Actualité

Le WHOIS anonymisé à l’ère du RGPD : une remise en cause des règles de l’ICANN ?

Introduction

Dans un contexte marqué par un renforcement des exigences en matière de protection des données personnelles, la gestion des informations relatives aux titulaires de noms de domaine a connu des évolutions significatives. La pratique actuelle consistant à masquer les données WHOIS s’inscrit dans cette dynamique, mais elle n’est pas sans soulever des interrogations. En effet, elle semble entrer en tension avec le principe de transparence historiquement défendu par l’ICANN. Une question demeure dès lors persistante : l’anonymisation des détenteurs de noms de domaine est-elle réellement compatible avec les règles du système des noms de domaine ?

Qu’est-ce que le WHOIS et pourquoi est-il essentiel ?

Le WHOIS est un système distribué de données d’enregistrement permettant d’identifier le titulaire d’un nom de domaine. Il regroupe des informations clés telles que l’identité du titulaire, ses coordonnées, le bureau d’enregistrement ainsi que les dates d’enregistrement et d’expiration du nom de domaine.

Ce système repose historiquement sur un principe central de l’ICANN: la transparence. Celle-ci permet d’assurer un fonctionnement équilibré de l’écosystème des noms de domaine, en facilitant notamment :

  • Assurer la traçabilité des titulaires de droits ;
  • L’effectivité des mécanismes de protection et de règlement des litiges.

En pratique, le WHOIS constitue un outil de régulation, assurant l’équilibre entre la liberté d’enregistrement des noms de domaine et la nécessaire responsabilité de leurs titulaires.

Le cadre ICANN : transparence et obligations des bureaux d’enregistrement

Le cadre instauré par l’ICANN vise à garantir la fiabilité, l’accessibilité et la transparence des données d’enregistrement des noms de domaine. En vertu du Contrat d’accréditation de bureau d’enregistrement (Registrar Accreditation Agreement (RAA)) de 2013, les bureaux d’enregistrement sont tenus de collecter et de conserver des informations exactes, complètes et vérifiables relatives aux titulaires, ainsi que de mettre en place des mécanismes permettant leur accès dans des conditions encadrées, notamment dans le cadre de procédures contentieuses ou administratives.

Au-delà de ces obligations, le système repose sur un principe essentiel : celui de la responsabilité des titulaires de noms de domaine. L’enregistrement d’un nom de domaine implique que son titulaire puisse être identifié, afin de répondre des usages qui en sont faits. Cette identifiabilité conditionne concrètement l’exercice des droits des tiers, qu’il s’agisse de notifier une atteinte, d’engager une procédure UDRP ou d’assurer l’exécution d’une décision.

A travers son aspect technique, le WHOIS permet ainsi de mettre en application le mécanisme de régulation prévu par l’ICANN en assurant une traçabilité des détenteurs de noms de domaines

Le WHOIS anonymisé : fonctionnement et dérives depuis le RGPD

Depuis l’entrée en vigueur du RGPD le 25 mai 2018, de nombreux bureaux d’enregistrement ont adopté une approche particulièrement prudente dans la gestion des données WHOIS, notamment lorsqu’elles concernent des personnes physiques, conduisant en pratique à une anonymisation largement systématisée, souvent appliquée par défaut.

Dans ce cadre, ils ont progressivement ajusté leurs pratiques afin de concilier les dispositions en matière de protection des données personnelles avec les exigences historiques de transparence du système WHOIS. Cette évolution s’est traduite par une restriction de l’accès public aux données d’identification, ainsi que par le développement de solutions techniques de masquage.

Les données WHOIS masquées repose sur des services de “privacy” proposés par les bureaux d’enregistrement, consistant à substituer les données du titulaire par celles d’un prestataire d’anonymisation. Les informations d’identification sont ainsi masquées, un tiers apparaissant comme point de contact, rendant l’identité réelle du titulaire indirectement accessible.

Si cette évolution répond à des préoccupations légitimes de protection des données personnelles, elle affecte directement l’effectivité de la lutte contre les abus. Elle complique l’identification des titulaires, ralentit le traitement des litiges et entrave les actions de récupération de noms de domaine, tout en favorisant le développement d’usages frauduleux tels que le phishing, la contrefaçon ou le typosquatting.

En pratique, le WHOIS anonymisé tend ainsi à devenir un instrument de dissimulation, en rupture avec la logique de transparence historiquement au fondement du système des noms de domaine. Il en résulte une forme de sur-conformité dans laquelle la protection des données personnelles prévaut, en pratique, sur les exigences de d’accessibilités aux données, fragilisant ainsi l’un des piliers du modèle de régulation de l’ICANN.

Pour en savoir plus concernant les usages frauduleux des noms de domaine, nous vous invitons à consulter notre article précédemment publié.

