domain names - internet and web telecommunication concept

La protection des noms de domaine

Face à la nécessité de prévenir les risques liés à la multiplication des fraudes opérées via internet tout en maîtrisant les coûts liés aux dépôts et à la gestion des noms de domaine, les entreprises se doivent d’adopter une politique, visant à déterminer les noms de domaine devant être déposés en fonction de leurs marques stratégiques, implantations géographiques et marchés afin de définir un « périmètre de sécurité » autour des noms sensibles.

Une telle politique ne permet cependant pas d’éviter toute atteinte. C’est pourquoi, des procédures doivent être mises en œuvre notamment en cas de « cybersquatting » (1) ou de « phishing » (2).

Rappels

  • La protection des noms de domaine entretient des liens étroits avec celle des marques. On lutte en général contre l’appropriation litigieuse d’un nom de domaine en invoquant la contrefaçon de marque, qui sanctionne aussi bien la reproduction à l’identique que l’imitation.
  • Le fondement de la contrefaçon de marque enregistrée en France ou au niveau de l’Union européenne permet d’agir au civil (i.e. : radiation d’un nom de domaine) et au pénal (si l’usurpation est associée à une infraction de type escroquerie). Cette protection peut être étendue à l’étranger en cas de dépôt de marque internationale.

1 – Actions envisageables en cas d’atteintes aux noms de domaine du type « cybersquatting » 

Il s’agit des litiges relatifs aux dépôts reprenant le nom ou la marque d’une entreprise à l’identique ou avec des variantes orthographiques (typosquatting, dotsquatting). Le « cybersquatting »  consiste à exploiter le principe du « 1er arrivé, 1er servi » sur lequel repose le système d’enregistrement des noms de domaine. Les « cybersquatteurs » procèdent ainsi souvent à l’enregistrement d’une marque en tant que nom de domaine  afin de pouvoir ensuite la céder à l’entreprise concernée. Ils peuvent aussi se servir de la notoriété de l’entreprise associée à ce nom de domaine pour chercher à attirer des clients sur leur propre site.

Il faut avant tout évaluer la bonne ou mauvaise foi du titulaire du nom de domaine, en gardant à l’esprit que plusieurs noms de domaine similaires peuvent parfaitement coexister s’ils servent à exploiter des sites proposant des services distincts ou concernant des activités différentes et s’il n’existe aucun risque de confusion pour l’internaute.

Si après analyse, il apparaît qu’un risque de confusion existe, il convient en premier lieu d’adresser une mise en demeure pour bloquer le nom de domaine et suspendre le site. Quand un site litigieux est exploité, c’est souvent via l’hébergeur que l’on obtient la réaction la plus rapide. En cas d’inexploitation, la mise en demeure sera adressée au bureau d’enregistrement.

L’entreprise doit ensuite obtenir la radiation ou le transfert du nom de domaine et la fermeture du site, soit (i) en saisissant une juridiction soit (ii) en optant pour le mécanisme d’Uniform Domain Dispute Resolution Policy («UDRP»).

(i) L’action en contrefaçon ne peut être engagée que dans l’hypothèse d’un risque de confusion dans l’esprit du public, dans les pays et pour les produits et services pour lesquels la marque a été enregistrée.

Néanmoins, il peut y avoir une exception à la règle ci-dessus si la marque bénéficie d’une renommée ou d’une certaine notoriété. Il faut alors être en mesure de démontrer cette notoriété ou cette renommée, ce qui peut s’avérer difficile. Par exemple, l’enregistrement de <www.decathlon.pl> qui servait à exploiter un site polonais à connotation sexuelle n’a pas été condamné, car si Décathlon jouit d’une renommée indéniable, il n’est pas démontré qu’elle est connue du public polonais (Cass. Com. 20 février 2007).

Les règles de saisine des juridictions (choix du pays et du droit applicable) sont déterminées par le droit international privé, en fonction du lieu d’établissement du défendeur et du type d’action envisagée (contrefaçon de marque, concurrence déloyale, etc.). La complexité, le coût et l’aléa de la voie judiciaire pour des litiges internationaux sur les noms de domaine expliquent le succès des procédures alternatives dites « UDRP ».

