Le 26 août 2009, le TGI de Paris a rendu un jugement dans une affaire opposant une dizaine de titulaires de marques à l’AFNIC et à l’unité d’enregistrement Eurodns au sujet de réservations abusives de noms de domaine en <.fr> par des tiers se plaçant sous couvert d’anonymat.
Ce jugement a condamné Eurodns à transférer la quasi-totalité des noms de domaine en cause. Il n’a pas sanctionné l’AFNIC qui n’avait ni gelé, ni bloqué les noms de domaine en cause suite à la délivrance de l’assignation. La récupération des noms de domaine impliqués dans l’action était pourtant dès lors mise en danger. Ce jugement n’a pas retenu la responsabilité d’Eurodns alors même que les titulaires de marque impliqués dans l’action étaient titulaires de marques notoires et qu’Eurodns avait déjà eu directement connaissance de l’existence de certaines des marques évoquées dans l’action. Cependant, cette décision a permis aux titulaires de marques d’obtenir le transfert de la quasi-totalité des noms de domaine litigieux.
Le jugement étant revêtu de l’exécution provisoire, l’unité d’enregistrement Eurodns est tenue de l’exécuter. Transférer les noms de domaine en cause ne correspond pas à une procédure d’Eurodns en cas de cybersquatting mais simplement à l’exécution du jugement du TGI de Paris.
La plupart des titulaires de marques demandeurs en première instance ont intenté un appel à l’encontre de ce jugement. Le jugement, la responsabilité d’Eurodns, l’attitude de l’AFNIC vis-à-vis des noms de domaine en cause vont ainsi faire l’objet d’un nouvel examen.
Il est à noter que plus récemment, le 6 octobre 2009 le TGI de Versailles a rendu un jugement sanctionnant l’AFNIC pour ne pas avoir bloqué un nom de domaine francelot.fr qui lui avait été signalé comme portant atteinte à un titulaire de marque, la société Francelot. L’AFNIC avait tenté d’appeler l’unité d’enregistrement de ce nom, Eurodns en garantie mais le tribunal a refusé considérant qu’Eurodns n’avait commis aucune faute. Il s’agissait toutefois d’une situation où Eurodns était appelé en garantie, sa responsabilité n’avait pas été recherchée directement. L’AFNIC a interjeté appel de cette décision qui l’a condamnée à verser 4500 Euros au titulaire de marque. La responsabilité de l’AFNIC va ainsi faire l’objet d’un nouvel examen, de même que l’appréciation du comportement d’Eurodns et de son rôle dans la réalisation du préjudice.
Les accros aux vidéos et jeux en ligne vont-ils devoir se limiter en raison du virus H1N1 ? D’après une étude de 2007 du ministère de l’intérieur américain, en cas d’épidémie, si les écoles ferment, les pics et volumes de connexion pourraient changer et des ralentissements ou pannes de connexion pourraient alors être constatés. Le virus H1N1 pourrait ainsi mettre à mal l’Internet en raison de l’accroissement du télétravail chez les enfants et un sénateur américain a soumis un projet de loi au Sénat pour protéger le réseau en début d’année 2009. Source : Wall Street Journal, 2 octobre 2009
Marques composées de chiffres opérant en Allemagne, soyez prêts :
A partir du 23 octobre 2009, le registre allemand des noms de domaine va autoriser l’enregistrement de nouveaux noms de domaine :
– les noms de domaine composés d’un ou deux chiffres ;
– les noms de domaine composés exclusivement de chiffres.
Les titulaires de marques composées exclusivement de chiffres vont alors pouvoir enregistrer leurs marques sous l’extension <.de> et le nombre de noms de domaine en <.de> va encore augmenter.
Futurs sous noms de domaine en .de à garder à l’oeil
A partir du 23 octobre 2009, le registre allemand des noms de domaine va autoriser l’enregistrement de noms de domaine composés de combinaisons de lettres identiques à une extension générique ou à une plaque d’immatriculation allemande. Des noms de domaine tels que <.org.de>, <.com.de>, <.biz.de>, <.net.de>, <.info.de> vont pouvoir voir le jour. Attention aux futurs sous noms de domaine et aux nouvelles atteintes aux marques qui pourraient en dériver, la vigilance doit être de mise pour les titulaires de marques !
Le Cloud Computing est aujourd’hui une technologie incontournable pour les entreprises de toutes tailles, largement intégrée dans les pratiques quotidiennes. Si, à ses débuts, cette solution était perçue comme une révolution technologique, elle fait désormais partie intégrante du paysage informatique moderne. Le cloud permet aux organisations d’accéder à des services informatiques, tels que le stockage de données, les applications ou la puissance de calcul, via des serveurs distants, sans avoir à investir dans une infrastructure physique complexe.