Comment concilier la protection des données (RGPD) et les exigences de transparence de l’ICANN ?

La généralisation du WHOIS anonymisé révèle une tension reposant sur une nécessaire mise en balance des intérêts en présence.

  • D’une part : la protection des données personnelles ;
  • D’autre part : la nécessité de transparence et d’identifiabilité des titulaires.

C’est dans cette logique qu’ont émergé des mécanismes visant à en assurer la conciliation et au premier rang desquels figurent les dispositifs d’accès différencié aux données.

Si les informations WHOIS ne sont plus librement accessibles au public, elles peuvent être communiquées à des acteurs justifiant d’un intérêt légitime, notamment dans un contexte contentieux. Ce modèle, communément désigné sous le terme de “gated Whois”, tend à préserver la confidentialité des données tout en garantissant l’effectivité des droits.

Cette évolution s’inscrit dans le cadre de la Spécification temporaire relative aux données d’enregistrement des gTLD (« Temporary Specification for gTLD Registration Data ») adoptée par l’ICANN en 2018, en réaction à l’entrée en vigueur du RGPD. Ce dispositif a remanié les modalités d’accès aux données WHOIS, créant la pratique d’une anonymisation par défaut tout en organisant des mécanismes d’accès encadré.

Ce principe trouve une illustration concrète dans le cadre des procédures UDRP. Lorsqu’une plainte est introduite, le centre d’arbitrage sollicite le bureau d’enregistrement afin d’obtenir une “registrar verification”, permettant d’identifier le titulaire réel du nom de domaine malgré l’anonymisation des données.

processus verification titulaire

Toutefois, en dehors de ces mécanismes encadrés, l’accès aux données demeure fragmenté et largement dépendant des pratiques des bureaux d’enregistrement. Les conditions de divulgation, ainsi que les délais de traitement, varient sensiblement, ce qui en limite l’efficacité, en particulier dans les situations nécessitant une intervention rapide.

Conclusion

La conciliation entre RGPD et exigences d’accessibilité des données ne repose pas uniquement sur les textes, mais sur la mise en œuvre de mécanismes opérationnels fiables, permettant un accès proportionné, sécurisé et effectif aux données. À défaut, le risque est de voir s’installer un système dans lequel la protection des données, pourtant légitime, compromet l’efficacité des outils de régulation et de défense des droits.

 

Le cabinet Dreyfus accompagne ses clients dans la gestion de dossiers de propriété intellectuelle complexes, en proposant des conseils personnalisés et un soutien opérationnel complet pour la protection intégrale de la propriété intellectuelle.

Dreyfus & Associés est en partenariat avec un réseau mondial d’avocats spécialisés en Propriété Intellectuelle.

Nathalie Dreyfus avec l’aide de toute l’équipe du cabinet Dreyfus.

 

FAQ

 

1. Les données WHOIS peuvent-elles être considérées comme des données personnelles ?

Oui, dès lors qu’elles permettent d’identifier une personne physique, elles entrent dans le champ du RGPD.

2. Le RGPD impose-t-il l’anonymisation totale du WHOIS ?

Non, le RGPD impose une protection des données personnelles, mais n’exige pas une anonymisation systématique. Celle-ci résulte souvent d’une interprétation prudente des acteurs.

3. Les données WHOIS sont-elles toujours exactes ?

Elles doivent l’être. Les bureaux d’enregistrement ont une obligation contractuelle de collecter des données exactes et à jour, même si elles ne sont pas publiques.

4. Peut-on obtenir les données WHOIS en dehors d’une procédure UDRP ?

Oui, via des demandes de divulgation (“disclosure requests”), mais leur issue dépend des pratiques du bureau d’enregistrement et de l’appréciation de l’intérêt légitime invoqué.

5. Peut-on engager une procédure UDRP sans connaître le titulaire ?

L’anonymisation du WHOIS n’empêche pas d’engager une procédure UDRP. La plainte peut être déposée contre le titulaire “inconnu” ou le service de confidentialité, étant précisé que l’identité du titulaire est ensuite révélée par le registrar dans le cadre de la procédure.

 

Cette publication a pour objet de fournir des orientations générales au public et de mettre en lumière certaines problématiques. Elle n’a pas vocation à s’appliquer à des situations particulières ni à constituer un conseil juridique.

Read More

Quelles sont les leçons de l’arrêt Sunshine en matière de transferts de noms de domaine ?

Introduction

Dans la pratique, de nombreuses entreprises pensent qu’être titulaire d’une marque suffit à récupérer un nom de domaine identique. L’affaire Sunshine vient précisément contredire cette idée. C’est dans cet arrêt du 9 juin 2009 que la Cour de cassation a posé des limites claires : le transfert d’un nom de domaine n’est ni automatique, ni obtenu facilement en référé.

