Vous pensiez avoir trouvé le nom de domaine de votre nouveau site Internet mais il est déjà pris et vous souhaitez le racheter ? Votre marque a été utilisée à votre insu et le nom de domaine correspondant a été enregistré ? Vous avez besoin d’identifier le titulaire de ce nom mais celui-ci n’apparaît nulle part ? Comment l’identifier et se procurer ses coordonnées ?
LE TITULAIRE DU NOM DE DOMAIRE : QUI EST-IL DONC ?
Chaque nom de domaine a son titulaire : il s’agit de la personne, physique ou morale, qui est à l’initiative de l’enregistrement du nom de domaine et de son renouvellement, et qui détient les droits et responsabilités associés à ce nom. Lors de l’enregistrement de ce nom de domaine, le futur titulaire doit communiquer les données permettant de l’identifier et en fournir, le cas échéant, les justificatifs. Jusqu’à une période récente, et sauf exception, le « WHOIS » (« Qui est-ce ?), base de données publique, permettait un accès facile et rapide à ces informations essentielles. Mais le Règlement général sur la protection des données (RGPD) a change la donne !
La réglementation RGDP et ses effets sur les noms de domaine
Le 25 mai 2018, en effet, l’exception devient la règle, du moins au sein de l’Union européenne : l’entrée en vigueur du Règlement général sur la protection des données (RGPD), rend l’accès aux WHOIS plus difficile et complique singulièrement la tâche des titulaires de droits et des bureaux d’enregistrement de noms de domaine lorsqu’il s’agit de retrouver l’identité d’un titulaire de nom de domaine, légitime ou non. Car bien évidemment, les données des fraudeurs s’avèrent elles aussi protégées par le RGPD. Pour autant, il faut savoir que les bases WHOIS ne sont pas l’unique source d’information qui permet d’identifier le détenteur d’un nom de domaine. D’autres voies sont possibles.
COMMENT ORGANISER LA RECHERCHE D’IDENTIFICATION DU TITULAIRE DE NOM DE DOMAINE ?
1 – Exploiter les archives WHOIS
Certains outils privés d’archivage, qui ont sauvegardé à intervalles réguliers les informations relatives aux noms de domaine, permettent de consulter un historique et de retrouver des informations. Toutefois, s’agissant de données anciennement collectées, celles-ci peuvent ne plus être à jour. Une telle recherche peut cependant s’avérer fort utile et offrir de nouvelles pistes lorsque le nom a été enregistré avant 2017 (certains registrars ont en effet masqué les données WHOIS avant l’entrée en vigueur du RGPD).
2 – Interroger les autres sources d’information disponibles en ligne
L’interrogation des serveurs du nom de domaine ou de l’adresse IP d’hébergement du site Web mais aussi la vérification d’un certificat SSL peuvent fournir l’identité d’un titulaire. En outre, la page contact de nombreux sites Internet peut également procurer de précieuses informations.
3 – Recourir aux procédures de divulgation
La plupart des registres ont mis en place un processus de divulgation qui permet à des tiers ayant un intérêt légitime d’accéder aux données cachées du WHOIS. Toutefois, il n’existe actuellement aucun système ou procédure de divulgation uniforme et certains registres ne divulguent les données privées que sur réception de l’ordonnance d’un tribunal. Ces procédures nécessitent la production d’un argumentaire détaillé justifiant la demande de levée d’anonymat, formaté conformément aux règles du registre concerné.
4 – Utiliser les systèmes de relais en ligne
La majorité des registres qui disposent des données WHOIS d’une extension ont mis en place un système de relais en ligne permettant de contacter un titulaire de nom de domaine sans avoir accès à ses données personnelles. Cela permet à un titulaire de marque de résoudre à l’amiable les cas de violation involontaire de ses droits légitimes. Cela peut également servir de preuve lorsque la voie judiciaire ou extrajudiciaire est choisie. Mais là non plus, la procédure n’étant pas uniforme, mieux vaut solliciter l’intervention de son conseil en noms de domaine.
