Résumé

  • Un plafond raisonnable peut protéger un service d'enregistrement mince et à faible coût contre des réclamations illimitées pour des pertes qu'il n'a ni causées ni contrôlées. La justification s'affaiblit à mesure que l'institution acquiert une autorité exclusive sur l'approbation des transferts, les identifiants de sécurité, la suspension, l'intervention de routage ou la disposition de ressources numériques rares.
  • Les contrats actuels des Registres Internet régionaux illustrent pourquoi le texte contractuel seul ne peut établir la légitimité institutionnelle. Le contrat de services d'enregistrement d'ARIN d'août 2025 utilise un plafond global basé sur le montant le plus élevé entre six mois de frais et cent dollars américains, tandis que l'accord de services standard du RIPE NCC limite la responsabilité aux frais de service annuels et que l'accord standard publié d'APNIC prévoit une exclusion large dans la mesure permise par la loi. Ce sont des positions contractuelles, non des mesures universelles de responsabilité équitable.
  • La Société des ressources numériques devrait classer chaque devoir par contrôle: publication des enregistrements, conservation des preuves, coordination des transferts, validation autoritaire, renvoi RDAP, DNS inverse, délivrance RPKI, suspension d'urgence, action de routage et disposition des ressources. Différentes fonctions nécessitent différents plafonds, exclusions et recours.
  • Les limites monétaires ne doivent pas restreindre la correction d'un enregistrement inexact, le respect d'une suspension valide, la restauration du service, la conservation des preuves ou le transfert à un prestataire successeur. Ce sont des recours en nature qui protègent la continuité avant le calcul des dommages-intérêts.
  • La fraude, l'inconduite délibérée, l'utilisation abusive de preuves confidentielles, la disposition non autorisée, la violation délibérée d'une suspension exécutoire et la compromission imprudente de l'autorité de signature devraient être exclues du plafond de service ordinaire lorsque la loi applicable le permet. L'allocation en double et les défaillances de sécurité irréversibles nécessitent des limites supérieures dédiées, même en l'absence de conduite intentionnelle.
  • Les incidents partagés nécessitent une responsabilité partagée sans obliger le titulaire à résoudre chaque conflit d'allocation interne. Un demandeur devrait pouvoir recouvrer auprès d'un acteur qui a contrôlé une défaillance décisive, tandis que les prestataires conservent des droits de recours les uns contre les autres selon la responsabilité documentée.
  • La meilleure discipline est ex ante: assurance spécifique aux fonctions, réserves séparées, restauration testée, autorité vérifiable, preuves d'incident et exposition globale publiée. Un plafond non soutenu par des actifs ou une capacité de rétablissement n'est qu'un chiffre dans un contrat.

Un prix ne peut remplacer une théorie de la responsabilité

Les clauses de responsabilité sont souvent rédigées à la fin d'un contrat de services et sont ensuite traitées comme si elles révélaient la nature de l'institution. Un plafond de six mois de frais suggère un abonnement. Une renonciation aux pertes indirectes suggère un fournisseur ordinaire. Une indemnité du client suggère que le comportement du client crée la plupart des risques. Ces choix peuvent être défendables pour certains actes, mais ils ne prouvent pas que chaque acte accompli en vertu du contrat présente le même risque.

Les services de numéros Internet combinent des fonctions que les contrats logiciels ordinaires séparent fréquemment. Une institution peut recevoir des preuves concernant un titulaire, tenir le registre faisant autorité, publier des informations RDAP, approuver un transfert, héberger la certification des ressources, déléguer le DNS inverse et décider si un compte contesté reste actif. Un futur fournisseur pourrait également offrir une surveillance de routage ou une intervention d'urgence. Le prix payé pour l'adhésion de base ne mesure pas la valeur mise en risque par l'ensemble de ces pouvoirs.

La question centrale n'est pas de savoir si un fournisseur a facturé peu de frais. Il s'agit de savoir si le fournisseur contrôlait l'étape décisive. Aurait-il pu empêcher l'erreur? Était-il le seul acteur capable d'autoriser le changement? Le titulaire pouvait-il choisir une alternative au moment pertinent? Le fournisseur pouvait-il inverser l'effet sans la coopération de quiconque? Des tiers se sont-ils fiés à ses résultats signés ou faisant autorité?

Un plafond qui ignore ces questions récompense l'expansion institutionnelle. Le fournisseur peut ajouter des pouvoirs tout en maintenant la responsabilité liée à l'ancien prix étroit. Le contrôle croît; la responsabilité ne croît pas. Une Société des ressources numériques légitime doit faire la promesse inverse: chaque expansion du contrôle exclusif déclenche une réévaluation visible de l'exposition, des garanties et de la capacité financière.

Les plafonds existent pour des raisons légitimes

La responsabilité illimitée n'est pas une position par défaut sérieuse pour un registre mondial. Les pertes réseau peuvent être immenses, la causalité peut être contestée et un enregistrement public inexact peut être cité après des événements qui ont également impliqué la configuration de l'opérateur, le filtrage en amont, la sécurité du client, des défauts logiciels et des décisions de routage indépendantes. Si chaque perte éloignée pouvait être imputée au fournisseur d'enregistrement sans limite, aucun organisme à but non lucratif ou registre concurrentiel ne pourrait tarifer le service de manière responsable.

Les plafonds protègent également les fonds communs. Une institution soutenue par ses membres ne devrait pas permettre qu'une réclamation faiblement liée consomme les réserves nécessaires au maintien du service pour tous. Une exposition prévisible favorise l'assurance, la planification de la continuité et l'entrée de petits fournisseurs. Cela empêche le marché de devenir accessible uniquement à un garant souverain ou à une entreprise technologique avec un bilan colossal.

L'argument en faveur d'un plafond est le plus fort lorsque le service est mince. Supposons qu'un registraire vérifie l'autorité selon des règles publiées, transmet une instruction signée à un coordinateur commun, conserve les preuves et publie une copie exacte de l'état accepté. Il ne décide pas de la politique d'allocation, ne contrôle pas l'autorité de signature commune, n'exploite pas le réseau et n'empêche pas le titulaire de changer de registraire. Ses frais peuvent raisonnablement ancrer une limite globale ordinaire, sous réserve de minimums significatifs et d'exceptions pour inconduite.

Ce n'est pas l'immunité. Le registraire doit toujours les devoirs qu'il contrôle: authentification sécurisée, transmission rapide, traitement exact, confidentialité, avis et coopération avec l'examen. Mais il ne devrait pas assurer toutes les conséquences d'une décision de routage prise par des réseaux autonomes simplement parce que son nom apparaît dans la chaîne. L'objectif est une responsabilité limitée, non une punition symbolique.

Les contrats RIR actuels montrent le problème de base

Les accords actuels diffèrent dans leur formulation et leur juridiction, mais chacun illustre à quel point l'allocation contractuelle ordinaire peut être éloignée de l'importance économique d'un enregistrement de numéro. L'accord de services d'enregistrement d'ARIN, version 14.0 datée du 15 août 2025, fixe une limite globale égale au montant le plus élevé entre les frais payés au cours des six mois précédant l'événement et cent dollars américains. Il exclut également de vastes catégories de pertes indirectes et conséquentielles.

L'accord de services standard du RIPE NCCstipule que sa responsabilité est limitée à un montant maximal équivalent aux frais de service du membre pour l'exercice financier concerné, sous réserve de l'accord et du droit applicable. L'accord d'adhésion standard publié par APNICdit que, dans la mesure permise par la loi, la société exclut toute responsabilité découlant de l'accord, des documents APNIC ou des ressources déléguées, et il associe cette exclusion à une indemnité du membre.

Ces dispositions doivent être lues avec précision, non de manière théâtrale. Elles relèvent de lois, versions et histoires institutionnelles différentes. Une clause peut être limitée par le droit impératif. Un tribunal peut distinguer la négligence, la conduite délibérée, les obligations légales, les réclamations de tiers et les réparations non pécuniaires. Le texte seul ne prédit pas tous les résultats.