L’adoption du Cloud Computing a profondément modifié la manière dont les entreprises gèrent leurs ressources informatiques. Grâce à sa flexibilité, sa capacité à évoluer rapidement selon les besoins et ses coûts optimisés, le cloud est devenu un levier stratégique essentiel. De la start-up à la multinationale, en passant par le secteur public, cette technologie offre une solution simple et efficace pour répondre aux exigences croissantes de performance, de sécurité et d’accessibilité des données.
Introduction au Cloud Computing
Le cloud computing (ou informatique en nuage) a émergé dans les années 2000 comme une réponse aux besoins croissants des entreprises en matière de flexibilité, évolutivité et réduction des coûts. Auparavant, les entreprises devaient investir massivement dans des serveurs physiques et des infrastructures informatiques complexes pour stocker leurs données et faire fonctionner leurs applications. Ces systèmes, bien qu’efficaces, représentaient un investissement lourd en termes de coûts d’achat, de maintenance et d’upgrade.
L’apparition du cloud computing a permis de changer cette donne en offrant une solution en ligne, où les ressources informatiques (telles que le stockage, le calcul, les applications) sont fournies par des serveurs distants accessibles via Internet. Ce modèle a non seulement éliminé la nécessité d’une infrastructure locale coûteuse, mais a également permis une gestion plus souple et plus scalable des données.
Le cloud computing repose sur la virtualisation, une technologie qui permet de partager des ressources physiques à travers plusieurs serveurs distants. Ainsi, au lieu d’acheter et d’entretenir des serveurs individuels, une entreprise peut accéder à une infrastructure virtuelle partagée, de manière flexible et à la demande. Ce modèle « à la demande » permet aux entreprises de louer uniquement les ressources dont elles ont besoin, en fonction de leurs besoins actuels, et d’adapter rapidement ces ressources en fonction de l’évolution de la demande.
Les différents types de Cloud Computing
Le cloud computing prend plusieurs formes adaptées aux besoins des entreprises. Chacune de ces formes présente des avantages distincts en termes de contrôle, sécurité et flexibilité.
Public Cloud
Le public cloud est la forme la plus courante de cloud computing. Dans ce modèle, les services informatiques sont hébergés sur des serveurs publics et sont accessibles par Internet. Des acteurs comme Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform offrent des ressources de calcul et de stockage de manière flexible et à la demande.
Private Cloud
Le private cloud ou cloud privé est un modèle où une entreprise conserve un contrôle total sur ses ressources et ses données, souvent sur des serveurs dédiés. Ce modèle est couramment adopté par les grandes entreprises qui nécessitent un niveau élevé de personnalisation, de sécurité et de contrôle.
Virtual Private Cloud (VPC)
Le Virtual Private Cloud offre une solution hybride, alliant la sécurité du cloud privé à la flexibilité du cloud public. Il permet de créer un environnement isolé au sein du cloud public, ce qui garantit un niveau de sécurité et de contrôle élevé tout en bénéficiant de la flexibilité du cloud.
Hybrid Cloud
Le hybrid cloud combine plusieurs types de clouds, permettant aux entreprises de bénéficier à la fois des avantages du public et du privé. Cela permet de transférer des charges de travail entre les clouds selon les besoins spécifiques, créant ainsi un environnement informatique plus flexible et évolutif.
Les avantages du Cloud Computing
Le cloud computing offre de nombreux avantages aux entreprises de toutes tailles. Ces avantages, qui concernent aussi bien les aspects financiers que techniques, permettent aux entreprises d’optimiser leurs processus tout en réduisant leurs coûts.
Optimisation des coûts
L’un des avantages majeurs du cloud computing est la réduction des coûts liés à l’infrastructure informatique. Contrairement à un modèle traditionnel où une entreprise doit investir massivement dans des serveurs et des infrastructures, le cloud permet de ne payer que pour ce que l’on utilise. Cette facturation à l’usage offre ainsi une grande souplesse et permet une gestion plus fine des ressources.
Scalabilité et flexibilité
Le cloud permet aux entreprises d’adapter rapidement leurs ressources en fonction de leurs besoins. Les capacités de stockage et de traitement peuvent être augmentées ou diminuées en quelques minutes, offrant ainsi une souplesse incomparable, notamment lors de pics d’activité.
Fiabilité et accessibilité
Grâce à la virtualisation, les services de cloud computing sont hautement fiables. En cas de défaillance d’un serveur, le service peut basculer automatiquement vers un autre serveur sans interruption pour l’utilisateur. De plus, les services sont accessibles de n’importe où, à tout moment, depuis n’importe quel appareil connecté à Internet, ce qui favorise le télétravail et les équipes distribuées.
Les risques et défis du Cloud Computing
Malgré ses nombreux avantages, le cloud computing présente également des défis auxquels les entreprises doivent être attentives. Ces risques touchent principalement à la sécurité et à la dépendance au fournisseur.
