur temporaire donnent des réponses différentes?
Une règle de remplacement devrait répondre à ces questions à l'avance. L'avis public devrait indiquer l'opérateur d'urgence, l'heure de début, la portée des services, les services non affectés, les services suspendus, les contacts d'urgence, la méthode d'authentification des membres, le résumé de la protection des données, la notation des litiges, le traitement de la facturation, la durée prévue et la voie de recours. Il devrait éviter les affirmations générales de sauvetage institutionnel et se concentrer sur la continuité du service.
L'authentification mérite une attention particulière. Si la crise implique une autorité de membre contestée, l'opérateur temporaire ne peut pas se fier aveuglément aux utilisateurs existants du portail ou aux procurations. Il devrait utiliser une méthode de vérification en couches: enregistrements actuels du registre, contacts précédemment vérifiés, preuves d'autorité d'entreprise si nécessaire, confirmation multi-contacts pour les changements à haut risque et indicateurs de litige lorsque l'autorité est contestée. Les corrections publiques à faible risque peuvent nécessiter des preuves plus légères.
Les transferts à haut risque ou les modifications de la confiance technique exigent une preuve plus solide.
La procédure devrait préserver les droits existants sans les étendre. Un détenteur de ressources ne devrait pas acquérir un droit de transfert simplement parce que la continuité d'urgence commence. Il ne devrait pas non plus perdre un service reconnu simplement parce que la gouvernance est en cours d'examen. L'opérateur temporaire devrait maintenir le statu quo des enregistrements, sauf si un changement défini et vérifié est autorisé. Ce statu quo devrait inclure la notation des litiges lorsque l'enregistrement est contesté.
Les communications devraient être directes et multilingues lorsque la région l'exige. Une crise dans la région de l'AFRINIC couvre de nombreux pays, systèmes juridiques et communautés d'opérateurs. L'anglais peut rester la langue officielle du système de registre pour l'examen principal, mais la continuité tournée vers les membres nécessite des avis clairs et accessibles. La règle devrait définir des canaux de communication minimum: avis sur le site Web, courriel direct aux contacts vérifiés, page d'état publique, instructions du service d'assistance et rapports périodiques.
Les membres ont également besoin d'un moyen de soumettre des preuves. Si le dossier de contact d'un membre est erroné, si une demande en attente est manquante, si une procuration est falsifiée, si un état de transfert est mal enregistré ou si une ordonnance judiciaire affecte ses ressources, l'opérateur temporaire a besoin d'une voie de triage. La voie devrait être rapide, documentée et limitée aux faits de continuité. Elle ne devrait pas devenir un forum général pour les arguments politiques.
La procédure devrait également protéger le personnel. Dans de nombreuses crises de registre, le personnel maintient les services en marche pendant que les conseils, les tribunaux et les factions publiques se battent. Un opérateur temporaire peut avoir besoin de la coopération du personnel en place, mais celui-ci peut être confronté à des instructions contradictoires. La règle devrait indiquer comment le personnel peut fournir des informations de continuité, préserver les enregistrements et éviter une exposition personnelle.
Elle ne devrait pas obliger les employés individuels à choisir entre les ordonnances nationales et les attentes de continuité mondiale sans clarté juridique.
Un slogan dit « un autre RIR peut intervenir ». Une procédure de migration dit comment chaque membre vit le lundi matin. C'est ce dernier qui est nécessaire à la continuité.
Ce que l'ICANN peut légitimement exiger
L'exigence légitime de l'ICANN dans une crise de type AFRINIC est la preuve de la capacité de service, de la neutralité et de la continuité. Elle peut demander si les enregistrements sont préservés, si les membres sont traités sur un pied d'égalité, si la gouvernance peut être rétablie, si l'influence indue est contenue, si les services de base fonctionnent, si les sauvegardes sont à jour, si le personnel a l'autorité d'agir et si la communauté de la région reçoit des informations véridiques. Ces demandes sont conformes à la fonction que l'ICANN exerce dans la coordination du système reconnu des RIR.
L'ICANN ne devrait pas exiger de loyauté politique, un résultat électoral privilégié, la défaite d'un plaideur particulier ou une position politique choisie à Los Angeles. Elle ne devrait pas utiliser la reconnaissance pour punir une région qui n'est pas d'accord avec un acteur mondial. Elle ne devrait pas convertir une préoccupation concernant l'influence d'un membre en autorité pour approuver chaque modification des statuts. La limite est le risque de service et le devoir reconnu.