La comparaison ne prouve pas non plus qu'un RIR a causé une perte ou qu'un plafond particulier est inapplicable. Elle révèle une question de conception. Un titulaire peut dépendre d'un enregistrement et de services connexes dont l'importance opérationnelle dépasse largement les frais annuels. Si une future institution ajoute des pouvoirs de transfert, de certification ou d'intervention plus forts, la reconduction d'un plafond basé sur les frais hérités préserverait l'ancienne répartition des risques tout en modifiant la nature du service.

L'applicabilité des contrats dépend de la juridiction

Aucun article mondial ne peut déclarer une clause de responsabilité valide ou invalide partout. Le droit des contrats diffère sur l'incorporation, l'interprétation, la négligence, l'inconduite délibérée, l'ordre public, les conditions générales, le pouvoir de négociation et les recours obligatoires. Le statut d'un membre, client commercial, consommateur, bénéficiaire ou tiers modifie également l'analyse.

Laloi britannique sur les clauses contractuelles abusives de 1977illustre le propos sans fournir de réponse universelle. Elle empêche l'exclusion de la responsabilité pour décès ou dommages corporels résultant d'une négligence et soumet certaines autres restrictions de négligence et limitations des conditions générales à une exigence de caractère raisonnable. Le test légal prend en compte les circonstances connues ou envisagées au moment de la conclusion du contrat. D'autres juridictions utilisent des doctrines et des limites légales différentes.

La Société des ressources numériques ne devrait pas se fier à l'interprétation la plus favorable au prestataire dans un seul forum choisi. Elle devrait publier une norme de responsabilité substantielle qui peut s'appliquer à tous les prestataires tout en reconnaissant le droit local. Cette norme préciserait quels manquements sont plafonnés, lesquels ont des limites supérieures dédiées, lesquels restent en dehors du plafond ordinaire et quelles obligations correctives ne sont pas des réclamations pécuniaires.

Cette approche améliore la certitude. Un prestataire connaît la répartition minimale des risques requise pour la qualification. Un titulaire peut comparer les offres sans analyser des exclusions radicalement différentes. Un examinateur indépendant peut identifier si un litige concerne la causalité, le montant, une exception ou la restauration immédiate. Le droit local régit toujours l'applicabilité, mais l'institution n'utilise pas la fragmentation juridique pour masquer sa répartition prévue.

Le test de contrôle commence par cinq questions

Chaque fonction doit être examinée à travers cinq questions pratiques. Premièrement, qui avait l'autorité exclusive d'apporter le changement pertinent? Un registraire qui se contente de soumettre une demande diffère du coordinateur qui peut l'accepter comme état actuel. Une entreprise de surveillance qui signale une anomalie diffère d'une institution qui peut révoquer un identifiant.

Deuxièmement, qui possédait les preuves décisives? Si un prestataire détenait des documents d'identité, un historique d'autorisation ou des journaux de signature indisponibles pour le titulaire et d'autres prestataires, il contrôlait la capacité d'établir ce qui s'est passé. La conservation des preuves crée une responsabilité même lorsqu'un autre acteur a pris la décision finale.

Troisièmement, qui pouvait stopper ou inverser l'effet? Un prestataire qui peut placer un blocage immédiat, restaurer un enregistrement antérieur ou délivrer des identifiants de remplacement exerce plus de contrôle que celui qui ne peut qu'envoyer une demande d'assistance. L'absence d'utilisation d'un mécanisme d'inversion disponible ne doit pas être traitée comme une incapacité.

Quatrièmement, dans quelle mesure l'acteur était-il remplaçable au moment du préjudice? Un client peut avoir un choix nominal de prestataire mais manquer de moyen exécutoire de partir pendant un litige. Le contrôle exclusif associé à une sortie difficile justifie une limite plus élevée.

Cinquièmement, sur les résultats de qui les tiers se sont-ils raisonnablement fiés? Les utilisateurs de RDAP, les contreparties et les systèmes de sécurité de routage peuvent agir sur la base d'enregistrements ou de déclarations cryptographiques. Une assertion faisant autorité a une surface de confiance plus large qu'un rapport consultatif. Ensemble, ces questions produisent une carte fonctionnelle. La forme juridique, le statut non lucratif et les faibles frais restent pertinents, mais ils ne peuvent effacer le contrôle réel.

Le service d'enregistrement appartient à l'échelon inférieur de l'échelle

La bande de responsabilité la plus basse couvre la réception, la conservation et la publication exactes des faits d'enregistrement selon des règles communes. Un prestataire vérifie que les champs et preuves requis sont complets, protège les informations confidentielles, soumet les modifications autorisées, conserve l'historique et répond aux demandes du titulaire. Il ne décide pas qui possède l'autorité commune ni ne modifie le routage.

Un plafond raisonnable est approprié ici car l'exposition doit rester assurable et l'entrée sur le marché doit rester possible. Mais un plafond de valeur économique quasi nulle compromettrait la diligence. La NRS devrait exiger un minimum exprimé comme le plus élevé entre un multiple des frais annuels, un montant fixe par incident et un montant global lié au nombre de clients ou de ressources gérées par le prestataire. Les chiffres exacts devraient être examinés avec des preuves d'assurance plutôt qu'inventés comme un théâtre politique.

Le prestataire devrait rester pleinement responsable du remboursement des frais pour service non fourni, de la correction de son propre enregistrement, de l'exportation des données du titulaire et de la coopération à un transfert. Un simple remboursement de frais n'est pas une réponse adéquate à un enregistrement inexact. La compensation pécuniaire et la performance sont distinctes.

Le prestataire peut se défendre en démontrant qu'il a transmis avec exactitude une instruction autorisée, suivi les contrôles requis et n'avait aucune autorité sur l'événement réseau ultérieur. C'est là qu'un modèle sensible au contrôle protège les bons registraires. Il ne rend pas chaque entité solidairement responsable simplement parce que tous ont touché la même ressource. Il demande quel devoir a échoué et quel acteur possédait ce devoir.

La conservation des preuves soulève la responsabilité avant l'autorité

Un registraire peut prétendre qu'il n'a pas pris la décision finale, tout en détenant la seule preuve nécessaire pour contester cette décision. Les documents d'identité, l'autorité corporative, le consentement au transfert, les alertes de sécurité, les horodatages et les communications peuvent déterminer si un acte était autorisé. Perdre ou retenir ce matériel peut transformer un litige réversible en un résultat irréversible.

La conservation des preuves se situe donc au-dessus de la simple publication. Un prestataire qui choisit un stockage exclusif doit maintenir l'intégrité, le contrôle d'accès, la conservation, l'exportation et les obligations légales. S'il délègue le stockage, il reste responsable du choix et de la supervision du dépositaire, à moins que le titulaire n'ait contracté sciemment avec le dépositaire comme service indépendant.

La responsabilité devrait refléter la sensibilité et l'irremplaçabilité du matériel. Un retard administratif ordinaire peut rester dans le plafond de base. La destruction après notification d'un litige, l'exposition imprudente de preuves confidentielles ou le refus de fournir un enregistrement requis pour un examen en temps utile devraient déclencher une bande supérieure ou une exception. La distinction dépend de la conduite et de l'effet, non de savoir si le fichier était appelé données de support.

La NRS devrait minimiser la collecte car la responsabilité n'est pas un substitut à la retenue. Un registraire ne devrait pas rassembler des plans commerciaux, des documents personnels ou des détails réseau simplement pour que son dossier paraisse complet. Collectez ce qu'un devoir identifié exige, indiquez la période de conservation et permettez une correction vérifiée. Plus la détention de preuves est étroite, plus il est facile de sécuriser et de transférer. La responsabilité suit alors une conservation nécessaire plutôt qu'une surveillance créée par l'appétit institutionnel.

La coordination des transferts nécessite une limite spécifique à la transaction

Un transfert modifie la relation de prestataire de services ou de titulaire reconnu autour d'une ressource rare. Il peut être retardé, volé, dupliqué ou rejeté à tort. Le coordinateur peut authentifier les instructions, appliquer un blocage de litige, séquencer les approbations et publier le résultat final. Ce ne sont pas des actes de support ordinaires.