Dans un environnement numérique où les noms de domaine constituent des actifs stratégiques, cette décision impose aux entreprises une vigilance accrue et une révision de leurs stratégies de protection.

Procédure et contexte juridique de l’affaire Sunshine

L’affaire oppose une situation fréquente en pratique avec d’un côté, une entreprise titulaire d’une marque, et de l’autre, un titulaire de nom de domaine.

En l’espèce :

  • Une marque « Sunshine » est enregistrée en 2001 pour des vêtements et chaussures
  • Un tiers réserve le nom de domaine sunshine.fr en 2005

Estimant que ce nom de domaine porte atteinte à ses droits, la société titulaire de la marque engagée avant toute décision au fond,  une procédure en référé pour en obtenir le transfert.

Par ordonnance du 13 juillet 2007, le tribunal de grande instance de Paris refuse d’ordonner le transfert du nom de domaine sunshine.fr et écarte également tout abus dans l’action engagée.

Le juge relève que le nom de domaine a été réservé en 2005 pour les besoins d’une société effectivement constituée la même année, et surtout avant l’entrée en vigueur du décret du 6 février 2007.

Il en déduit que le trouble invoqué n’est pas manifestement illicite, condition indispensable en référé. La demande est donc rejetée, les parties étant renvoyées à agir au fond pour trancher la question du risque de confusion avec la marque.

Dans un arrêt du 16 janvier 2008 (n°07/13959), la cour d’appel de Paris donne raison à la société titulaire de la marque en appliquant le décret du 6 février 2007, entré en vigueur postérieurement à l’enregistrement du nom de domaine litigieux, qui impose désormais à son titulaire de pouvoir justifier soit d’un droit, soit d’un intérêt légitime à détenir ce nom.

Se fondant sur cette nouvelle exigence réglementaire, la cour considère que le titulaire du nom de domaine sunshine.fr ne rapporte pas suffisamment la preuve d’un tel droit ou intérêt légitime. Elle en déduit que le maintien de l’enregistrement est irrégulier et fait droit à la demande, marquant ainsi une interprétation stricte des nouvelles règles issues du décret. Toutefois, cette analyse va être censurée.

Avant l’entrée en vigueur de ce décret, l’attribution des noms de domaine reposait essentiellement sur une logique technique, dominée par la règle du premier arrivé, premier servi, sans véritable contrôle des droits antérieurs.

La Cour de cassation, dans un arrêt du 9 juin 2009, viendra finalement mettre un terme à ce débat.

Des rappels de principe par la Cour de cassation

L’arrêt Sunshine du 9 juin 2009 s’inscrit dans la continuité du droit positif en rappelant plusieurs principes classiques.

Une règle fondamentale : pas de rétroactivité

La Cour de cassation rappelle avec force le principe posé à l’article 2 du Code Civil selon lequel une loi nouvelle ne peut pas remettre en cause une situation régulièrement constituée. Autrement dit, un nom de domaine régulièrement enregistré avant l’entrée en vigueur d’un nouveau cadre réglementaire ne peut être contesté sur le fondement de ce texte.

La marque ne donne aucun droit automatique sur un nom de domaine

La Cour de cassation rappelle également dans cet arrêt qu’être titulaire d’une marque ne permet pas automatiquement de récupérer un nom de domaine et ne suffit pas à caractériser une atteinte. Il faut aller plus loin et démontrer un comportement fautif. C’est ce que rappelle la Cour de Cassation avec l’ancien article R. 20-44-45 du code des postes et des communications électroniques qui prévoit que l’enregistrement ou le renouvellement d’un nom de domaine peut être contesté lorsqu’il porte atteinte aux droits des tiers (notamment une marque) et lorsque le titulaire ne justifie pas d’un droit ou d’un intérêt légitime.

L’arrêt impose également que le titulaire de la marque, qui souhaite obtenir le transfert d’un nom de domaine, démontre l’existence d’une mauvaise foi au moment de l’enregistrement et de l’exploitation du nom.

Toutefois, ces éléments constituent davantage des rappels du droit positif que de véritables apports.

L’apport central de l’arrêt : la limitation du recours au référé

L’intérêt majeur de l’arrêt Sunshine réside dans l’analyse opérée par la Cour de cassation sur le terrain procédural. Au visa de l’article 809 du Code de procédure civile, elle rappelle que le juge des référés ne peut prescrire que des mesures conservatoires ou de remise en état destinées à prévenir un dommage imminent ou à faire cesser un trouble manifestement illicite.

Or, la Cour juge que le transfert d’un nom de domaine ne saurait être qualifié de telle mesure. En effet, une telle décision ne présente pas un caractère provisoire, mais emporte des effets définitifs en modifiant la titularité du nom de domaine. En ordonnant ce transfert, la cour d’appel avait donc excédé les pouvoirs qui lui étaient conférés.