5 – Engager une procédure extrajudiciaire de résolution de litige
Comme son nom l’indique, une telle procédure ne nécessite pas l’intervention d’un juge et s’avère la plupart du temps plus rapide et moins coûteuse qu’une procédure judiciaire. Lorsqu’un titulaire de droit souhaite récupérer un nom de domaine contenant ou approchant sa marque, il peut lancer une procédure extrajudiciaire auprès du registre concerné. Cela permet, entre autres, d’initier une procédure d’arbitrage et d’obtenir la levée d’anonymat du titulaire en cause. Cette procédure, qui s’avère très efficace, est donc recommandée lorsqu’un nom de domaine porte véritablement préjudice à une marque. Pour le .FR, par exemple, les procédures SYRELI ou PARL EXPERT, (lire notre article : comment résoudre un litige sur un nom de domaine en .FR) ; et, selon l’extension dans laquelle le nom de domaine considéré est enregistré, les procédures UDRP ou URS (lire nos articles : noms de domaine litigieux – la procédure URS peut-elle être une alternative à l’UDRP ou comment réussir sa procédure UDRP).
PRÉVENIR LES FRAUDES EN ADOPTANT UNE STRATÉGIE DÉFENSIVE DE SURVEILLANCE DES NOMS DE DOMAINE
Le Règlement général sur la protection des données fait des émules et de plus en plus de pays, au-delà de l’Europe même, s’en inspirent largement. Ainsi, l’entrée en vigueur dans l’état de Californie du “California Consumer Privacy Act”, le 1er janvier 2020, a donné le coup d’envoi de nombreuses autres lois similaires aux États-Unis. Parmi ces dernières, citons le Colorado Privacy Act et le Consumer Data Protection Act de l’État de Virginie. D’autres suivront probablement. Au Brésil également, la Loi générale sur la protection des données (LGPD) est entrée en vigueur le 16 août 2020. Ces lois, dont les principes s’appliquent à l’extérieur du territoire, auront des effets comparables à ceux du RGPD en accordant aux citoyens une plus grande protection. Avec une incidence, l’information gratuite telle qu’on l’a connue dans le passé est devenu extrêmement rare.
Dans cette nouvelle configuration juridique, les investigations liées à la recherche d’un titulaire vont donc entraîner des frais complémentaires. Moins coûteux cependant que les préjudices financiers indûment supportés par les titulaires de marques en raison des atteintes en ligne et des détournements effectués par les cybersquatteurs.
Pour ces raisons, il est nécessaire d’adopter une véritable stratégie défensive afin d’anticiper les atteintes et prévenir les fraudes. Avec l’appui d’experts juridiques, les outils de surveillance de noms de domaine permettent d’industrialiser efficacement l’identification et la suppression des atteintes en cas d’enregistrements frauduleux de noms de domaine. Rappelons ici que la rapidité d’intervention est déterminante dans la résolution à l’amiable d’un litige.
CONSEIL D’EXPERT
Vous l’aurez compris, la recherche d’un titulaire est devenue une véritable investigation, nécessitant l’utilisation d’outils spécifiques permettant de collecter et recroiser les données. Mais lorsque celle-ci s’avère infructueuse, il faut procéder par étape : la prise de contact avec un titulaire via les systèmes de relais en ligne peut porter ses fruits. Et si malheureusement ce n’est pas le cas, il faut recourir à la procédure de divulgation lorsqu’elle est disponible. Enfin, une procédure extrajudiciaire de résolution des litiges reste une solution plus coûteuse pour une simple levée d’anonymat. Elle n’est à utiliser qu’en cas d’atteinte avérée et préjudiciable à une marque.
Bien que les données WHOIS soient une information importante à des fins d’enquête, le respect des droits de propriété intellectuelle dépend essentiellement de l’élément « hébergement ». Après tout, explique Luc Seufer, directeur juridique EBRAND et expert juridique en Propriété Intellectuelle, « un nom de domaine en soi ne peut pas causer de préjudice. Pour cela, il doit être associé à un autre service, tel qu’un site Web, un courriel ou une application. En outre, la suspension d’un nom de domaine aura un effet limité. Par exemple, si le nom de domaine ‘ebrandservices.fr’ devait être suspendu, ‘ebrandservices.com’ serait toujours disponible. Ce qui devrait plutôt être déconnecté, c’est le serveur associé à l’adresse IP 88.99.23.52. »
Information peu connue : les adresses IP sont également enregistrées dans leur propre base de données WHOIS et les informations des utilisateurs peuvent potentiellement être récupérées.
Par Raphaël TESSIER et Sophie AUDOUSSET pour EBRAND France.