Lapolitique de transfert de l'ICANNoffre un comparateur utile pour les changements de prestataire dans le marché des noms de domaine. Le registraire acquéreur obtient l'autorité, le registre vérifie les informations de transfert, le registraire cédant a des devoirs définis et des motifs de refus limités, et le registre partagé modifie le registraire parrain. L'analogie n'est pas exacte, mais elle démontre que la responsabilité peut être divisée par acte plutôt qu'attribuée entièrement à un seul prestataire.

Pour les ressources numériques, le registraire acquéreur devrait supporter le risque d'authentification et de soumission exacte. Le registraire cédant devrait supporter les devoirs liés à la libération des identifiants, à l'avis, à la conservation des preuves et aux objections limitées. Le coordinateur commun devrait supporter le séquencement, l'unicité, l'exactitude de l'état final et l'exécution d'un blocage valide. S'il accepte deux prestataires actuels ou effectue un transfert malgré une suspension exécutoire, son contrôle est décisif et sa limite devrait être matériellement plus élevée que celle d'un registraire de détail.

Une limite de transaction devrait également survivre à de faibles frais. Un prestataire ne peut pas vendre la coordination de transfert à bas prix et ensuite utiliser ce prix pour définir la valeur maximale d'une ressource qu'il peut détourner. La tarification peut contribuer au plafond, mais l'autorité, la rareté et la réversibilité doivent peser davantage.

L'allocation en double est un échec constitutionnel, non une erreur de saisie

LaRFC 7020décrit l'exactitude de l'enregistrement comme une exigence fondamentale et stipule que l'unicité signifie que les adresses IP et les numéros AS ne sont pas attribués à plus d'une partie à la fois. Cette exigence donne à la fonction de coordination commune sa justification la plus forte. Elle fait également de l'allocation en double une catégorie de responsabilité spéciale.

Une erreur typographique dans un contact public peut être corrigée avec une perte directe limitée. Deux titulaires reconnus pour le même préfixe peuvent contaminer les transferts, les contrats, les réponses RDAP, le DNS inverse et la certification des ressources. Même si le routage ne suit pas automatiquement l'enregistrement, le conflit peut créer une incertitude pour de nombreuses parties prenantes.

L'acteur qui contrôle la vérification finale d'unicité devrait donc supporter une limite dédiée plus élevée pour l'acceptation en double. Il devrait maintenir des réserves et une assurance suffisantes pour une enquête urgente, un avis, une restauration, des conseils professionnels et des pertes directement démontrées. Un échec répété devrait menacer la qualification, non seulement consommer un crédit de service prévisible.

La règle doit distinguer une double allocation effective de revendications privées conflictuelles ou d'annonces de route non autorisées. Deux sociétés peuvent contester le contrôle tandis que l'enregistrement commun montre un statut actuel et un marqueur de litige. Deux systèmes autonomes peuvent annoncer des routes qui se chevauchent sans que le registre n'ait attribué le préfixe deux fois. La responsabilité suit l'échec qui s'est produit. La précision protège l'institution d'être blâmée pour tout conflit tout en garantissant que son devoir unique est pris au sérieux.

L'autorité RDAP crée une surface de confiance

RDAP n'attribue pas de ressource ni ne dirige de paquets, mais il aide les utilisateurs à localiser et à récupérer les informations d'enregistrement faisant autorité. LaRFC 9224explique comment les registres d'amorçage gérés par l'IANA orientent les clients vers les services faisant autorité pour l'espace IP et les numéros AS. Pour les adresses, les clients utilisent une logique de correspondance la plus longue; les entrées de numéros AS mappent des plages vers des emplacements de service.

Cette conception sépare le renvoi de l'enregistrement sous-jacent. Une erreur au niveau de la couche d'amorçage peut envoyer les utilisateurs vers le mauvais service. Une erreur chez le registraire peut renvoyer des informations inexactes sur le titulaire ou le statut. Un cache obsolète chez un client crée encore une autre cause. La responsabilité ne devrait pas les confondre.

La NRS devrait définir les devoirs directs de RDAP: champ d'autorité correct, transport authentifié, mises à jour en temps utile, objectifs de disponibilité, statut clair, historique conservé et correction rapide des erreurs prouvées. Le plafond ordinaire peut couvrir une courte interruption de service. Une limite plus élevée devrait s'appliquer lorsque le prestataire sert sciemment un champ d'autorité faux, ignore une corruption vérifiée ou cause un conflit de renvoi persistant.

La confiance du public justifie également une réparation non pécuniaire. Un titulaire ou un réseau affecté devrait pouvoir exiger une correction urgente ou un avis de litige visible sans avoir à prouver d'abord des dommages définitifs. L'institution devrait conserver la réponse précédente et publier l'heure de la correction. Un plafond ne peut acheter le droit de laisser une erreur faisant autorité en ligne.

RPKI rapproche l'institution des conséquences de routage

L'enregistrement et le routage sont distincts. La RFC 7020 stipule que la manière dont les adresses sont annoncées et dont elles sont publicisées relève de considérations opérationnelles en dehors du système de registres de numéros Internet. Cette frontière protège les registres contre les réclamations selon lesquelles chaque fuite de route est leur acte. RPKI, cependant, crée un lien plus étroit entre l'autorité sur les ressources et les décisions de routage.

LaRFC 6480décrit les certificats de ressources, les objets signés et les référentiels utilisés pour valider si un système autonome est autorisé à émettre une route vers un préfixe. Une autorisation d'origine de route (ROA) exprime l'autorisation du titulaire pour un AS d'origine. Les opérateurs réseau choisissent toujours la politique de validation et prennent les décisions de routage, mais la hiérarchie de certification peut affecter si une route est traitée comme valide, invalide ou inconnue.

Une institution qui héberge du RPKI délégué sans contrôler la clé du titulaire a moins d'autorité directe qu'un service hébergé qui peut émettre et révoquer au nom du titulaire. Un prestataire qui se contente de republier du matériel signé diffère encore d'un opérateur d'ancrage de confiance. La responsabilité doit suivre ces distinctions.

L'hébergement de signature, la récupération de clé, la révocation et la publication dans un référentiel nécessitent une bande de sécurité plus élevée. La révocation non autorisée, le retrait indu de certificats, la perte du contrôle de signature ou l'incapacité à restaurer une corruption connue peuvent avoir des effets opérationnels directs. Le prestataire ne devrait pas assurer chaque décision de filtrage prise par chaque réseau. Il devrait assumer une responsabilité substantielle pour les actes cryptographiques et de publication que lui seul pouvait accomplir.

Le contrôle direct du routage changerait complètement la donne

Une Société des ressources numériques pourrait être tentée d'offrir une suppression de route d'urgence, un filtrage coordonné ou des instructions automatisées à des partenaires réseau. De tels services pourraient être précieux en cas de détournement ou d'urgence supervisée par un tribunal. Ils franchiraient également la frontière entre l'enregistrement de l'autorité et la modification du comportement du réseau.

Si l'institution peut amener directement les entités à rejeter une annonce, retirer une route ou modifier un flux de routage largement consommé, son plafond de registre ordinaire ne peut survivre inchangé. L'exposition pertinente comprend l'interruption pour le titulaire, les clients en aval et les réseaux qui se sont fiés à l'instruction. L'institution doit définir qui autorise l'action, quel seuil de preuve s'applique, comment la durée est limitée, comment l'acte est inversé et comment les parties affectées obtiennent un réexamen immédiat.

La limite plus élevée devrait s'appliquer même lorsque la fonction est commercialisée comme optionnelle. Dès que les contreparties automatisent la dépendance, l'institution contrôle un levier conséquent. Des frais minimes ne rendent pas le levier petit.

Cela n'exige pas une responsabilité illimitée pour toute l'accessibilité Internet. Les réseaux conservent leur autonomie, et des défaillances indépendantes peuvent rompre le lien de causalité. Les clauses contractuelles peuvent exclure les pertes trop indirectes ou découlant de décisions d'opérateurs hors du contrôle de l'institution. La règle essentielle est plus étroite: une institution ne peut pas exercer une autorité de modification de routage tout en tarifiant sa responsabilité comme si elle ne répondait qu'à une requête d'annuaire.