La lettre de juin 2025 était la plus forte là où elle nommait des devoirs concrets: soutien de la communauté, égalité de traitement, impartialité, indépendance, ouverture des adhésions, tenue des registres et sauvegardes. Elle était plus vulnérable là où elle évoquait des préoccupations concernant des influences qui pourraient amener la politique de l'AFRINIC à des positions contraires à la coordination mondiale. Cela peut être une préoccupation légitime si l'influence compromet le service impartial ou le système de numérotation. Cela nécessite un énoncé de preuve précis pour éviter de donner l'impression d'une police de la politique.
Une règle de remplacement aide l'ICANN à formuler de meilleures exigences. Au lieu de poser des questions générales sous pression, l'ICANN peut associer chaque demande à un déclencheur connu et à une conséquence de service. « Fournir l'état des sauvegardes des enregistrements parce que la continuité d'urgence nécessite une portabilité vérifiée des enregistrements. » « Fournir les résultats de l'enquête sur l'autorité des membres parce que la gouvernance de routine et les actions à haut risque des membres dépendent d'une autorité vérifiée.
» « Fournir des mesures de service parce que l'examen formel nécessite la preuve de la capacité opérationnelle. » Cela rend la demande moins politique et plus responsable.
L'ICANN peut également exiger la préservation. La destruction ou l'altération des dossiers électoraux, des enregistrements de ressources, des preuves d'autorité, des sauvegardes, des journaux de tickets ou du matériel de confiance technique menacerait l'examen et la continuité. Un avis de préservation est justifié lorsque des preuves crédibles de crise apparaissent. L'avis devrait indiquer les catégories, les dépositaires, la méthode de conservation et la confidentialité.
L'ICANN peut exiger la transparence de l'administrateur ou de l'organe directeur parce que la confiance du public fait partie de la légitimité du service du RIR. Mais la transparence doit être calibrée. Certains détails d'enquête, données personnelles, identifiants et dossiers confidentiels des membres ne peuvent pas être publiés. La demande devrait porter sur un compte rendu d'état public, et non sur une divulgation imprudente.
Enfin, l'ICANN peut exiger un plan de remédiation. Si le registre concerné peut rétablir la gouvernance, vérifier l'autorité des membres, préserver les enregistrements, réparer les services et se soumettre à un audit, le remplacement devrait rester inutile. La règle devrait faire de la remédiation le résultat préféré. Le remplacement n'est pas une victoire. C'est une réponse à un échec contrôlé.
Ce qu'une règle de remplacement devrait dire
La règle de remplacement devrait commencer par des déclencheurs. La continuité d'urgence ne devrait être disponible que lorsqu'un RIR ne peut pas fournir adéquatement tout ou une partie définie de ses services, ou lorsque la fourniture continue crée un risque important pour les enregistrements, la neutralité ou l'intégrité du service qui ne peut pas être résolu par des mesures plus étroites. La perte de reconnaissance formelle devrait nécessiter un seuil distinct et plus élevé.
Elle devrait définir les opérateurs éligibles. Un opérateur devrait être un RIR qualifié ou une autre entité approuvée ayant la capacité technique, la capacité juridique, les contrôles de protection des données, la capacité financière, l'indépendance par rapport au litige, les divulgations de conflits, l'expérience de service et l'accord avec le mandat temporaire. L'organe directeur de l'opérateur lui-même devrait approuver le rôle selon ses propres règles.
Elle devrait définir le consentement et l'approbation. L'exploitation d'urgence devrait nécessiter l'accord de l'ICANN et des autres RIR, une discussion avec le RIR concerné et sa communauté dans la mesure du possible, et des raisons publiées si une discussion complète n'est pas possible. La succession permanente ou la perte de reconnaissance devrait nécessiter la voie de proposition distincte et des recommandations publiées.
Elle devrait définir la portée des services. L'avis devrait énumérer les services que l'opérateur fournira: consultation publique, service d'assistance, mises à jour de contacts, traitement des transferts, DNS inverse, certification des ressources, facturation, communications, préservation des enregistrements, soutien politique ou seulement un sous-ensemble. Tout ce qui n'est pas énuméré reste en dehors du mandat temporaire.
