Brexit – No deal et droit des marques

Brexit – No deal et droit des marquesSi le projet d’accord de transition pour la sortie du Royaume-Uni (« European Commission Draft Withdrawal Agreement ») se voulait rassurant en développant des compromis avantageux, tel que la transformation des titres de propriété intellectuelle de l’Union européenne en titre du Royaume-Uni, encore faut-il que cet accord soit signé et ratifié. Et nous n’en avons pas fini avec les questionnements liés au Brexit et à l’avenir, en Grande Bretagne, des droits de marque enregistrés dans l’Union européenne. Il semble même qu’à ce jour, à moins de huit mois du départ de la Grande-Bretagne, les chances de parvenir à un accord s’éloignent de plus en plus et les négociations tendent vers un éventuel échec.

Si la Commission travaille toujours à un accord, elle a cependant appelé les Etats, dans une communication de juillet, à se préparer à toutes les issues et notamment à un « no deal ». Ce qui a de quoi effrayer les Etats qui espéraient, sur de nombreux points et notamment en ce qui concerne la propriété intellectuelle, voir assurée une transition. Et cette hypothèse ne va qu’en se précisant. Le 9 août 2018, Jeremy Hunt, ministre britannique des affaires étrangères, a déclaré à Helsinkin lors d’une conférence de presse « Tout le monde doit se préparer à l’éventualité d’un Brexit chaotique sans accord » ; ce qui bien entendu n’est souhaitable pour personne.

La question reste donc ouverte sur le sort des droits de marque de l’Union européenne enregistrés avant la sortie du Royaume-Uni. Le UKIPO (Office de la propriété intellectuelle du Royaume Uni) confirme sa position favorable au sujet des droits de marque enregistrés dans l’Union européenne et leur conversion en droit nationaux. Cette position devait être formalisée dans l’accord de retrait. Si aucun accord ne vient à être signé, des moyens seront probablement trouvés pour assurer une transition des droits, mais elle sera certainement plus laborieuse à établir que si l’hypothèse était formalisée dans un accord.

Dans un tel contexte et face à ces incertitudes, il est essentiel de prendre toute mesure nécessaire à une sécurisation de vos droits de propriété intellectuelle. A cet effet, notre conseil reste constant pour le moment et se maintient en faveur d’un enregistrement simultané d’une marque nationale au Royaume Uni pour tout enregistrement de nouveau droit de marque de l’Union européenne ou marque internationale visant l’Union européenne.

Menaces liées à la cybercriminalité

Menaces liées à la cybercriminalitéCompte tenu de l’importance du sujet des cybercriminalités, le ministère de l’intérieur a publié en mai 2018 un deuxième rapport de réponse dédié aux cybermenaces. Comme le ministre l’affirme, il s’agit d’un panorama riche et approfondi des phénomènes cyber et des réponses actuellement apportées par le ministère. Ce rapport est composé de trois parties principales :

  • Enjeux stratégiques liés aux cybermenaces
  • Usages, phénomènes et perception de la menace
  • Les actions du ministère de l’intérieur pour la gestion des cyber-menaces

Dans la première partie concernant les enjeux stratégiques liés aux cybermenances, trois enjeux sociétaux, économiques et juridiques ont été identifiés. Quant aux enjeux sociétaux, il s’agit de l’emploi d’internet à des fins terroristes (Crowdsourcing des activités de terroristes), l’évolution des usages des technologies de l’information et des communications comme les forums de discussion et les crypto-monnaies, les trafics illicites sur les Darknets (web profond) à travers d’utilisation de plus en plus accrue des outils de chiffrement et d’anonymisation.

Les enjeux économiques concernent entre outres, le développement du marché de la cybersécurité, ainsi que le contre-ingérence économique. A titre d’exemple, pour les organisations, les atteintes motivées par l’appât du gain, le sabotage, l’espionnage ou l’ingérence économique ont des incidences financières et réputationnelles remarquables.

Quant aux enjeux juridiques et normatifs des cybermenaces l’évolution du cadre français, l’impact des directives (NIS) et règlements européens (RGPD) et de la jurisprudence de la CJUE sur la lutte contre les cybermenaces (arrêt 21 décembre 2016), les travaux du Conseil de l’Europe, l’Assemblée générale des Nations Unies et le groupe G7, ainsi que la coopération internationale, compte tenu de la dimension internationale de la cybercriminalité, ont été énumérés dans le rapport.