La disposition des ressources exige la bande de responsabilité privée la plus élevée

L'acte le plus conséquent consiste à décider qu'un titulaire ne contrôle plus une ressource et qu'un autre peut la recevoir. Cela peut se produire par le biais d'un transfert, d'une fusion, d'une insolvabilité, d'un abandon, d'une constatation de fraude, d'une ordonnance judiciaire ou d'une décision d'exécution. Ce n'est pas la même chose que de changer de prestataire d'enregistrement.

Si la NRS ne revendique qu'un rôle d'enregistrement étroit, elle ne devrait pas posséder d'autorité unilatérale de disposition. Un changement contesté devrait exiger le consentement vérifié du titulaire, une ordonnance externe compétente ou une décision indépendante selon des règles clairement acceptées. L'institution peut enregistrer et mettre en œuvre le résultat sans prétendre posséder l'espace d'adressage.

Lorsque l'institution contrôle néanmoins l'engagement décisif, elle devrait faire face au plafond le plus élevé, à un redressement provisoire rapide et à des exceptions larges. Une disposition non autorisée peut priver un réseau d'une ressource opérationnelle rare, perturber des contrats et créer une revendication concurrente coûteuse à défaire. La perte n'est pas mesurée équitablement par une année de frais d'adhésion.

La bande la plus élevée devrait couvrir les coûts de restauration raisonnables, l'interruption directement prouvée, les frais professionnels nécessaires pour recouvrer le contrôle et toute autre perte reconnue par le droit applicable. La fraude, le détournement délibéré d'autorité, le mépris délibéré d'une suspension et la collusion devraient échapper aux limites ordinaires lorsque la loi le permet. Un organe de qualification devrait également pouvoir suspendre des personnes ou des prestataires indépendamment de toute compensation. L'argent après l'événement ne peut être la seule discipline sur le pouvoir sur des ressources rares.

Les exclusions de pertes indirectes ont besoin d'une frontière fonctionnelle

Les prestataires excluent souvent les pertes de bénéfices, de clientèle et les dommages indirects, spéciaux ou conséquentiels parce que les effets réseau éloignés peuvent être difficiles à prévoir et à quantifier. Une certaine frontière est nécessaire. Sans elle, un retard mineur pourrait produire des réclamations basées sur chaque contrat qu'un titulaire dit avoir pu remporter.

La difficulté est que le but direct des services de continuité est de prévenir les interruptions. Si un prestataire révoque indûment du matériel RPKI hébergé ou effectue un transfert non autorisé, la perte de service peut être le résultat le plus prévisible, non une surprise éloignée. Qualifier tout effet opérationnel de conséquent viderait le devoir fondamental.

Les contrats NRS devraient définir les chefs de préjudice récupérables par fonction. Pour l'enregistrement passif, la correction directe, la réauthentification et les coûts de transfert peuvent être centraux. Pour un service de portabilité, la restauration, l'annulation de transaction en double et la garantie de continuité convenue peuvent être directes. Pour le RPKI hébergé, la restauration d'urgence des certificats et la réponse raisonnable aux incidents peuvent être directes.

Les réclamations plus larges pour perte d'opportunité et d'atteinte à la réputation peuvent rester restreintes, sauf en cas de conduite délibérée ou d'exigence légale impérative.

Cette rédaction est plus honnête qu'une étiquette universelle. Elle dit aux prestataires quoi assurer et aux titulaires quelles preuves conserver. Elle aide également les examinateurs à distinguer une réclamation gonflée d'un contrat qui promettait la continuité tout en excluant toute conséquence de sa perte.

Les crédits de service ne suffisent pas pour les fonctions à haut contrôle

Les crédits de service fonctionnent lorsque le préjudice correspond à peu près à la valeur de l'abonnement. Un tableau de bord retardé ou une courte interruption d'assistance peut être compensé par une réduction des frais. Le crédit est facile à administrer et évite les litiges pour perte mineure.

Une erreur de registre peut être différente. Les frais annuels peuvent être de quelques centaines ou milliers tandis que le réseau affecté soutient des hôpitaux, des services publics, des plateformes commerciales ou une connectivité régionale. Un crédit ne restaure pas un transfert, ne corrige pas une entrée de titulaire erronée ni ne répare une autorisation de sécurité révoquée.

La NRS peut conserver des crédits pour les manquements à la disponibilité qui ne modifient pas l'état faisant autorité. Elle ne devrait pas en faire le recours exclusif pour une suspension injustifiée, une double allocation, un transfert non autorisé, une violation de suspension, une perte d'autorité de signature ou un refus de libérer des données portables. Ces incidents nécessitent d'abord une restauration, puis une compensation selon la bande applicable.

Le contrat devrait également empêcher un prestataire de qualifier tout échec d'événement de disponibilité. Si le service a techniquement répondu aux requêtes tout en renvoyant des données faisant autorité corrompues, la disponibilité n'était pas le devoir pertinent. Les mesures de performance doivent suivre la fonction: exactitude pour les enregistrements, rapidité pour les transferts, intégrité pour les signatures, conformité pour les blocages et délai de restauration pour la continuité.

La réparation corrective doit se situer en dehors du plafond monétaire

Une limite de dommages-intérêts ne devrait pas limiter le devoir de faire ce qui est juste. Si un prestataire détient un enregistrement inexact, il doit le corriger ou le marquer. S'il a reçu un transfert valide avant une défaillance, un successeur doit pouvoir achever le changement. Si un examinateur ordonne une suspension temporaire, le coordinateur commun doit préserver l'état. Si des identifiants ont été révoqués à tort, l'acteur responsable doit les restaurer en toute sécurité.

Ces devoirs sont des formes d'exécution, non des réclamations à un fonds monétaire. Un contrat qui permet au prestataire de payer un petit plafond et de conserver l'état illicite convertirait la responsabilité en un prix d'achat pour le contrôle. Cela est incompatible avec une institution d'enregistrement dont l'autorité dépend de l'exactitude et de la continuité.

La NRS devrait expressément placer la correction des enregistrements, la conservation des preuves, l'exportation, la coopération à la portabilité, le respect des décisions contraignantes et la restauration d'urgence en dehors du plafond global de dommages-intérêts. Les coûts supportés par le prestataire pour remplir ces devoirs ne devraient pas réduire le montant disponible pour une réclamation pécuniaire valide.

Les tribunaux et les organes arbitraux diffèrent dans les réparations qu'ils peuvent accorder. La règle institutionnelle peut encore énoncer la priorité prévue. Préserver la continuité, arrêter le préjudice en cours, établir l'état faisant autorité et seulement ensuite déterminer la compensation. Cette séquence réduit les pertes pour toutes les parties et empêche un litige sur le plafond de retarder la réparation technique.

Les exceptions doivent être étroites, sérieuses et visibles

Un plafond ordinaire ne devrait pas disparaître chaque fois qu'un demandeur utilise un adjectif alarmant. Des exceptions trop larges détruisent la prévisibilité et invitent à qualifier toute réclamation pour négligence de négligence grave. Les catégories doivent être liées à une conduite et à des fonctions identifiables.

Les meilleurs candidats sont la fraude; l'inconduite délibérée; l'utilisation abusive délibérée de preuves confidentielles; la violation délibérée d'une suspension exécutoire d'un tribunal ou d'un examen indépendant; l'utilisation personnelle non autorisée d'identifiants de signature; la reconnaissance délibérée d'un double; et la collusion dans le détournement de ressources. Le droit applicable peut déjà restreindre l'exclusion de certaines conduites.

La négligence grave ou l'insouciance peut également justifier une exception, mais le contrat devrait définir la relation avec le droit applicable. Le fait de ne pas corriger un système tardivement n'est pas automatiquement de l'insouciance. Ignorer des avertissements répétés de compromission vérifiée tout en continuant à signer des objets faisant autorité peut l'être.