Sécurité des données
La sécurisation des données dans le cloud reste une préoccupation majeure pour de nombreuses entreprises. Bien que les fournisseurs de cloud investissent massivement dans des technologies de sécurité, il existe des risques liés à l’accès non autorisé, à la perte de données et à la violation de la confidentialité. Il est essentiel pour les entreprises de vérifier les conditions générales de service et de s’assurer que le fournisseur offre des garanties suffisantes en matière de sécurité.
Dépendance à Internet
Le cloud computing étant dépendant d’une connexion Internet stable, une panne ou une déconnexion pourrait rendre les services inaccessibles. De plus, la dépendance à un fournisseur unique implique un risque en cas de défaillance de ce dernier, ou si l’entreprise décide de changer de prestataire.
Conclusion
Le cloud computing représente une révolution technologique majeure pour les entreprises. Il permet non seulement de réduire les coûts et d’augmenter la flexibilité, mais aussi d’offrir un accès à des ressources informatiques puissantes sans la nécessité d’investir dans des infrastructures coûteuses. Toutefois, pour en tirer pleinement parti, les entreprises doivent soigneusement choisir leurs fournisseurs de cloud et mettre en place des mesures de sécurité robustes pour protéger leurs données sensibles.
Le cabinet Dreyfus et Associés est en partenariat avec un réseau mondial d’avocats spécialisés en Propriété Intellectuelle. Notre expertise nous permet de vous accompagner efficacement dans la gestion des défis juridiques liés à l’adoption du cloud computing.
Nathalie Dreyfus avec l’aide de toute l’équipe du cabinet Dreyfus.
FAQ
Qu’est-ce que le cloud computing et comment cela fonctionne-t-il ?
Le cloud computing permet d’accéder à des services informatiques (tels que le stockage, le calcul, ou les applications) via Internet, en utilisant des serveurs distants. Plutôt que d’investir dans des infrastructures physiques coûteuses, les entreprises peuvent louer ces services à la demande, en fonction de leurs besoins.
Quels sont les principaux types de cloud computing ?
Il existe plusieurs types de cloud computing :
Public Cloud : Services hébergés sur des serveurs publics, accessibles par Internet.
Private Cloud : Infrastructure dédiée à une seule entreprise, offrant un contrôle total.
Virtual Private Cloud (VPC) : Combine les avantages du cloud privé et public, avec un environnement sécurisé.
Hybrid Cloud : Combine plusieurs types de clouds, offrant flexibilité et sécurité.
Quels sont les principaux avantages du cloud computing pour une entreprise ?
Les avantages incluent la réduction des coûts d’infrastructure, la possibilité de scalabilité (ajouter ou réduire les ressources en fonction des besoins) et une accessibilité accrue grâce à la possibilité de travailler de n’importe où, à tout moment, sur n’importe quel appareil connecté.
Quels sont les risques associés à l’utilisation du cloud computing ?
Les risques comprennent la sécurité des données, notamment le risque d’accès non autorisé ou de violation de la confidentialité, et la dépendance à Internet et au fournisseur de services. Une connexion Internet défaillante ou un fournisseur qui rencontre des difficultés peut entraîner une interruption du service.
Comment garantir la sécurité des données dans le cloud ?
Pour garantir la sécurité des données, il est crucial de choisir un fournisseur de cloud réputé, d’utiliser des technologies de chiffrement et de vérifier les garanties de sécurité offertes dans les conditions générales de service. Les entreprises doivent aussi mettre en place des politiques strictes d’accès et de gestion des données.
61 compagnies, organisations et individus regroupant plusieurs acteurs majeurs de l’lnternet ont adressé le 21 septembre 2009 une lettre à I’ICANN. Ils appellent à ce que l’ICANN lance sans délai son plan d’introduction des nouvelles extensions génériques (new gTLD).
Il est fait mention dans la lettre que toutes ces nouvelles extensions permettront de résoudre un grand nombre de problèmes afférant aux noms de domaine : saturation des principales extensions génériques, explosion du second marché, asymétrie entre les zones de nommage, apparition des usemames sur les réseaux sociaux, manque de concurrence et coûts élevés. L’apparition des new gTLD devrait permettre d’accroître la concurrence entre les zones, de diminuer les coûts, de perfectionner la structure du DNS, rendre l’Internet plus sûr et créer de la valeur et des emplois.
Inutile de dire que si tous ces arguments apparaissent très généreux, ils sont à prendre avec grande parcimonie. Les réserves que l’on pourrait émettre son extrêmement nombreuses. Il ne faut donc pas s’empresser.