Dans la deuxième partie concernant usages, phénomènes et perception de la menace, trois facteurs de la vulnérabilité, l’ingénierie sociale et les logiciels malveillants ont été identifié en tant que trois vecteurs principaux de diffusions des attaques telles qu’attaque ciblée et attaques en profondeur, détournement et vol de données, dénis de services, défiguration et les attaques téléphoniques.

L’internet avec un taux de pénétration de 87% en France et 54% dans le monde a été identifié comme le support principal, notamment à travers des smartphones et des tablettes, et désormais les objets connectés et les espaces intelligents, à des fins de terroristes, des escroqueries, d’extorsions de fonds, de fraude à la carte bancaire, des marchés criminels en ligne, des atteintes aux mineurs, de contrefaçon des œuvres de l’esprit et finalement d’atteinte à la démocratie. L’étude menée sur l’ensemble des faits portés à la connaissance de la gendarmerie montre une tendance globale en hausse de 30 % par rapport à 2016 ; plus de 60 % du total de ces infractions sont des escroqueries liées à Internet.

Dans la troisième partie concernant les actions du ministère de l’intérieur, trois actions principales de prévention et protection, d’enquête et d’innovation ont été envisagées. L’actions de prévention vise le grand public, la sensibilisation du monde économique, l’intelligence économique territoriale ainsi que la protection des systèmes d’information du ministère. La protection peut être garantie par le transfert de risque par le biais de l’assurance dont la couverture du risque cyber commence à se développer, même si les actifs intangibles ne peuvent encore être assurés de façon standardisée. Quant à l’action d’enquête au-delà de l’accueil des victimes d’actes de cybercriminalité, des services spécialisés comme investigation si possible sous pseudonyme, formation et coopération ont été envisagés.

En ce qui concerne l’action d’innovation, six axes principaux ont été identifiés : il s’agit de recherche et développement (outils d’investigation et d’analyse numérique (forensics) ainsi que projet de recherche académique), partenariat public-privé (Travaux de la filière industrie de sécurité, Cercles de réflexion), Transformation numérique : mieux signaler, mieux communiquer autour du cyber (Projet Néo PN/GN), Brigade numérique de la Gendarmerie, La mise en place du réseau des référents cybermenaces zonaux, Communication de crise : Système Alerte d’Information des Populations (SAIP) et Médias Sociaux en Gestion d’Urgence (MSGU)), mieux appréhender les phénomènes de masse (Projet Thésée, Projet Perceval), aider à la remédiation à travers des plateformes d’assistance aux victimes de cyber-malveillance, identité numérique.

A l’ère de l’économie numérique et face à la transformation numérique, la cybersécurité constitue un enjeu crucial à la fois pour les consommateurs adoptant davantage des pratiques d’achat et d’usage en ligne notamment les mineurs ainsi que pour les secteurs privé (notamment le secteur bancaire et financier, ainsi que le secteur de la santé) et public. La stratégie de la lutte contre les cybermenaces doit être l’affaire de tous (le secteur public, privé et les individus). Il convient ainsi de renforcer la capacité collective à prévenir et lutter contre le terrorisme…

RGPD et WHOIS de noms de domaine : point à date

Whois et RGPD : quelle problématique ?

Le RGPD encadre le traitement de données à caractère personnel au regard de l’Union européenne de façon bien plus stricte que par le passé. Dans cette dynamique, le nouveau règlement européen oblige désormais les offices d’enregistrement (registry) et les bureaux d’enregistrement (registrar), ces intermédiaires entre l’ICANN et le réservataire gérant la réservation de noms de domaine, à obtenir le consentement des réservataires pour la collecte de leurs données à caractère personnel et interdit leur divulgation au public. En effet, le WHOIS soulevait un problème pour la protection de la vie privée des personnes. La diffusion publique de l’identité, voire d’autres informations relatives au détenteur d’un nom de domaine, ainsi que celles des contacts administratifs et techniques qui peuvent être des personnes physiques, ouvrait la porte à l’exploitation commerciale de ces données sans consentement préalable. Or, il s’agit précisément d’une des problématiques que le règlement entendait traiter. Des changements relatifs à l’accès aux données à caractère personnel des fiches Whois étaient dès lors essentiels pour une mise en conformité effective.  Le modèle de Whois a également été remis en cause par le registrar allemand EPAG. Ce dernier qui fait une interprétation stricte du règlement a cessé de collecter les données des contacts administratif et technique pour les nouveaux enregistrements. L’ICANN a alors engagé une action judiciaire devant le tribunal régional de Bonn afin de requérir la continuation de la collecte de toutes les données WHOIS, et maintenir ainsi l’intégrité de la base de données WHOIS. Déboutée en première instance, l’ICANN a fait appel, action qui a conduit le tribunal de Bonn à se ressaisir de l’affaire.