Certains événements méritent un super-plafond plutôt qu'une exposition illimitée. Une double allocation accidentelle, une migration en masse échouée ou un défaut de contrôle de sécurité peuvent créer un préjudice corrélé sans conduite intentionnelle. Une limite dédiée, soutenue par une assurance et des réserves, peut offrir un recouvrement plus réaliste qu'un plafond de base nominal tout en préservant la solvabilité institutionnelle.

Le barème devrait être public et lisible. Les titulaires ne devraient pas découvrir après un incident qu'une exception n'existe que dans un avenant privé de prestataire. Les prestataires peuvent offrir une couverture optionnelle plus élevée, mais la qualification doit inclure un minimum commun qu'aucune condition de détail ne peut réduire.

La causalité protège à la fois la responsabilité et l'équité

La responsabilité sensible au contrôle n'est pas une responsabilité stricte pour tout ce qui s'ensuit. Le demandeur doit toujours établir un lien entre le devoir violé et une perte reconnue. Un enregistrement RDAP faux peut être embarrassant mais sans rapport avec une panne de routage causée par une annonce BGP divulguée. Un transfert retardé peut coïncider avec une panne d'équipement. Une ROA valide peut être ignorée par des réseaux qui n'effectuent pas de validation d'origine de route.

L'institution devrait conserver les preuves qui rendent la causalité vérifiable: heures de demande et d'engagement, résultats d'autorisation, changements de statut, événements d'identifiants, historique de publication, avis et actions de restauration. Un demandeur devrait fournir des observations réseau, des contrats, des mesures d'atténuation et tout autre élément pertinent pour la perte. Aucune des parties ne devrait contrôler le seul récit.

Lorsque plusieurs défaillances se combinent, la responsabilité peut être divisée. Un registraire peut mal gérer l'authentification, le coordinateur peut ignorer une anomalie et un opérateur peut ne pas sécuriser son compte. L'évaluation des dommages devrait refléter la responsabilité comparative lorsque le droit applicable le permet.

Le modèle rejette donc deux extrêmes. Il rejette l'immunité des registres fondée sur l'affirmation que le routage est toujours l'acte de quelqu'un d'autre. Il rejette également la responsabilité automatique du registre chaque fois qu'une ressource apparaît dans un incident réseau. La fonction, la violation, le lien de causalité, la prévisibilité et la mitigation restent nécessaires. Faire évoluer les plafonds avec le contrôle rend ces enquêtes plus précises, non moins.

Les services partagés ont besoin d'une protection du demandeur et d'un recours du prestataire

Les services de numéros impliqueront des chaînes: le titulaire, le registraire de détail, le spécialiste de l'identité, le coordinateur commun, l'opérateur RDAP, le dépositaire de clés, l'hôte cloud et l'examinateur indépendant. Une défaillance peut traverser plusieurs contrats. Exiger du titulaire qu'il poursuive chaque acteur dans un pays différent avant d'obtenir une restauration rendrait la responsabilité formelle inutile.

Lerèglement général sur la protection des données de l'Union européenne, article 82, offre une analogie limitée. Il lie la responsabilité du responsable du traitement et du sous-traitant à leurs responsabilités respectives, protège une indemnisation effective lorsque plusieurs acteurs responsables sont impliqués et permet à un acteur qui a payé la pleine indemnisation de demander une contribution correspondant à la part d'un autre acteur. Les services de numéros Internet ne sont pas des réclamations en matière de protection des données par analogie, et l'article ne les régit pas automatiquement. Le principe d'allocation est utile.

La NRS devrait offrir au titulaire une seule voie de réclamation pour un incident partagé défini. Un acteur qui a contrôlé une défaillance décisive peut restaurer le service et satisfaire la réclamation valide, puis utiliser les règles de contribution contre les sous-traitants ou les prestataires pairs. Les contrats entre prestataires devraient inclure des clauses d'évidence, d'assurance et de litige compatibles afin que l'allocation interne ne retarde pas le titulaire.

Cette protection ne doit pas transformer chaque prestataire en garant de tous les autres. Les règles de qualification devraient identifier quand la responsabilité conjointe s'applique: fourniture commune d'une fonction indivisible, contrôle partagé d'un acte décisif ou défaut de respect d'une obligation de surveillance expresse. La simple interopérabilité ne suffit pas.

L'externalisation ne peut effacer l'autorité qui demeure

Un prestataire peut externaliser l'hébergement, les vérifications d'identité, le support client ou la garde de clés. Il peut le faire pour l'expertise et la résilience. Il ne devrait pas pouvoir externaliser l'activité tout en conservant l'autorité sur le client et en prétendant ensuite que personne n'est responsable.

Leslignes directrices de l'Autorité bancaire européenne sur l'externalisationutilisent la criticité pour exiger une gouvernance plus stricte pour les fonctions externalisées importantes et soulignent que l'organe de direction de l'institution réglementée reste responsable. Les règles bancaires ne régissent pas la NRS par analogie. Elles démontrent une réponse mature au blanchiment de responsabilité: les fonctions critiques exigent des droits explicites, un accès, une vérification, une continuité et une sortie.

Un registraire NRS qui nomme un fournisseur devrait rester responsable envers le titulaire pour les devoirs que le registraire a promis, tout en conservant un recours contre le fournisseur. Si le fournisseur contracte indépendamment avec le titulaire pour un service optionnel distinct, la responsabilité peut être clairement séparée. Le facteur déterminant est de savoir qui a sélectionné le fournisseur, contrôlé l'instruction et présenté le service comme faisant partie de l'obligation du registraire.

La sous-traitance de la signature ou de l'état faisant autorité mérite un examen spécial. Le coordinateur commun doit savoir où résident les clés et les répliques, comment le contrôle est divisé, comment un remplacement est activé et si les limites contractuelles correspondent à la fonction. Un plafond bas du fournisseur ne peut devenir le maximum de recouvrement de facto pour une défaillance institutionnelle à haut contrôle.

Le droit à la portabilité montre que l'indemnisation peut suivre le contrôle du changement

Le code des communications électroniques européen fournit un comparateur sectoriel direct. L'article 106protège le changement de prestataire et la portabilité des numéros, limite la perte de service, interdit les retards et abus, et exige des États membres qu'ils établissent des règles de compensation faciles et rapides pour les défaillances, retards, abus et rendez-vous manqués.

La leçon n'est pas que les adresses IP sont des numéros de téléphone ou que le droit des communications de l'UE régit un registre mondial de numéros. Il s'agit que le droit de changer est incomplet si les parties qui contrôlent le changement ne subissent aucune conséquence en cas de retard ou d'abus. Le prestataire receveur, le prestataire cédant et l'administration de la portabilité contrôlent chacun des étapes différentes.

La NRS devrait associer des délais de portabilité à la responsabilité. Un registraire acquéreur qui soumet une fausse autorité, un registraire cédant qui retient un identifiant requis et un coordinateur qui commet un état en double ne devraient pas partager un plafond indifférencié. Chaque défaillance devrait avoir un recours et une limite définis. Le titulaire devrait recevoir une compensation minimale automatique pour un retard clair, sans perdre le droit de prouver une perte couverte plus importante.

Les montants automatiques peuvent réduire les coûts de litige. Ils devraient être suffisamment modestes pour être administrés et suffisamment importants pour modifier le comportement. Les incidents à fortes conséquences restent soumis à des bandes et à des preuves plus élevées. Cette combinaison rend les défaillances de service ordinaires faciles à réparer tout en préservant un examen sérieux pour les événements rares.

L'assurance doit suivre les fonctions, non les étiquettes corporatives

La qualification devrait exiger des preuves que les limites promises peuvent être payées. Un prestataire avec un contrat généreux et aucune assurance ou réserve peut offrir moins de protection qu'un prestataire avec un plafond modeste mais un soutien fiable. La police devrait donc spécifier la couverture par fonction.

Un registraire passif a besoin d'une assurance responsabilité professionnelle, d'une couverture cybernétique et de ressources pour la correction et la coopération au transfert. Un coordinateur de transfert a besoin d'une couverture pour l'authentification, l'engagement en double, le blocage indu et la migration en masse. Un fournisseur de RPKI hébergé a besoin d'une couverture cybernétique et technologique qui n'exclut pas les risques de signature et de publication qu'il contrôle. Une institution avec autorité de disposition a besoin d'un arrangement de réserve et de couverture beaucoup plus solide.