Ainsi il n’est pas dit que le cybersquatting disparaisse de la toile avec ces nouvelles extensions. Tout au contraire, la multiplication des zones de nommage va entraîner une explosion des cas de cybersquatting. Il n’est dans l’intérêt d’aucune entreprise de lancer une nouvelle extension générique dont les conditions d’accès seraient telles qu’elle ne serait pas rentable. L’exemple de l’inclusion récente de publicité sur le .tel montre que la rentabilité finit par primer sur les délimitations prévues d’une extension.
L’accroissement avancé de la concurrence entre les zones devrait prendre du temps à s’instaurer : le .net a échoué dans son dessein de concurrence du .com, le .info et le .biz ont été des ratages et le .travel a frôlé la faillite. Cette concurrence entre les zones sera d’autant plus lente à s’instaurer que la saturation dont souffrirait le .com, longtemps avancée, est sans cesse contredite par la réalité.
Il faut également souligner que certaines extensions ont une connotation politique forte. A l’image du .cat qui existe déjà pour la Catalogne, le Québec se doterait volontiers du .qc, de la même façon que l’Ecosse souhaiterait son extension. Les extensions en deux lettres sont pour le moment réservées aux Etats (ccTLD). Jusque là, le Québec est une province du Canada qui a certes le statut de nation au sein du Canada et qui bénéficie d’un strapontin à l’UNESCO. Les paradoxes politiques risquent donc de poindre sur la toile.
La constitution de chaque zone sera épineuse, longue et demandera des investissements et l’établissement de règles d’utilisation et d’éligibilité précises. L’ICANN se trouve donc au cœur d’une polémique qui divise l’Internet. Il n’est pas dit que sa politique traditionnelle de consensus puisse y survivre ; cependant, le remplacement du JPA par l’Affirmation of Commitments et affranchissant l’Icann de la tutelle américaine devrait avoir un effet accélérateur sur le projet.
Le double proxy s’est imposé, en quelques années, comme l’un des mécanismes techniques les plus redoutables utilisés par les cybersquatteurs professionnels. Derrière une apparente sophistication technique se cache une réalité juridique très concrète : une opacité organisée, destinée à ralentir l’identification des responsables, à neutraliser en pratique les actions de retrait et à accroître les atteintes portées aux marques, aux noms de domaine et à la réputation des entreprises.
Dans un contexte de criminalité organisée croissante, le double proxy ne constitue plus un simple outil d’anonymisation. Il permet désormais le déploiement de campagnes industrielles de phishing, de fraude à l’emploi, de contrefaçon numérique ou d’usurpation d’identité, conçues pour résister aux mécanismes classiques de réaction juridique.
Comprendre le double proxy : un mécanisme d’opacité en cascade
Le double proxy repose sur l’interposition successive de plusieurs intermédiaires techniques distincts entre l’utilisateur final et le serveur effectivement contrôlé par l’attaquant. Concrètement, le nom de domaine litigieux pointe vers un premier proxy, souvent opéré par un prestataire de type CDN ou reverse proxy, lequel redirige ensuite vers un second intermédiaire avant d’atteindre l’infrastructure finale.
Ces acteurs se présentent généralement comme de simples prestataires techniques et revendiquent, en pratique, le bénéfice du régime de responsabilité des hébergeurs, sous réserve de la qualification retenue au regard de leurs fonctions effectives. L’objectif poursuivi est clair : rompre le lien juridique et technique entre le contenu illicite et son exploitant réel. Chaque couche agit comme un écran supplémentaire, rendant l’identification du véritable hébergeur et du responsable du traitement particulièrement complexe.
Une architecture conçue pour fragmenter responsabilités et actions
Contrairement à un simple proxy, le double proxy repose sur une segmentation volontaire des rôles techniques et juridiques, qui fragmente la chaîne de responsabilité et complique toute action rapide et coordonnée.
Dans la pratique, la chaîne d’intermédiation fonctionne selon une logique bien rodée. Le bureau d’enregistrement identifie un point de contact technique et renvoie vers un prestataire CDN, dont la mission officielle consiste à optimiser la disponibilité et la performance des contenus. Ce prestataire redirige ensuite vers un hébergeur intermédiaire, qui n’est pas nécessairement l’exploitant réel du site. Enfin, cet hébergeur s’appuie sur un serveur d’origine dissimulé, parfois localisé hors de l’Union européenne.
Chaque acteur se présente alors comme un intermédiaire passif et renvoie la responsabilité vers le maillon suivant. Cette architecture en cascade exploite les zones grises du droit de la responsabilité des intermédiaires techniques : sans neutraliser juridiquement les mécanismes de notification et de retrait, elle en vide largement l’effectivité en diluant la connaissance effective des contenus illicites et la capacité d’action immédiate.