Par cette affirmation, la Cour de cassation met un terme à une pratique largement répandue consistant à recourir au référé pour obtenir rapidement le transfert d’un nom de domaine. Elle consacre ainsi une lecture stricte de l’office du juge des référés, incompatible avec des mesures qui reviennent à trancher le litige au fond.

Une recomposition des stratégies en matière de noms de domaine : vers des voies alternatives plus rapides et efficaces

Avant l’intervention de l’arrêt Sunshine, le recours au juge des référés constituait un réflexe fréquent. Cette voie procédurale permettait d’obtenir, dans des délais relativement courts, des décisions susceptibles d’avoir un impact immédiat sur la situation litigieuse. La possibilité d’obtenir un transfert en référé, même discutée, offrait un levier stratégique important.

La position adoptée par la Cour de cassation dans cet arrêt a profondément modifié cet équilibre. En excluant le transfert du champ des mesures pouvant être ordonnées en référé, elle prive les titulaires de droits d’un outil procédural particulièrement efficace.

Cette évolution a conduit les praticiens à réorienter leurs stratégies. Le contentieux judiciaire subsiste, mais il s’inscrit désormais principalement dans le cadre d’actions au fond, plus longues et plus exigeantes sur le plan probatoire. Ces actions présentent néanmoins l’avantage de permettre l’octroi de dommages-intérêts, ce que ne permettent pas les procédures extrajudiciaires.

Parallèlement, on observe un développement significatif du recours aux mécanismes alternatifs de résolution des litiges, tels que les procédures :

Le guide complet 2025 sur les litiges de noms de domaine présente l’ensemble des voies disponibles.

Ces dispositifs, spécialement conçus pour les litiges relatifs aux noms de domaine, offrent des garanties de rapidité et d’efficacité particulièrement adaptées aux enjeux du numérique. Ils permettent notamment d’obtenir le transfert du nom de domaine dans des délais relativement courts, sans avoir à engager une procédure judiciaire au fond.

Ainsi, l’arrêt Sunshine a contribué, de manière indirecte mais déterminante, à favoriser le recours à ces mécanismes spécialisés.

evolution resolution litige

Conclusion

L’arrêt Sunshine du 9 juin 2009 ne bouleverse pas les règles de fond applicables aux noms de domaine, mais il en transforme profondément la mise en œuvre. En restreignant le recours au référé, il modifie les équilibres procéduraux et conduit les titulaires de droits à repenser leurs stratégies.

Désormais, la question centrale n’est plus seulement celle de l’existence d’un droit, mais celle du choix de la voie la plus efficace pour en assurer la protection. Dans ce contexte, les procédures extrajudiciaires se sont imposées comme des outils incontournables, traduisant une adaptation du droit aux spécificités de l’environnement numérique.

Le cabinet Dreyfus accompagne ses clients dans la gestion de dossiers de propriété intellectuelle complexes, en proposant des conseils personnalisés et un soutien opérationnel complet pour la protection intégrale de la propriété intellectuelle.

Dreyfus & Associés est en partenariat avec un réseau mondial d’avocats spécialisés en Propriété Intellectuelle.

Nathalie Dreyfus avec l’aide de toute l’équipe du cabinet Dreyfus.

FAQ

1. Pourquoi faut-il réserver les noms de domaine dès le dépôt de marque ?
Parce que le principe du « premier arrivé, premier servi » reste déterminant. Un nom de domaine enregistré antérieurement, même par un tiers, peut être difficile à récupérer en l’absence de mauvaise foi démontrée.

2. Comment l’affaire Sunshine impacte-t-elle la stratégie des titulaires de marques ?
L’arrêt Sunshine impose une approche proactive : les titulaires de marques ne peuvent plus compter sur une récupération a posteriori des noms de domaine. Ils doivent anticiper leur protection en sécurisant en amont leurs actifs numériques.

3. Qui supporte la charge de la preuve dans les litiges de noms de domaine ?
La charge de la preuve repose entièrement sur le demandeur. C’est au titulaire de la marque de démontrer l’atteinte à ses droits et la mauvaise foi du titulaire du nom de domaine.

4. Que signifie la bonne foi en matière de noms de domaine ?
Elle implique un usage légitime, sans intention de tirer profit indûment de la réputation d’autrui.

5. Quelles bonnes pratiques adopter pour protéger ses noms de domaine ?
Les entreprises doivent mettre en place une stratégie structurée : réserver les noms de domaine stratégiques (marque, variantes, extensions), surveiller les dépôts concurrents, organiser une gestion centralisée de leur portefeuille.

Cette publication a pour objet de fournir des orientations générales au public et de mettre en lumière certaines problématiques. Elle n’a pas vocation à s’appliquer à des situations particulières ni à constituer un conseil juridique.

Read More