Les polices devraient être examinées pour les exclusions, la portée territoriale, l'agrégation, les sous-traitants, la compromission de clé, les actes délibérés du personnel et la continuité après la défaillance du prestataire. La simple existence d'une attestation d'assurance ne suffit pas. La NRS devrait recevoir des détails confidentiels et publier un résumé sûr des bandes de couverture et de l'état de renouvellement.

L'auto-assurance peut être légitime pour une institution bien capitalisée, mais la réserve devrait être séparée et mesurée par rapport aux incidents modélisés. Les fonds des membres nécessaires aux opérations ordinaires ne devraient pas être comptés deux fois comme réserve de continuité et capacité de réclamation. L'objectif est un paiement crédible sans exposer les conditions sensibles de la police.

Les plafonds globaux doivent tenir compte des incidents corrélés

Un plafond global annuel peut être épuisé par le premier demandeur après une défaillance partagée. Cela crée une course entre les titulaires même lorsqu'une mise à jour corrompue a affecté des centaines de ressources. Cela permet également au prestataire de traiter un incident corrélé comme de nombreux petits événements non liés ou, inversement, comme un seul événement soumis à une limite minuscule.

La NRS devrait définir l'agrégation par cause et fonction. Les réclamations découlant d'une clé de signature compromise peuvent former un seul événement de sécurité, mais le total dédié doit refléter le nombre et l'échelle des ressources affectées. Une erreur de migration à l'échelle du prestataire peut nécessiter une couche de catastrophe séparée. Les erreurs administratives ordinaires non liées peuvent rester sous le total annuel de base.

Le contrat devrait indiquer comment les réclamations sont priorisées, si les frais de restauration sont en dehors du pot et comment les réclamations découvertes tardivement sont traitées. Les opérateurs de services publics essentiels ne devraient pas recevoir secrètement toute la compensation avant les autres, bien que les actions de continuité puissent correctement prioriser l'impact humain immédiat selon des critères d'urgence publiés.

L'exposition globale devrait être testée sous contrainte. Les modèles devraient inclure une corruption simultanée des transferts, la perte d'un dépositaire de clés, un faux champ RDAP, l'insolvabilité d'un prestataire et un litige judiciaire pendant une migration. Le résultat devrait influencer les réserves, la couverture et la concentration des prestataires. Si un fournisseur soutient la plupart des registraires, des plafonds nominaux séparés peuvent cacher une dépendance corrélée.

Les délais de réclamation doivent respecter la découverte tardive

Les registres ont besoin de finalité, et les preuves ne peuvent être conservées éternellement. Pourtant, certaines défaillances sont découvertes des mois plus tard, en particulier les modifications non autorisées cachées par un compte compromis ou la perte de preuves historiques révélée seulement lors d'un transfert. Un délai de réclamation extrêmement court récompenserait la dissimulation et affaiblirait l'examen.

Le délai ordinaire devrait courir à partir du moment où le titulaire a connu ou aurait raisonnablement dû connaître l'événement, sous réserve d'un délai final plus long permis par la loi. La fraude et la dissimulation délibérée peuvent nécessiter un traitement différent. Les demandes de correction immédiate ne devraient pas être rejetées simplement parce qu'un avis de dommages était tardif; l'exactitude de l'enregistrement faisant autorité reste une obligation continue.

Les prestataires devraient envoyer des avis à plusieurs rôles vérifiés pour les modifications conséquentes. Une mise à jour silencieuse d'un enregistrement ne devrait pas déclencher le délai contre un titulaire qui n'a pas reçu d'avis effectif. L'avis devrait identifier la ressource, l'action, l'heure, la catégorie d'autorité et la voie de contestation sans exposer d'informations confidentielles.

La NRS devrait également conserver un historique des événements infalsifiable suffisamment longtemps pour évaluer les réclamations. Les durées de conservation doivent avoir une raison liée au transfert, à la sécurité et au risque juridique. Le stockage indéfini de documents personnels n'est pas nécessaire. Des preuves durables de ce qui a changé peuvent survivre à des preuves plus sensibles grâce à des engagements cryptographiques et à des enregistrements de témoins indépendants.

Les titulaires et les opérateurs conservent des obligations de diligence

La responsabilité qui suit le contrôle institutionnel ne dégage pas les titulaires de leurs propres devoirs. Un opérateur contrôle les administrateurs de compte, l'exactitude des coordonnées, la sécurité des identifiants, la configuration de routage, le contenu des ROA, la surveillance et la réponse rapide aux alertes. Un titulaire qui ignore des avis de compromission répétés peut contribuer à la perte.

Les contrats devraient identifier des obligations de sécurité raisonnables sans en faire des garanties impossibles. L'authentification multi-facteurs, la séparation des rôles, la mise à jour rapide des contacts, la protection des identifiants de transfert, la confirmation des modifications conséquentes et la coopération en cas d'incident sont appropriées. La norme devrait tenir compte des petits réseaux et des conditions d'urgence plutôt que de supposer que tout titulaire dispose d'une équipe de sécurité de taille bancaire.

La défaillance du titulaire ne devrait réduire le recouvrement que si elle est liée à l'événement. Un contact de facturation obsolète ne devrait pas excuser une double allocation par le coordinateur. Un mot de passe faible peut en cas de prise de contrôle de compte, mais pas si le prestataire a contourné l'approbation requise par un privilège interne.

Les opérateurs réseau conservent également leur autonomie de routage. Une déclaration de registre ne force pas chaque décision BGP. Les opérateurs décident s'ils utilisent la validation d'origine de route, les filtres et les alertes, et comment. Les réclamations devraient examiner ces choix tout en reconnaissant qu'une erreur de sécurité faisant autorité peut toujours être une cause substantielle.

L'autorité d'urgence nécessite un délai court et un devoir élevé

Les urgences incitent les institutions à combiner le contrôle. Un détournement suspect, une clé compromise, une ordonnance de sanctions ou une allégation de fraude peuvent conduire un prestataire à geler les transferts, suspendre les identifiants ou publier des avertissements. Le retard peut aggraver le préjudice, mais un acte d'urgence incorrect peut interrompre un réseau légitime.

La NRS devrait définir l'autorité d'urgence de manière étroite. L'acteur doit enregistrer la base juridique ou technique, identifier le décideur autorisé, limiter la durée, notifier les parties concernées lorsque la loi le permet et obtenir un examen indépendant dans un court délai. Un blocage temporaire n'est pas une disposition définitive.

La responsabilité devrait distinguer un acte temporaire de bonne foi fondé sur des preuves d'un abus négligent ou stratégique. Une action urgente ordinaire selon la norme peut bénéficier d'un plafond protégé parce que les décideurs doivent pouvoir agir. Maintenir la restriction après l'effondrement des preuves, ignorer un examen obligatoire ou utiliser le pouvoir d'urgence pour un levier commercial devrait déclencher une bande ou une exception plus élevée.

Le meilleur recours pendant l'incident est un examen rapide. Une demande de dommages-intérêts des années plus tard ne peut restaurer un réseau pendant une suspension injustifiée. L'institution devrait maintenir un examinateur toujours disponible capable de préserver l'état, d'ordonner une restauration limitée et de protéger les preuves confidentielles.

Les ordonnances judiciaires ne suppriment pas le besoin d'une exécution exacte

Les registres recevront des ordonnances de tribunaux et d'autorités légitimes. L'institution n'est pas responsable simplement parce que la conformité affecte un titulaire lorsque l'ordonnance est valide et contraignante. Elle contrôle toujours l'interprétation, la portée, le calendrier et l'exécution technique.

Le prestataire devrait vérifier l'authenticité et la juridiction avec des conseils qualifiés, mettre en œuvre pas plus que ce que l'ordonnance exige, conserver les preuves et demander des clarifications lorsque la cible est ambiguë. Une directive concernant une organisation donnée ne devrait pas affecter silencieusement des ressources non liées. Si l'avis est interdit, la restriction et son expiration devraient être suivies.