Pourquoi le double proxy est devenu l’arme ultime du cybersquatteur
Le premier effet du double proxy est une neutralisation systémique, en pratique, des procédures de takedown. Chaque prestataire sollicité invoque son statut d’intermédiaire, exige des décisions judiciaires locales ou renvoie vers un autre acteur de la chaîne. Une demande de retrait pourtant fondée se transforme alors en un parcours procédural fragmenté, incompatible avec l’urgence des fraudes en cours.
Le second effet est un accélérateur de campagnes frauduleuses à grande échelle. Le double proxy permet le recyclage quasi instantané des infrastructures : lorsqu’un site est suspendu, le contenu est répliqué ailleurs, le nom de domaine redirigé, et la chaîne de proxy reconfigurée en quelques minutes.
Enfin, cette architecture entraîne une dilution des responsabilités juridiques. Chaque intermédiaire invoque sa conformité locale, ses conditions contractuelles ou l’absence de connaissance effective, compliquant la démonstration de la mauvaise foi, pourtant centrale en matière de cybersquatting et de litiges de noms de domaine.
Les impacts pour les titulaires de droits
Le double proxy affaiblit l’effectivité des droits de marque et des mécanismes extrajudiciaires. Les procédures de type UDRP ou les actions de blocage menées auprès des bureaux d’enregistrement perdent en efficacité lorsque le contenu frauduleux demeure accessible malgré la suspension ou le gel du nom de domaine litigieux.
Chaque jour de maintien en ligne d’un site frauduleux génère un préjudice économique et réputationnel immédiat, marqué par une perte de confiance des clients et un risque accru de détournement de données à caractère personnel.
Sur le plan probatoire, le double proxy complique fortement la collecte des preuves. La rotation des adresses IP, la conservation limitée des journaux et l’instabilité volontaire des chaînes d’intermédiation rendent l’identification de l’exploitant réel particulièrement délicate.
Quelles solutions face au double proxy ?
Face au double proxy, l’efficacité de la réponse repose sur une approche juridique multi-niveaux. Celle-ci combine des notifications coordonnées auprès des registrars, prestataires CDN et hébergeurs, des mises en demeure juridiquement qualifiées et, lorsque les faits le justifient, des actions extrajudiciaires ou judiciaires ciblées. L’objectif est d’identifier, au sein de la chaîne technique, les acteurs disposant d’une capacité concrète d’intervention et d’éviter la dilution des responsabilités.
L’anticipation par la preuve technique est déterminante. La documentation précise des chaînes de proxy, les captures horodatées des redirections, l’analyse DNS dynamique et la conservation rapide des éléments techniques permettent d’établir le rôle effectif de chaque intermédiaire et de contester utilement la qualification d’intermédiaire purement passif.
À cet égard, la jurisprudence récente confirme l’intérêt de cette approche. Dans un jugement du 2 octobre 2025 (RG n° 24/10705) relatif à une affaire de fraude au streaming, le Tribunal judiciaire de Paris a admis qu’un prestataire d’infrastructure pouvait voir sa responsabilité engagée en tant qu’hébergeur indirect lorsque celui-ci était dûment notifié du contenu illicite du moment que cette qualification reste proportionnelle eu regard de ses fonctions techniques et de sa capacité d’action.
Conclusion
Le double proxy constitue aujourd’hui l’un des outils les plus sophistiqués et les plus déstabilisants du cybersquatting moderne. Son impact dépasse largement la question technique : il remet en cause l’effectivité des droits, la rapidité des recours et la protection des utilisateurs.
Face à cette arme, seule une stratégie globale, combinant expertise juridique, maîtrise technique et anticipation probatoire, permet de restaurer un rapport de force équilibré.
Le cabinet Dreyfus et Associés accompagne ses clients dans la gestion de dossiers de propriété intellectuelle complexes, en proposant des conseils personnalisés et un soutien opérationnel complet pour la protection intégrale de la propriété intellectuelle.
Nathalie Dreyfus avec l’aide de toute l’équipe du cabinet Dreyfus
FAQ
1. Le recours au double proxy est-il en soi illégal ?
Non. Le recours à un proxy, y compris multiple, est juridiquement neutre en soi. Ce n’est pas la technologie qui est illicite, mais l’usage qui en est fait. En revanche, lorsque le double proxy est utilisé pour dissimuler des activités manifestement illicites, il devient un indice fort de mauvaise foi dans l’analyse juridique globale.
2. Peut-on contraindre un intermédiaire à conserver ses logs ?
En principe, non sans intervention judiciaire. Les obligations de conservation sont strictement encadrées. En revanche, des mesures conservatoires rapides peuvent être sollicitées afin d’éviter la suppression automatique de données techniques essentielles.
3. Le recours à des serveurs hors UE empêche-t-il toute action juridique ?
Non, mais il complique les démarches. Il impose souvent des actions combinées (administratives, judiciaires) et un recours plus fréquent à l’entraide internationale ou aux acteurs situés en amont de la chaîne.