La mise en conformité de l’ICANN

L’ICANN a donc été contrainte de faire évoluer sa politique de WHOIS. A cet effet, elle a modifié le 31 juillet 2017 ses contrats avec les registry concernant la collecte de données à caractère personnel (point 2.18 du contrat d’accréditation de Registry). La modification porte sur les relations entre regitry et registrar en imposant à ces derniers, lors de l’enregistrement de nom de domaine, d’obtenir le consentement des réservataires quant à la collecte et au traitementde leurs données pour inscription dans la base WHOIS et leur traitement conformément au contrat d’enregistrement des noms de domaine.  Dans cette optique, l’ICANN a retenu le 28 février 20184un modèle provisoire de WHOIS nommé le « Calzone Model » réduit à son minimum et appliqué à tous les titulaires de noms de domaine, dans et hors de l’Union européenne. Son but est de mettre en conformité à court terme l’exploitation de la base WHOIS avec les dispositions du RGPD, préalablement à une révision totale du système afin de permettre un équilibre optimal entre la lutte contre la cybercriminalité et la protection des données à caractère personnel. Les informations mises à disposition du public seront notamment le nom de domaine lui-même, les informations administratives et techniques (dates, statuts, nom du bureau d’enregistrement, serveurs dns), l’état et le pays du titulaire, le nom de l’organisation s’il s’agit d’une société ainsi qu’un moyen de contacter le titulaire (email anonymisé ou formulaire).  Dans le Calzone Model, les autres informations ne sont pas publiées et seuls des utilisateurs accrédités selon des critères non définis à ce jour pourront y avoir accès. Les utilisateurs accrédités envisagés seraient par exemple les autorités policières et judiciaires… et les titulaires de droits. Les propositions initiales de l’ICANN relatifs aux critères d’accréditation ont été rejetées par le Comité Européen de la Protection des Données (CEPD – anciennement G29). A ce jour, l’accès aux données complètes WHOIS est incertain et soumis à la seule appréciation des registrars.

Une application hétérogène par les registrars

En raison du rejet des propositions de l’ICANN par le CEPD et la mise en place dans la précipitation d’un modèle intérimaire, nous constatons une grande hétérogénéité dans les nouvelles politiques de confidentialité.  Par exemple, certains registrars masquent toutes les données tandis que d’autres n’appliquent pas encore les règles fixées par l’ICANN. Afin de communiquer avec le titulaire du nom de domaine enregistré, il est possible d’utiliser un formulaire en ligne qui permet de contacter directement le déposant (GoDaddy, Etats-Unis). D’autres bureaux ont mis en place un service proxy permettant la confidentialité des données à caractère personnel des réservataires (Namecheap). A l’inverse, certains registrars chinois continuent pour l’instant de divulguer les informations des titulaires européens.

Quelle stratégie adopter ?

L’application des dispositions du RGPD au regard des noms de domaine est aujourd’hui disparate.

Le cabinet Dreyfus suit l’évolution de la situation et élabore de nouvelles stratégies de défense des marques sur Internet pour s’adapter aux dispositions transitoires mises en place parl’ICANN. Il est en effet nécessaire de voir comment avancera le dialogue des différents acteurs afin de finaliser un modèle de Whois conforme aux dispositions du RGPD et garantissant un accès aux données à des tiers autorisés. Pour l’heure, le seul changement notoire à noter est l’impossibilité d’identifier via les données Whois des cybersquatteurs « à répétition » et d’engager des actions visant plusieurs noms de domaine simultanément. Nous vous tiendrons informés des avancées concernant ces problématiques.

A ce stade, notre équipe se tient à votre entière disposition pour toute question ou information complémentaire.