Un accord peut protéger la conformité de bonne foi, mais il ne devrait pas excuser l'exécution contre la mauvaise ressource, une action après l'expiration d'une ordonnance ou le mépris délibéré d'une suspension. Ces défaillances découlent du contrôle institutionnel, non d'un commandement judiciaire.

Les conflits transfrontaliers nécessitent une voie publiée vers un examen indépendant. La NRS ne peut pas promettre que toutes les juridictions seront d'accord. Elle peut promettre qu'un prestataire ne convertira pas privément l'interprétation la plus large en effet global permanent sans examen. La responsabilité et la réparation corrective s'attachent alors au devoir d'exécution du prestataire plutôt qu'à l'autorité du tribunal.

Une matrice de contrôle rend le marché transparent

Chaque prestataire qualifié devrait publier une matrice de contrôle avec une ligne pour chaque fonction. La ligne devrait identifier l'acteur qui autorise l'acte, l'acteur qui l'exécute, qui peut l'inverser, l'effet attendu, les dépendances, le plafond de base, la limite supérieure, les exceptions, l'obligation de restauration, l'assurance et la voie de recours.

Pour la publication d'enregistrement, le registraire peut autoriser et exécuter la correction sous un plafond modéré. Pour la portabilité du prestataire, le registraire acquéreur authentifie, le coordinateur commun s'engage et les deux ont des limites séparées. Pour le RPKI hébergé, le titulaire autorise tandis que le prestataire de signature exécute, et l'opérateur d'ancrage de confiance peut contrôler la révocation. Pour la disposition des ressources, une décision externe peut autoriser tandis que le coordinateur exécute sous la bande la plus élevée.

La matrice empêche les regroupements ambigus. Un prestataire ne peut pas se décrire comme un simple intermédiaire lorsqu'il cherche à éviter la responsabilité et comme le gardien faisant autorité lorsqu'il cherche la déférence. Son rôle est énoncé avant l'incident.

Les modifications de la matrice devraient nécessiter un avis et un examen indépendant. L'ajout d'une fonction de contrôle de routage automatisée, la centralisation de la garde de clés ou la prise d'autorité de transfert finale déclencheraient de nouvelles exigences de couverture et de réserve avant le lancement. La responsabilité évolue lorsque le contrôle évolue, pas après que le premier demandeur a prouvé que l'institution avait changé en silence.

Scénario un: une erreur ordinaire de registraire

Considérons un registraire qui transpose un champ de contact non public lors de l'intégration d'un titulaire. L'état commun faisant autorité reste correct, aucun transfert n'a lieu, la sortie publique RDAP n'est pas affectée et le registraire corrige le champ en quelques heures après notification. Le titulaire prouve du temps de personnel mais aucun service interrompu.

Ceci relève du plafond de service de base. Le registraire devrait corriger l'erreur, la documenter, améliorer la validation et rembourser tout montant direct convenu. Une exposition illimitée n'améliorerait pas le résultat. L'institution n'a ni modifié le contrôle des ressources ni causé d'impact sur le routage.

Changeons maintenant un fait. Le même registraire utilise le mauvais identifiant d'organisation lors de la soumission d'un transfert, malgré des preuves contradictoires. Le coordinateur commun détecte l'inadéquation et rejette la demande. Le titulaire subit un court retard. L'authentification et la soumission étaient les devoirs du registraire, donc la bande de transfert et le recours automatique pour retard s'appliquent. Le coordinateur n'est pas responsable d'avoir refusé une instruction incohérente.

Le scénario montre pourquoi les étiquettes d'incident sont insuffisantes. Les deux ont commencé comme des erreurs de données. Leur responsabilité diffère parce que la seconde touchait une transaction conséquente. La fonction et le contrôle, non le vocabulaire, fixent la bande.

Scénario deux: un coordinateur commun accepte des états incompatibles

Un titulaire change de prestataire d'enregistrement. Le registraire acquéreur authentifie les dirigeants autorisés, et le registraire cédant envoie une objection limitée qui expire après examen. Le coordinateur commun engage le nouveau prestataire mais omet de retirer le jeton d'autorité de l'ancien prestataire. Les deux peuvent soumettre des modifications, et des actions RDAP et RPKI conflictuelles s'ensuivent.

Ce ne sont pas deux erreurs ordinaires de registraire. Le coordinateur contrôlait la sérialisation et le retrait du jeton. Le double de l'autorité est un échec constitutionnel de la couche commune. Une limite supérieure dédiée s'applique, ainsi qu'un gel immédiat, une restauration au dernier état non contesté, des avis aux parties prenantes, la conservation de chaque événement et un examen indépendant.

Le registraire acquéreur reste responsable s'il exploite le jeton en double après l'avoir détecté. Le registraire cédant reste responsable s'il soumet des modifications non autorisées. La contribution peut diviser le résultat pécuniaire, mais le coordinateur ne peut pas réduire sa responsabilité à un faible frais de service parce que lui seul pouvait assurer une autorité courante unique.

Le titulaire ne devrait pas avoir à attendre que trois entreprises décident quel contrat répond. La voie de réclamation commune restaure l'état et paie le montant valide. Le recours interne suit les preuves.

Scénario trois: révocation RPKI hébergée

Un prestataire exploite le RPKI hébergé pour un opérateur. Une alerte de sécurité marque faussement le compte du titulaire comme compromis. Une règle automatisée révoque les certificats de ressources sans la seconde approbation requise, et les autorisations d'origine de route deviennent inutilisables. Certains réseaux rejettent les annonces de l'opérateur tandis que d'autres continuent de les transporter.

Le prestataire n'a pas commandé chaque décision de routage, donc il n'est pas automatiquement responsable de toute perte de trafic. Il contrôlait la révocation, la règle d'automatisation et la restauration. La bande de sécurité supérieure s'applique. La restauration directe, le support d'incident et la perte opérationnelle couverte sont disponibles. Le prestataire peut contester les réclamations éloignées ou spéculatives et montrer quels réseaux ne se sont pas fiés à la validation.

Si le prestataire avait exigé une approbation à deux personnes et que les propres dirigeants autorisés du titulaire avaient confirmé la révocation en utilisant des identifiants compromis que le titulaire n'avait pas protégés, la responsabilité pourrait être partagée. Si un employé a délibérément révoqué les certificats pour faire pression sur le titulaire dans un litige de frais, le plafond ordinaire ne devrait pas protéger l'acte.

La même fonction donne donc lieu à plusieurs résultats. Une matrice de contrôle, des preuves d'événement et des exceptions de conduite claires permettent à un examinateur de les distinguer sans prétendre que RPKI contrôle tout le routage ou n'a aucune conséquence en matière de routage.

Scénario quatre: une ordonnance cible le mauvais préfixe

Une ordonnance judiciaire identifie une entreprise et une ressource contestée. L'équipe juridique de l'institution valide l'ordonnance, mais un opérateur sélectionne un préfixe adjacent lors de l'exécution. L'erreur est visible dans le journal des événements. L'institution retarde ensuite la restauration parce que son contrat exclut les pertes découlant de la conformité légale.

L'exclusion ne devrait pas s'appliquer. Le tribunal n'a pas ordonné d'action contre le préfixe adjacent. L'institution contrôlait le mappage et l'exécution. La restauration immédiate se situe en dehors du plafond, et la bande de contrôle élevée s'applique à la perte couverte. Si le personnel connaissait l'inadéquation et a continué, une exception peut s'appliquer.

Ce résultat ne remet pas en cause l'autorité judiciaire. Il protège une exécution exacte. Un prestataire doit pouvoir se conformer aux ordonnances légitimes sans devenir assureur du litige, mais il doit rester responsable des actes techniques qu'il accomplit seul.

Le scénario démontre également pourquoi le raisonnement et l'historique des événements sont importants. Un enregistrement vague indiquant seulement qu'une action en justice a eu lieu obscurcirait si l'ordonnance ou l'exécution a causé le préjudice. Une autorité, une portée et des preuves d'exécution précises protègent le tribunal, l'institution et le titulaire.

