Panique ! Vous venez de découvrir que votre nom de domaine d’entreprise principal avait été utilisé pour usurper votre identité sur Internet ou qu’un nom de domaine .FR reprenant celui de votre marque venait d’être déposé. Quelles solutions envisager ? À qui s’adresser ?
Nés au milieu des années 1980, les noms de domaine sont intimement liés au développement d’Internet, cet espace où, aujourd’hui et quel que soit le support utilisé (ordinateur, tablette, smartphone), nous communiquons, échangeons, achetons, vendons, etc. Mais…
… QU’EST-CE QU’UN NOM DE DOMAINE ?
Définition du nom de domaine
Tout site web connecté à Internet est identifié par une suite de chiffres séparés par des points, de type « xxx.xxx.xx.xxx ». Cette adresse unique sur le réseau, dite adresse IP, est donc difficilement mémorisable. Le nom de domaine, NDD en abrégé, en est la traduction en clair. Cet équivalent sur Internet d’une adresse postale permet de repérer facilement un site web existant ou de reconnaître la provenance d’un mail – et réciproquement.
Pour exister sur Internet, il doit être enregistré. À cette fin, il est composé de 2 parties séparées par un point :
- Avant le point, il s’agit du radical, en fait le nom proprement dit, constitué d’une suite de caractères alphanumériques, de A à Z, de 0 à 9 et/ou du tiret « – » ; il correspond au nom d’une marque, d’une association, d’un produit ou à celui de votre entreprise et qui vient d’être usurpé.
- Après le point, se trouve la partie qui désigne l’extension (.COM, .FR, .EU…) qu’on appelle aussi domaine ou TLD (Top Level Domain en anglais). Cette extension précise la nature ou l’origine du nom. C’est l’association du « nom » et du « domaine » qui constitue le « nom de domaine ». On choisit donc l’extension en fonction des disponibilités du marché, de sa signification ou des besoins spécifiques de l’entreprise (implantation, activité…).
Au-delà de ces caractéristiques techniques, le nom de domaine, en tant qu’enseigne distinctive de votre entreprise, possède – au même titre que la marque – une dimension juridique et une valeur commerciale (en raison de la rareté du nom et/ou du trafic important qu’il génère) qui le rendent vulnérable aux atteintes.
En l’espèce, puisque la fraude dont vous êtes probablement victime concerne un nom de domaine .FR, rappelons ce que sont…
… Les spécificités du nom de domaine en .FR
Lancé le 2 septembre 1986, le .FR, domaine géographique de premier niveau français (dit ccTLD ou country code Top Level Domain), est géré par l’Afnic (Association française pour le nommage Internet en coopération) depuis 1997. Et si une grande majorité d’entreprises et d’utilisateurs français font confiance au .FR, cela tient probablement à l’image de proximité et de sérieux qu’il véhicule mais aussi à certaines spécificités inscrites dans sa charte de nommage, notamment :
- l’enregistrement (ou le renouvellement) d’un nom de domaine .FR, accessible uniquement aux personnes physiques et/ou morales résidant ou ayant leur siège ou établissement principal dans l’un des états membres de l’Union européenne auxquels s’ajoutent l’Islande, le Liechtenstein, la Norvège et la Suisse ;
- la possibilité de bénéficier de l’option « protection du nom de domaine » (Registry lock) empêchant toute intervention sur le nom de domaine sans accord du Bureau d’enregistrement et/ou du titulaire du nom (sans faire obstacle cependant aux opérations consécutives aux décisions de justice ou autres procédures, telles que gel, blocage et transmission forcée de nom de domaine) ;
- l’accord obligatoire des deux parties en cas de changement de titulaire du nom ;
- le cadre défini pour la résolution des litiges et particulièrement les procédures alternatives de résolution de litiges, Syreli et PARL Expert, que nous détaillerons ci-après.
QU’EST-CE QU’UN LITIGE DE NOM DE DOMAINE ?
Si les atteintes aux Droits de Propriété Intellectuelle (DPI), qu’elles concernent les droits des marques, des noms de domaine ou des personnes physiques, sont sources de graves dommages pour les consommateurs comme pour les entreprises, elles représentent pour les fraudeurs et autres cybercriminels une activité peu risquée visant à soutenir d’autres formes de criminalité (blanchiment d’argent, fraude financière, trafic de drogue…). Parmi les atteintes privilégiées, car elles se répercutent aussi bien sur les entreprises, les marques et les personnes physiques, celles infligées aux noms de domaine.