Elle devrait définir le mouvement des données. Le registre concerné devrait régulièrement séquestrer un ensemble actuel et restaurable d'enregistrements nécessaires sous des contrôles indépendants. L'accès devrait être déclenché par un événement, journalisé, limité par la confidentialité et examiné après utilisation. Les enregistrements contestés devraient être déplacés avec annotation plutôt que d'être silencieusement normalisés.
Elle devrait définir l'authentification des membres. Les demandes de routine à faible risque, les modifications de ressources à haut risque, les instructions de transfert, les litiges de facturation et l'autorité de vote nécessitent chacun des preuves différentes. Une crise impliquant des procurations ne devrait pas utiliser les procurations comme seule voie d'autorité sans vérification.
Elle devrait définir la continuité de la confiance technique. Le RPKI, le DNS inverse et les services d'annuaire nécessitent des étapes de passation spécifiques, y compris des points de gel, des vérifications de validation, l'état du référentiel, l'état des délégations, les contacts d'urgence, la conservation des anciens services et les critères de retour.
Elle devrait définir les limites de temps et le renouvellement. La période de départ de quatre-vingt-dix jours du projet du NRO est une base utile, mais le renouvellement devrait exiger des raisons actualisées, des preuves de performance, les commentaires de la communauté et un plan de rétrocession ou d'escalade.
Elle devrait définir l'examen. Le registre concerné, les détenteurs de ressources concernés et l'opérateur temporaire devraient avoir des moyens de contester la portée, les erreurs, les excès ou les instructions dangereuses. L'examen doit être assez rapide pour être utile pendant l'urgence.
Elle devrait définir la rétrocession. Le RIR concerné devrait reprendre les services une fois la capacité opérationnelle rétablie et vérifiée. La rétrocession devrait inclure un rapprochement de l'état, un audit, un avis aux membres, des vérifications techniques, un rapport d'incident et des leçons pour la prochaine urgence.
La règle devrait être suffisamment détaillée pour être exécutable, mais suffisamment restreinte pour ne pas centraliser l'autonomie ordinaire du registre. C'est l'équilibre que l'AFRINIC a mis en évidence.
La dépendance ordinaire a besoin de sa propre protection
La circonscription la moins visible dans une crise de reconnaissance est souvent la plus importante: le détenteur de ressources ordinaire qui n'a pas causé le litige. Un petit fournisseur d'accès, un réseau universitaire, un entité à un point d'échange régional, un hébergeur de contenu, une banque, un hôpital, un réseau de recherche ou un organisme public peut n'avoir aucun rôle dans une lutte de conseil d'administration et aucun appétit pour un argument institutionnel mondial.
Il dépend toujours du registre pour maintenir des enregistrements précis, des contacts joignables, des modifications de DNS inverse, l'état de certification des ressources, les données de contact d'abus, la situation du compte et la preuve que ses ressources de numérotation restent détenues légitimement.
Cette dépendance ordinaire est la raison pour laquelle le remplacement ne peut pas être conçu uniquement pour les conseils, les administrateurs, les tribunaux et les organismes de coordination mondiaux. La règle doit protéger les personnes qui subissent l'échec du registre comme une interruption, une incertitude et un risque transactionnel.
Si le seul message public est que l'ICANN peut examiner la reconnaissance et qu'un autre opérateur peut intervenir, les membres sont laissés à deviner si leurs services quotidiens seront interrompus, si leurs identifiants existants restent valides, si un transfert déjà en cours d'examen sera honoré, si les documents confidentiels seront copiés et si les changements de routine deviennent des preuves dans un conflit politique.
Le problème de la dépendance est pratique. Les opérateurs de réseau utilisent les enregistrements du registre pour filtrer les routes, évaluer les clients, enquêter sur les abus, démontrer leurs droits de ressources aux fournisseurs, répondre aux questions d'approvisionnement, prouver la continuité aux banques et aux assureurs, et satisfaire à la diligence raisonnable dans les transactions. Même lorsque les paquets continuent de circuler, une crise de légitimité du registre peut faire hésiter des tiers. Un fournisseur cloud peut demander des preuves de ressources plus claires. Un acheteur peut retarder un transfert.
Un prêteur peut déprécier les actifs d'adresses. Un acheteur gouvernemental peut mettre en doute le contrôle des ressources par un fournisseur. Une équipe de sécurité peut considérer les enregistrements de registre obsolètes comme un signal de risque. Ces effets ne sont pas des pannes spectaculaires, mais ce sont des coûts réels.