(ii) L’ICANN, organisme international créé pour la prise en charge de la gestion des noms de domaine, a adopté en 1999 la procédure d’arbitrage dite « UDRP ».

Pour obtenir l’enregistrement d’un nom de domaine, il faut accepter de se soumettre à cette procédure, permettant à toute personne qui estime qu’un enregistrement a été effectué en violation de ses droits sur une marque d’agir devant l’une des quatre « institutions de règlement » agréées par l’ICANN pour obtenir le transfert à son profit d’un nom de domaine. Selon l’UDRP, un nom de domaine doit être transféré au requérant lorsque :

–      le nom de domaine est identique ou semblable au point de prêter à confusion, à une marque de produits ou de services sur laquelle ce requérant a des droits,

–      le titulaire du nom de domaine n’a aucun droit ou intérêt légitime sur celui-ci,

–      le nom de domaine a été enregistré et est utilisé de mauvaise foi.

L’intérêt de l’UDRP réside dans l’obtention immédiate d’une décision exécutoire, mise en œuvre directement par le bureau d’enregistrement, qui permet d’obtenir un transfert ou une radiation du nom de domaine. Néanmoins, aucun dommage et intérêt ne sera alloué dans le cadre de cette procédure.

2 – Actions envisageables en cas d’atteintes aux noms de domaine du type escroquerie / « phishing »

Le « phishing » est un procédé visant à obtenir frauduleusement des informations confidentielles (mots de passe, numéros de cartes de crédit …), via des messages ou des sites usurpant l’identité de banques ou de sociétés commerciales.

Rentre dans la catégorie du « phishing » la pratique du « scam 419 », encore appelée arnaque nigériane (La dénomination 419 vient du numéro de l’article du code pénal nigérian sanctionnant ce type de fraude), qui vise à abuser de la crédulité des victimes pour leur soutirer de l’argent, généralement via un pourriel. L’objectif de ce type de site est clairement de commettre une escroquerie.

La « fausse banque » ou la « fausse société » peut également être le vecteur d’autres infractions telles la contrefaçon de marque, ou l’infraction d’atteinte à un système de traitement automatisé de données (piratage), dans la mesure où le délinquant cherche à obtenir frauduleusement des codes secrets.

Dans ce type de situation, il faut déposer une plainte pénale, en raison de la gravité des faits, des risques encourus par les victimes, clientes ou non, des risques d’atteinte à l’intégrité des systèmes (piratage) et du risque de réputation. Cette plainte pénale doit être déposée le plus rapidement possible auprès des services de police ou par lettre au procureur de la République.

Si les faits justifient une plainte pénale, il convient de veiller à :

  • procéder au recueil des preuves : il faut effectuer une copie complète du site litigieux, voire un constat d’huissier avant de requérir la fermeture du site auprès de l’hébergeur. En cas d’intrusion, il faut fournir les logs de l’attaque, faire une copie du disque dur, rechercher les traces etc.
  • intervenir pour faire fermer le site. Si les auteurs présumés de la fraude sont dans un pays où la coopération policière est illusoire, mieux vaut fermer le site rapidement en intervenant auprès de l’hébergeur.

Même si les chances de retrouver les auteurs de la fraude sont faibles, il faut déposer une plainte pénale afin notamment de démontrer la diligence de l’entreprise pour tenter de prévenir tout préjudice au détriment de clients ou des clients potentiels et pour démontrer son rôle proactif face à des auteurs qui risquent de récidiver. Les services du lieu de l’infraction sont compétents. Ce lieu va donc dépendre du type d’infraction en cause.

Last but not least, il convient de ne pas procéder à la récupération des noms de domaine utilisés par les escrocs, ces noms de domaine ne devant pas être utilisés par l’entreprise. En outre, cette récupération la ferait apparaître dans le WHOIS comme titulaire du nom de domaine, ce qui peut nuire à son image si le site a fait des victimes.

Valérie Sédallian, avocat au Barreau de Paris depuis 1992, est spécialisée en droit de l’internet. N’hésitez pas à nous contacter.