4. Les outils automatisés de détection sont-ils efficaces contre le double proxy ?
Ils sont utiles mais insuffisants seuls. Ils doivent être combinés à une analyse juridique et technique, capable d’interpréter les redirections, la structure des infrastructures et les signaux faibles.
5. Un site protégé par un CDN est-il forcément suspect ?
Non. Les CDN sont largement utilisés à des fins légitimes. C’est l’usage combiné de plusieurs couches de proxy, associé à des contenus illicites, qui peut devenir problématique.
6. Les hébergeurs sont-ils toujours en mesure d’agir rapidement ?
Pas nécessairement. Certains intermédiaires n’ont qu’un contrôle partiel sur l’infrastructure et doivent eux-mêmes se tourner vers d’autres prestataires avant de pouvoir intervenir.
Cette publication a pour objet de fournir des orientations générales au public et de mettre en lumière certaines problématiques. Elle n’a pas vocation à s’appliquer à des situations particulières ni à constituer un conseil juridique.
Dans un contexte marqué par un renforcement des exigences en matière de protection des données personnelles, la gestion des informations relatives aux titulaires de noms de domaine a connu des évolutions significatives. La pratique actuelle consistant à masquer les données WHOIS s’inscrit dans cette dynamique, mais elle n’est pas sans soulever des interrogations. En effet, elle semble entrer en tension avec le principe de transparence historiquement défendu par l’ICANN. Une question demeure dès lors persistante : l’anonymisation des détenteurs de noms de domaine est-elle réellement compatible avec les règles du système des noms de domaine ?
Qu’est-ce que le WHOIS et pourquoi est-il essentiel ?
Le WHOIS est un système distribué de données d’enregistrement permettant d’identifier le titulaire d’un nom de domaine. Il regroupe des informations clés telles que l’identité du titulaire, ses coordonnées, le bureau d’enregistrement ainsi que les dates d’enregistrement et d’expiration du nom de domaine.
Ce système repose historiquement sur un principe central de l’ICANN: la transparence. Celle-ci permet d’assurer un fonctionnement équilibré de l’écosystème des noms de domaine, en facilitant notamment :
Assurer la traçabilité des titulaires de droits ;
L’effectivité des mécanismes de protection et de règlement des litiges.
En pratique, le WHOIS constitue un outil de régulation, assurant l’équilibre entre la liberté d’enregistrement des noms de domaine et la nécessaire responsabilité de leurs titulaires.
Le cadre ICANN : transparence et obligations des bureaux d’enregistrement
Le cadre instauré par l’ICANN vise à garantir la fiabilité, l’accessibilité et la transparence des données d’enregistrement des noms de domaine. En vertu du Contrat d’accréditation de bureau d’enregistrement (Registrar Accreditation Agreement (RAA)) de 2013, les bureaux d’enregistrement sont tenus de collecter et de conserver des informations exactes, complètes et vérifiables relatives aux titulaires, ainsi que de mettre en place des mécanismes permettant leur accès dans des conditions encadrées, notamment dans le cadre de procédures contentieuses ou administratives.
Au-delà de ces obligations, le système repose sur un principe essentiel : celui de la responsabilité des titulaires de noms de domaine. L’enregistrement d’un nom de domaine implique que son titulaire puisse être identifié, afin de répondre des usages qui en sont faits. Cette identifiabilité conditionne concrètement l’exercice des droits des tiers, qu’il s’agisse de notifier une atteinte, d’engager une procédure UDRP ou d’assurer l’exécution d’une décision.
A travers son aspect technique, le WHOIS permet ainsi de mettre en application le mécanisme de régulation prévu par l’ICANN en assurant une traçabilité des détenteurs de noms de domaines
Le WHOIS anonymisé : fonctionnement et dérives depuis le RGPD
Depuis l’entrée en vigueur du RGPD le 25 mai 2018, de nombreux bureaux d’enregistrement ont adopté une approche particulièrement prudente dans la gestion des données WHOIS, notamment lorsqu’elles concernent des personnes physiques, conduisant en pratique à une anonymisation largement systématisée, souvent appliquée par défaut.
Dans ce cadre, ils ont progressivement ajusté leurs pratiques afin de concilier les dispositions en matière de protection des données personnelles avec les exigences historiques de transparence du système WHOIS. Cette évolution s’est traduite par une restriction de l’accès public aux données d’identification, ainsi que par le développement de solutions techniques de masquage.
Les données WHOIS masquées repose sur des services de “privacy” proposés par les bureaux d’enregistrement, consistant à substituer les données du titulaire par celles d’un prestataire d’anonymisation. Les informations d’identification sont ainsi masquées, un tiers apparaissant comme point de contact, rendant l’identité réelle du titulaire indirectement accessible.