Une règle de remplacement devrait donc définir un bouclier de dépendance. Pendant l'exploitation d'urgence, aucun détenteur de ressources ne devrait perdre le service reconnu, la situation du compte ou les droits de routine uniquement parce que la reconnaissance est en cours d'examen. L'opérateur temporaire devrait préserver le dernier état vérifié des ressources, marquer les enregistrements contestés si nécessaire et maintenir les services de routine à faible risque dès qu'une courte pause de rapprochement est terminée.
Les changements à haut risque peuvent nécessiter des preuves plus solides, mais la dépendance ordinaire ne devrait pas être gelée indéfiniment parce qu'un dossier électoral est contesté.
Le bouclier devrait également dire ce qui reste valide. Les enregistrements publics d'enregistrement existants devraient rester accessibles publiquement, sauf si un enregistrement particulier est connu pour être dangereux. L'état existant de la certification des ressources devrait être préservé pendant les vérifications de transition. Les délégations de DNS inverse existantes devraient rester actives, sauf s'il existe une raison de sécurité ou juridique de les modifier. Les tickets existants devraient conserver leur place dans la file d'attente avec un statut visible.
Les factures et les paiements existants devraient être rapprochés plutôt que rejetés. Les soumissions confidentielles existantes devraient rester confidentielles en vertu des obligations de l'opérateur temporaire.
Cette approche protège les deux côtés de l'argument de légitimité. Elle empêche un opérateur défaillant de prendre les membres en otage en disant que tout soutien extérieur détruirait le service. Elle empêche également un acteur extérieur d'utiliser la continuité du service comme prétexte pour réorganiser les droits des membres. La base est la préservation. Le changement nécessite une raison définie, une voie d'autorité définie et un enregistrement qui peut être examiné.
Le bouclier de dépendance devrait inclure une suspension des actions punitives. Pendant la période d'urgence initiale, l'opérateur temporaire ne devrait pas suspendre les ressources, annuler l'adhésion, rejeter le renouvellement, clôturer un transfert ou modifier la situation d'un membre en raison d'enregistrements affectés par la crise, à moins que la sécurité immédiate, le respect d'une ordonnance judiciaire ou une fraude évidente n'exigent une action.
Les frais peuvent toujours être perçus et les obligations de routine peuvent toujours être maintenues, mais l'opérateur ne devrait pas convertir la confusion administrative en perte de droits.
La notation des litiges est préférable à la normalisation silencieuse. Si deux parties revendiquent l'autorité sur le même compte de membre, l'opérateur temporaire devrait marquer le compte comme litigieux, autoriser les services de continuité à faible risque lorsque c'est sûr et exiger des preuves plus solides pour les changements à haut risque. Si un dossier de transfert est incomplet parce qu'une ordonnance judiciaire ou un problème d'accès du personnel a interrompu l'examen, le dossier devrait être préservé avec son état décrit.
Si une procuration est mise en doute, elle ne devrait pas être acceptée ou rejetée par défaut simplement parce qu'elle se trouvait dans l'ensemble d'enregistrements. Elle devrait être examinée conformément à la règle d'authentification d'urgence.
La même protection devrait s'appliquer aux données. Les membres devraient savoir quelles catégories de leurs informations peuvent être consultées par l'opérateur d'urgence, pourquoi l'accès est nécessaire, quelles obligations de confidentialité s'appliquent, où les données seront stockées, comment l'accès est journalisé, quand les données seront retournées ou supprimées et comment un membre peut signaler une erreur. Ce n'est pas une hygiène juridique facultative. Dans une région de services multi-pays, la confiance dans le traitement des données fait partie de la confiance dans le remplacement lui-même.
La dépendance ordinaire a également besoin de mesures publiques. Un opérateur temporaire devrait rendre compte des volumes de tickets, de la disponibilité du service, du délai d'exécution des demandes de routine, des catégories de services suspendus, du nombre de litiges, de l'état de la confiance technique et des jalons de rétrocession attendus. Le rapport ne devrait pas exposer les dossiers sensibles des membres. Il devrait donner aux membres suffisamment d'informations pour décider si le pont fonctionne. Le silence engendre la rumeur, et la rumeur augmente les coûts de transaction.