L’usurpation d’identité
Elle se détache singulièrement parmi les types de fraude affectant les entreprises, notamment car elle peut prendre plusieurs formes, dont la fraude au faux fournisseur, la fraude au faux président d’entreprise, la fraude au faux client…(cf notre article L’USURPATION D’IDENTITÉ, LA TECHNIQUE PRÉFÉRÉE DES PIRATES !)
Elle est facilitée par l’utilisation du phishing (ou hameçonnage), le vecteur d’attaque le plus fréquent utilisé par les cybercriminels pour soutirer à leurs cibles des informations confidentielles, telles que données bancaires, extraits K-Bis, identités…
Le cybersquatting
Selon la définition de l’Afnic, est une « action qui consiste à enregistrer un nom de domaine de façon abusive : le nom enregistré correspond à une marque notoire, une société reconnue… sur laquelle le déposant n’a aucun droit. Les buts de ces enregistrements frauduleux sont de plusieurs ordres :
• revendre ou marchander le nom de domaine auprès de la marque ou de la société légitime ;
• bloquer l’accès au nom à la marque ou à la société légitime ;
• nuire à l’image de la marque ou de la société légitime en associant par exemple au nom de domaine un site web pornographique ;
• profiter de la notoriété pour drainer du trafic sur le site web utilisant le nom de domaine. »
Le cybersquatting est en outre facilité par la technique du typosquatting – qui consiste à enregistrer un nom de domaine similaire ou identique à celui de l’entreprise visée, avec une faute d’orthographe par exemple – ou à sa déclinaison plus « sophistiquée », l’homoglyphie .
S’il est bien évidemment recommandé de se prémunir contre des attaques ou atteintes toujours possibles et même si vous avez pris certaines précautions, votre nom de domaine .FR a pu être déposé abusivement ou utilisé à des fins d’usurpation.
QUELS RECOURS EN CAS DE LITIGE SUR UN NOM DE DOMAINE .FR ?
Il est toujours préférable de privilégier, quand c’est possible, un contact avec le titulaire du nom de domaine litigieux, par l’intermédiaire de votre bureau d’enregistrement. Généralement, si l’interlocuteur est de bonne foi, la négociation engagée aboutit favorablement.
L’obligation d’agir
Dans le cas contraire et outre les procédures légales qui nécessitent l’intervention d’un professionnel du droit, le recours aux procédures extra-judiciaires de résolution des litiges est fortement recommandé. Notons à cet égard qu’en France, il y a obligation d’agir contre les contrefacteurs, sous peine d’intervention du fisc ou de l’Urssaf susceptibles de reprocher à une entreprise sa négligence.
Comment résoudre le litige dont vous êtes victime sur un nom de domaine .FR ?
Les procédures mises en place par l’Afnic permettent à toute personne physique ou morale d’obtenir la récupération ou la suppression d’un nom de domaine litigieux.
1. Pour les personnes physiques, une procédure spécifique
L’AFNIC, qui a recensé depuis 2017 plus de 100 plaintes pour usurpation d’identité de personnes physiques, a simplifié et renforcé son processus de traitement afin de le rendre plus efficace. Alors qu’auparavant, aucune procédure spécifique n’était proposée par le registre du .FR afin de tenter d’obtenir la suppression d’un nom de domaine enregistré par un usurpateur, aujourd’hui, la marche à suivre est claire. Elle s’adresse exclusivement aux victimes personnes physiques sur la base du cadre légal de la protection des données à caractère personnel (RGPD). Il s’agit d’une procédure en deux étapes :
- La première étape, non obligatoire mais fortement conseillée, est d’adresser à l’AFNIC, via un formulaire dédié, une demande visant à connaître dans la base de données Whois la liste exacte des noms de domaine enregistrés sous son identité usurpée. L’AFNIC s’engage à traiter les demandes dans un délai maximum d’un mois.
- Une fois l’information obtenue, l’étape suivante est d’adresser à l’AFNIC un second formulaire de « demande de suppression des informations usurpées dans la base whois». Un dépôt de plainte mentionnant expressément le ou les domaines visés devra être joint au titre d’élément justificatif.
Si, au regard des éléments fournis, l’AFNIC considère qu’il est susceptible d’y avoir effectivement usurpation d’identité, le ou les domaines seront gelés et le registre demandera au bureau d’enregistrement de contacter le titulaire du ou des noms de domaine litigieux. Le bureau d’enregistrement sera chargé de procéder à la vérification d’identité de son client. Si celui-ci ne peut prouver son identité, l’usurpation est avérée et le bureau d’enregistrement supprimera les noms de domaine.