Si cette évolution répond à des préoccupations légitimes de protection des données personnelles, elle affecte directement l’effectivité de la lutte contre les abus. Elle complique l’identification des titulaires, ralentit le traitement des litiges et entrave les actions de récupération de noms de domaine, tout en favorisant le développement d’usages frauduleux tels que le phishing, la contrefaçon ou le typosquatting.
En pratique, le WHOIS anonymisé tend ainsi à devenir un instrument de dissimulation, en rupture avec la logique de transparence historiquement au fondement du système des noms de domaine. Il en résulte une forme de sur-conformité dans laquelle la protection des données personnelles prévaut, en pratique, sur les exigences de d’accessibilités aux données, fragilisant ainsi l’un des piliers du modèle de régulation de l’ICANN.
Pour en savoir plus concernant les usages frauduleux des noms de domaine, nous vous invitons à consulter notre article précédemment publié.
Comment concilier la protection des données (RGPD) et les exigences de transparence de l’ICANN ?
La généralisation du WHOIS anonymisé révèle une tension reposant sur une nécessaire mise en balance des intérêts en présence.
D’une part : la protection des données personnelles ;
D’autre part : la nécessité de transparence et d’identifiabilité des titulaires.
C’est dans cette logique qu’ont émergé des mécanismes visant à en assurer la conciliation et au premier rang desquels figurent les dispositifs d’accès différencié aux données.
Si les informations WHOIS ne sont plus librement accessibles au public, elles peuvent être communiquées à des acteurs justifiant d’un intérêt légitime, notamment dans un contexte contentieux. Ce modèle, communément désigné sous le terme de “gated Whois”, tend à préserver la confidentialité des données tout en garantissant l’effectivité des droits.
Cette évolution s’inscrit dans le cadre de la Spécification temporaire relative aux données d’enregistrement des gTLD (« Temporary Specification for gTLD Registration Data») adoptée par l’ICANN en 2018, en réaction à l’entrée en vigueur du RGPD. Ce dispositif a remanié les modalités d’accès aux données WHOIS, créant la pratique d’une anonymisation par défaut tout en organisant des mécanismes d’accès encadré.
Ce principe trouve une illustration concrète dans le cadre des procédures UDRP. Lorsqu’une plainte est introduite, le centre d’arbitrage sollicite le bureau d’enregistrement afin d’obtenir une “registrar verification”, permettant d’identifier le titulaire réel du nom de domaine malgré l’anonymisation des données.
Toutefois, en dehors de ces mécanismes encadrés, l’accès aux données demeure fragmenté et largement dépendant des pratiques des bureaux d’enregistrement. Les conditions de divulgation, ainsi que les délais de traitement, varient sensiblement, ce qui en limite l’efficacité, en particulier dans les situations nécessitant une intervention rapide.
Conclusion
La conciliation entre RGPD et exigences d’accessibilité des données ne repose pas uniquement sur les textes, mais sur la mise en œuvre de mécanismes opérationnels fiables, permettant un accès proportionné, sécurisé et effectif aux données. À défaut, le risque est de voir s’installer un système dans lequel la protection des données, pourtant légitime, compromet l’efficacité des outils de régulation et de défense des droits.
Le cabinet Dreyfus accompagne ses clients dans la gestion de dossiers de propriété intellectuelle complexes, en proposant des conseils personnalisés et un soutien opérationnel complet pour la protection intégrale de la propriété intellectuelle.
Nathalie Dreyfus avec l’aide de toute l’équipe du cabinet Dreyfus.
FAQ
1. Les données WHOIS peuvent-elles être considérées comme des données personnelles ?
Oui, dès lors qu’elles permettent d’identifier une personne physique, elles entrent dans le champ du RGPD.
2. Le RGPD impose-t-il l’anonymisation totale du WHOIS ?
Non, le RGPD impose une protection des données personnelles, mais n’exige pas une anonymisation systématique. Celle-ci résulte souvent d’une interprétation prudente des acteurs.
3. Les données WHOIS sont-elles toujours exactes ?
Elles doivent l’être. Les bureaux d’enregistrement ont une obligation contractuelle de collecter des données exactes et à jour, même si elles ne sont pas publiques.
4. Peut-on obtenir les données WHOIS en dehors d’une procédure UDRP ?
Oui, via des demandes de divulgation (“disclosure requests”), mais leur issue dépend des pratiques du bureau d’enregistrement et de l’appréciation de l’intérêt légitime invoqué.
5. Peut-on engager une procédure UDRP sans connaître le titulaire ?
L’anonymisation du WHOIS n’empêche pas d’engager une procédure UDRP. La plainte peut être déposée contre le titulaire “inconnu” ou le service de confidentialité, étant précisé que l’identité du titulaire est ensuite révélée par le registrar dans le cadre de la procédure.