La crise de l'AFRINIC montre pourquoi cette protection est centrale. Les détenteurs de ressources de la région n'avaient pas besoin d'un débat théorique sur l'autorité de reconnaissance. Ils avaient besoin que le registre fonctionne, que les enregistrements restent crédibles et que tout plan de continuité extérieur respecte les droits régionaux. Une règle de remplacement qui ignore la dépendance ordinaire sera jugée non par sa théorie institutionnelle mais par la question de savoir si les membres peuvent toujours exploiter leurs réseaux le lundi matin.
Le risque de ne rien faire
Le risque n'est pas seulement qu'un registre défaillant puisse nuire à la région. Le risque est qu'un pouvoir de sauvetage non défini nuise à la région en essayant d'aider. Une menace vague peut augmenter les coûts de transaction, approfondir les factions, alarmer les tribunaux, geler les investissements, encourager les litiges opportunistes et amener chaque membre ordinaire à se demander si son service est sur le point de changer. Un opérateur d'urgence vague peut créer des problèmes de données, de responsabilité et de légitimité qui survivent à la crise.
Ne rien faire protège également trop les opérateurs en place. Si aucune règle de remplacement n'existe, un registre en crise peut soutenir que tout déménagement serait trop dangereux. Il peut utiliser l'absence de plan comme bouclier contre l'examen. Cela crée un aléa moral. Plus le plan de continuité est mauvais, plus l'opérateur en place semble indispensable. Une institution critique ne devrait pas devenir immunisée parce que le remplacement serait difficile.
La bonne réponse n'est pas l'intervention agressive. C'est la préparation. Le système devrait rendre le remplacement moins attrayant mais plus possible. Moins attrayant, parce que la remédiation, l'audit et des sauvegardes étroites devraient résoudre la plupart des problèmes avant la transition. Plus possible, parce que les enregistrements, les cartographies de services et les règles des opérateurs devraient exister si la fonction publique ne peut vraiment pas continuer.
La crise de l'AFRINIC a déjà montré le coût d'une conception tardive. Les lettres, les dépôts judiciaires, les reportages des médias, les allégations des membres et les concepts d'urgence sont arrivés alors que les services devaient encore fonctionner. C'est le pire moment pour décider qui peut détenir des enregistrements, qui peut authentifier les membres, qui paie pour l'opérateur, qui répond à un ticket de transfert ou comment restaurer les services à l'opérateur en place.
L'ICANN et les RIR devraient considérer l'avertissement de l'AFRINIC comme une date limite de conception. L'examen de reconnaissance a maintenant un précédent visible. La prochaine étape devrait être une règle de remplacement que les membres peuvent lire avant d'en avoir besoin. La règle devrait être suffisamment opérationnelle pour les ingénieurs, suffisamment juridique pour les tribunaux, suffisamment délimitée pour l'autonomie régionale et suffisamment publique pour les marchés.
L'objectif n'est pas de faciliter la perte de reconnaissance. C'est de rendre la continuité crédible. Si un registre peut être restauré, restaurez-le avec des preuves. Si un opérateur temporaire est nécessaire, limitez-le. Si des enregistrements doivent être déplacés, déplacez-les avec notation et confidentialité. Si l'autorité doit changer, publiez les raisons et les droits d'examen. Si l'opérateur en place revient, rendez-le proprement. S'il ne le peut pas, utilisez une voie de succession distincte et motivée.
La menace de l'ICANN sur l'AFRINIC était donc un avertissement pour l'ensemble du système, et pas seulement pour un administrateur. La couche de reconnaissance a maintenant besoin de la règle manquante en dessous. Tant que cette règle n'existe pas, chaque menace d'examen portera une deuxième menace inutile: non seulement que l'opérateur en place puisse échouer, mais que personne n'ait encore écrit le moyen sûr de remplacer le service sans remplacer les droits de la région.
Sources
- Correspondance de l'ICANN de Kurt Erik Lindqvist à Gowtamsingh Dabee, 25 juin 2025.
- Correspondance de l'ICANN de Kurt Erik Lindqvist à Gowtamsingh Dabee, 3 juillet 2025.
- ICANN, ICP-2: Critères pour la création de nouveaux registres Internet régionaux.
- Déclaration du NRO sur la nomination d'un administrateur judiciaire pour l'AFRINIC, 14 septembre 2023.
- NRO, Document de gouvernance pour la reconnaissance, l'exploitation et la perte de reconnaissance des registres Internet régionaux, version 2 du projet.
- The Register, L'élection de l'AFRINIC annulée après une lettre de colère de l'ICANN, 26 juin 2025.