Aujourd’hui, la procédure permet à toute personne physique dont l’identité a été usurpée lors de l’enregistrement d’un nom de domaine d’être représentée par un tiers de son choix. Cette procédure peut donc être menée par un « représentant » initié aux problématiques liées aux noms de domaine. Ainsi, cette procédure qui vient en réponse aux nombreux cas d’usurpation d’identité lors de l’enregistrement de noms de domaine permet aux victimes personnes physiques d’obtenir la suppression dans un délai maximum de 30 jours.
2. Pour les personnes morales, deux procédures mises à disposition par l’Afnic
- La procédure Syreli, mise en place par l’Afnic depuis 2011 dont les décisions sont rendues par le Collège, composé de salariés de l’Afnic ;
- La procédure PARL Expert, lancée en 2016, mise en place par l’Afnic en collaboration avec l’OMPI (Organisation Mondiale de la Propriété Intellectuelle) dont les décisions sont rendues par des experts sélectionnés sur dossier par l’Afnic et l’OMPI.
Elles s’adressent à toute personne physique ou morale démontrant un intérêt à agir et estimant que le nom de domaine litigieux entre dans l’un des cas prévus à l’article L.45-2 du code des postes et des communications électroniques. À savoir, tout domaine :
- susceptible de porter atteinte à l’ordre public ou aux bonnes mœurs ou à des droits garantis par la Constitution ou par la loi ;
- susceptible de porter atteinte à des droits de propriété intellectuelle ou de la personnalité, sauf si le demandeur justifie d’un intérêt légitime et agit de bonne foi ;
- identique ou apparenté à celui de la République française, d’une collectivité territoriale ou d’un groupement de collectivités territoriales ou d’une institution ou service public national ou local, sauf si le demandeur justifie d’un intérêt légitime et agit de bonne foi.
En cas d’usurpation d’identité d’une personne morale, le droit des marques sera le plus souvent celui invoqué. Tout d’abord, car l’usurpateur reprendra généralement la marque de sa victime dans la composition du nom de domaine. En outre, car le nom de domaine illégitimement enregistré aura bien souvent vocation à être utilisé à des fins de phishing. Ainsi, toute personne morale dont l’identité a été usurpée lors de l’enregistrement d’un nom de domaine pourra arguer de l’usurpation d’identité afin notamment de caractériser un usage de mauvaise foi du nom de domaine. Si l’Afnic considère, au regard des éléments de preuves apportées, que les conditions sont réunies, le nom de domaine sera transféré au requérant ou supprimé dans un délai de 2 mois à compter de l’ouverture du dossier SYRELI ou PARL Expert. Précisons que ces procédures ne peuvent concerner qu’un seul nom de domaine à la fois.
LES LITIGES RELATIFS A DES NOMS DE DOMAINE ENREGISTRES DANS D’AUTRES EXTENSIONS
Si le nom de domaine usurpé est enregistré dans une autre extension que le .FR, vous pouvez faire valoir vos droits en utilisant la procédure UDRP (« Uniform Domain Name Dispute Resolution »). Celle-ci vous permettra de porter le litige devant le Centre d’arbitrage et de médiation de l’Organisation Mondiale de la Propriété Intellectuelle – OMPI (cf. COMMENT RÉCUPÉRER UN NOM DE DOMAINE CONTREFAIT ?).
LA GESTION DES NOMS DE DOMAINE : DE LA VEILLE À LA RÉSOLUTION DE CONFLIT
EBRAND, UN ACCOMPAGNEMENT SUR MESURE
Un interlocuteur unique, un véritable niveau de conseil, un réseau international. Des outils puissants, des tarifs justes, des offres claires et forfaitaires.
EBRAND est la branche Grands Comptes du groupe Européen NameSpace dont le métier est de protéger l’identité des entreprises sur Internet. Notre activité génère un chiffre d’affaires de 23 millions d’euros et regroupe 120 collaborateurs dans 13 pays, capables d’intervenir dans 15 langues.
EBRAND est certifié ISO 27001:2013, membre de l’INTA, de l’UNIFAB Lab et de l’ICANN.
EBRAND surveille l’Internet (places de marché, sites web, noms de domaine, réseaux sociaux…) et protège vos actifs (indications, appellations, marques, services, produits, noms de domaine, identités) contre la contrefaçon, la vente illicite, le cybersquatting, le phishing, et toutes formes d’atteintes en ligne en utilisant les procédures alternatives de résolution des litiges liées aux noms de domaine. Notre équipe de techniciens et de juristes est formée à la surveillance de l’Internet et à la suppression des atteintes. Nous développons nos propres solutions techniques et gérons plusieurs millions de noms de domaine dans le monde.
Par Raphaël TESSIER et Sophie AUDOUSSET pour EBRAND France.