Cette publication a pour objet de fournir des orientations générales au public et de mettre en lumière certaines problématiques. Elle n’a pas vocation à s’appliquer à des situations particulières ni à constituer un conseil juridique.
L’arrêt Sunshine de la Cour d’appel de Paris du 16 janvier 2008 avait été très remarqué dans la mesure où il s’agissait de la première décision de justice faisant application du décret du 6 février 2007. L’ordonnance de référé du TGI de Paris du 13 juillet 2007 s’était alors vue infirmée. Pour les juges d’appel, le défendeur ne justifiait d’aucun droit ou intérêt légitime à enregistrer le nom sunshine.fr. Par conséquent le transfert du nom à la société requérante Sunshine, titulaire de la marque française du même nom, avait été ordonné.
Or dans un arrêt de cassation du 9 juin 2009, la Cour de cassation a posé que le transfert d’un nom de domaine ne constitue « ni une mesure conservatoire, ni une mesure de remise en état ». Par conséquent un juge des référés n’a plus le pouvoir en vertu de l’article 809 du Code de procédure civile d’ordonner le transfert d’un nom de domaine. Il demeure néanmoins le référé spécial de l’article L.716-6 du Code de la propriété intellectuelle en matière de contrefaçon de marque. Cependant il semblerait que l’arrêt emporte une impossibilité générale pour un juge des référés de prononcer un transfert de nom de domaine, tant au regard du droit commun que du droit spécial.
Les leçons à tirer de cet arrêt sont cruciales pour les titulaires de marques désireux de récupérer des noms de domaines. Etant donné que le juge de l’urgence n’est plus compétent pour ordonner le transfert d’un nom en.fr sur la base du référé de droit commun, l’attrait de la voie extrajudiciaire se trouve renforcé. Cette décision renforce donc l’avantage comparatif des procédures extrajudiciaires : coût, rapidité et rigueur. Toutefois cela ne supprime pas toute utilité à l’action judiciaire, dans la mesure où elle seule permet l’obtention de dommages-intérêts. Enfin le référé pourrait toujours se montrer efficace pour obtenir le gel de l’enregistrement d’un nom de domaine. Chaque cas est donc à étudier avec précision, mais il est indéniable que par cet arrêt la Cour de cassation a bien entendu fermer une porte jusque là ouverte.
Inscrivez-vous à notre newsletter et restez informés sur les enjeux de la propriété intellectuelle et de l’économie numérique !
Notre site utilise des cookies pour vous offrir le meilleur service, produire des statistiques et mesurer l'audience du site. Vous pouvez changer vos préférences à tout moment en cliquant sur la rubrique "Personnaliser mes choix".
When browsing the Website, Internet users leave digital traces. This information is collected by a connection indicator called "cookie".
Dreyfus uses cookies for statistical analysis purposes to offer you the best experience on its Website.
In compliance with the applicable regulations and with your prior consent, Dreyfus may collect information relating to your terminal or the networks from which you access the Website.
The cookies associated with our Website are intended to store only information relating to your navigation on the Website. This information can be directly read or modified during your subsequent visits and searches on the Website.
Les cookies nécessaires sont absolument essentiels au bon fonctionnement du site Web. Ces cookies assurent les fonctionnalités de base et les fonctions de sécurité du site Web, de manière anonyme.
Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site Web. Ces cookies aident à fournir des informations sur le nombre de visiteurs, le taux de rebond, la source de trafic, etc.
Le Cabinet Dreyfus & associés (« Dreyfus & associés ») est soucieux de la protection de votre privée et de vos données personnelles (« Données » ; « Données personnelles ») qu’elle collecte et traite pour vous.
Dreyfus & associés, à ce titre, respecte et met en œuvre le droit européen applicable en matière de protection des données et, en particulier, le Règlement Général européen sur la Protection des données personnelles Numéro 2016/679 du 27 avril 2016 (RGPD).
La présente Politique de Confidentialité a pour objet de vous informer de manière claire et complète sur la manière dont le Cabinet Dreyfus & associés, en sa qualité de responsable de traitement, collecte et utilise vos données personnelles, et sur les moyens dont vous disposez pour contrôler cette utilisation et exercer vos droits en rapport avec lesdits traitement, collection et utilisation de vos données personnelles.
Notre Politique de Confidentialité vise à vous décrire comment Dreyfus & associés collecte et traite vos données personnelles dans le cadre de vos visites sur notre site Web et d’autres échanges que nous avons par courriel ou par courrier, de la tenue de notre rôle en tant que représentants et conseils en propriété industrielle et des relations d’affaire avec nos clients et confrères, ou à toute autre occasion où vous transmettez vos données personnelles à Dreyfus & associés.
Written by Nathalie Dreyfus20/10/2009 