La gouvernance devrait examiner les plafonds avant les incidents, pas après

La NRS devrait établir un comité de responsabilité indépendant doté d'une expertise actuarielle, réseau, sécurité, assurance, contrat et opérateur. Il devrait examiner les bandes fonctionnelles annuellement et après des changements matériels. Les prestataires ne devraient pas contrôler l'organe qui juge si leur propre nouvelle autorité mérite un plafond plus élevé.

Le comité devrait examiner l'expérience des réclamations sans exposer les parties privées, les quasi-accidents, les exclusions de couverture, les tests de restauration, la concentration et les changements dans la valeur économique des ressources gérées. Il devrait publier les raisons de la modification des limites minimales. Un vote des membres seul ne suffit pas lorsque les petits titulaires et les utilisateurs tiers en subissent les conséquences.

Les tests de résistance devraient inclure l'insolvabilité du prestataire et la défaillance institutionnelle. Une limite élevée est dénuée de sens si le prestataire disparaît. Les preuves séquestrées, les identifiants portables, les dispositions de relève et les réserves séparées réduisent à la fois le préjudice et les réclamations. La conception de la responsabilité et la conception de la continuité se renforcent mutuellement.

Le comité devrait également se prémunir contre la surcorrection. Des limites excessives peuvent éliminer les petits registraires, accroître la concentration et faire du coordinateur commun le seul prestataire viable. L'objectif n'est pas l'exposition nominale maximale. C'est la limite la plus basse compatible avec l'autorité, la conséquence, le marché de l'assurance et un recouvrement crédible pour chaque fonction.

La responsabilité ne prouve pas la propriété

Une institution peut soutenir que le fait de porter une responsabilité implique la propriété ou le contrôle souverain sur les ressources numériques. Ce n'est pas le cas. La responsabilité suit les actes que l'institution accomplit, non une revendication de propriété du préfixe ou de l'ASN.

Une autorité portuaire peut être responsable d'une manutention négligente sans posséder la cargaison. Un intermédiaire en valeurs mobilières peut être responsable d'erreurs de règlement sans posséder l'actif de l'investisseur. Un registraire peut être responsable d'une modification non autorisée sans devenir le titulaire. Les institutions de ressources numériques devraient adopter la même distinction.

Le titulaire reste la partie reconnue selon le cadre d'allocation et de transfert applicable. Les réseaux conservent leur autonomie de routage. L'IANA conserve son rôle de numérotation de haut niveau tel que défini par les arrangements applicables. La NRS et les registraires fournissent des services limités. Lorsqu'ils commettent des erreurs conséquentes dans le cadre de ces services, la responsabilité marque la responsabilité pour la conduite, non le titre sur la ressource sous-jacente.

Cette distinction est importante politiquement. Une institution ne devrait pas utiliser un langage de gestion pour exiger la déférence tout en utilisant un langage de fournisseur pour éviter la responsabilité. Elle peut être un prestataire de services étroit et tout de même devoir des obligations fortes pour ses actes exclusifs. Elle peut porter une responsabilité significative sans revendiquer une souveraineté politique.

Le contrat devrait contenir un barème de responsabilité

Les conditions opérationnelles devraient annexer un barème plutôt que d'enterrer tous les événements dans un seul paragraphe. Le barème devrait définir au moins six bandes: enregistrement ordinaire; conservation sensible des preuves; transfert de prestataire; coordination faisant autorité et unicité; autorité de sécurité hébergée; et disposition des ressources ou intervention directe de routage.

Chaque bande devrait indiquer un minimum par incident, un total annuel, un total catastrophe, une perte exclue, une définition de perte directe, un recours automatique, une obligation de restauration, des exceptions, un délai de réclamation, des obligations de preuve et une exigence d'assurance. Elle devrait nommer l'entité responsable lorsque plusieurs affiliés ou fournisseurs NRS sont impliqués.

Le barème devrait indiquer que la bande la plus élevée applicable régit un incident mixte. Un prestataire ne peut pas diviser un acte à haut contrôle en plusieurs sous-tâches à faible contrôle. Dans le même temps, des pertes non liées ne devraient pas être attirées dans une bande supérieure simplement parce que le prestataire offre cette fonction ailleurs.

Les conditions ne devraient être symétriques que lorsque le contrôle est symétrique. Le titulaire peut indemniser un registraire pour des informations fausses ou des instructions illicites qu'il fournit. Le registraire ne devrait pas recevoir d'indemnité pour son propre transfert non autorisé ou sa défaillance de sécurité. Un libellé réciproque peut sembler équitable tout en masquant un contrôle radicalement différent.

La promesse future de la NRS est une responsabilité étroite sans lacunes de responsabilité

La Société des ressources numériques devrait commencer par un rôle modeste: enregistrement vérifiable, service portable, continuité et une vision globalement cohérente du contrôle actuel. Cette mission étroite justifie une responsabilité limitée. Elle ne justifie pas un plafond vide.

Au fur et à mesure que la NRS ajoute des fonctions, le barème de responsabilité doit changer. La conservation des preuves crée des obligations de confidentialité et de conservation. La coordination des transferts crée des obligations d'authentification et de calendrier. L'état commun crée une obligation d'unicité. Le RPKI hébergé crée des obligations de signature et de publication. L'action de routage d'urgence crée un risque d'interruption. La disposition des ressources crée le devoir le plus élevé car l'institution peut modifier qui est reconnu comme contrôlant une ressource rare.

Le principe peut être énoncé simplement: aucun acteur ne devrait supporter des pertes qu'il n'a pas pu empêcher, et aucun acteur ne devrait échapper à des pertes découlant d'un levier que lui seul contrôlait. Les frais, l'assurance et le statut non lucratif informent le montant. Ils ne définissent pas la fonction.

Ce modèle protège les registraires contre des réclamations impossibles tout en protégeant les titulaires contre l'impunité institutionnelle. Il encourage la séparation des rôles parce que l'autorité a un coût. Il rend l'externalisation transparente parce que le contrôle retenu retient la responsabilité. Il favorise la restauration plutôt que le litige et la preuve plutôt que l'accusation. Plus important encore, il empêche une future NRS d'hériter d'un large pouvoir et d'un plafond de service étroit comme s'ils appartenaient naturellement ensemble.

Limites des preuves et de l'analyse

Cette analyse utilise les accords officiels des RIR pour montrer les approches contractuelles actuelles, non pour trancher un litige ou affirmer qu'une disposition particulière est invalide. Les versions des contrats changent, le droit applicable importe et les droits impératifs peuvent modifier l'effet des exclusions. Les textes d'ARIN, du RIPE NCC et d'APNIC doivent être lus avec leurs conditions complètes et tout amendement ultérieur.

La RFC 7020 fournit la distinction technique entre l'exactitude de l'enregistrement, l'unicité et les opérations de routage. La RFC 6480 fournit l'architecture de la certification des ressources et de l'autorisation d'origine de route. La RFC 9224 explique la découverte faisant autorité de RDAP. Aucun de ces documents ne crée un code de dommages civils pour la NRS.

Le RGPD, les orientations de l'ABE sur l'externalisation, les règles de transfert de domaine de l'ICANN, la loi britannique sur les clauses contractuelles abusives et les règles européennes de communications sont des comparateurs. Leur application juridique directe dépend de l'objet, de la juridiction et des parties.

L'échelle de responsabilité proposée est une conception institutionnelle dérivée de questions communes de contrôle, de criticité, de changement et de recours effectif; ce n'est pas une déclaration selon laquelle les registres de numéros sont des banques, des prestataires de télécommunications, des registres de noms de domaine ou des responsables de traitement de données dans tous les cas.

L'article n'assigne pas de montants monétaires parce que des limites crédibles nécessitent des données sur les réclamations, des devis d'assurance, la concentration des prestataires, l'échelle des ressources et un examen juridictionnel. Il précise comment les montants devraient évoluer. Tout futur barème de la NRS devrait être examiné de manière indépendante et testé avant que les prestataires ou les titulaires ne s'y fient.

Sources