Noms de domaine : réservation, surveillance et litiges, comment protéger votre marque dans l’espace numérique

Written by Nathalie Dreyfus15/04/2026

En 2025, le Centre d’arbitrage et de médiation de l’OMPI a enregistré un nombre record de 6 282 plaintes liées aux noms de domaine, soit une hausse de 1,8 % par rapport à 2024. Derrière cette statistique, une réalité concrète : chaque jour, des entreprises, PME comme groupes internationaux, voient leur identité numérique détournée, copiée, exploitée à des fins frauduleuses.

Le nom de domaine n’est pas un simple accessoire technique. Il est la première interface entre votre marque et l’internaute. Sa gestion, de la réservation initiale à la défense contentieuse, est un enjeu stratégique de propriété intellectuelle que le cabinet Dreyfus & Associés accompagne depuis plus de vingt ans.

Cet article présente les trois piliers d’une stratégie efficace : réservation sécurisée, surveillance proactive et procédures de résolution des litiges. Nous abordons également l’audit de portefeuille, étape souvent négligée mais décisive.

1. La réservation du nom de domaine : anticiper pour sécuriser

Premier arrivé, premier servi : la règle qui change tout

En matière de noms de domaine, le droit de priorité appartient à celui qui enregistre en premier, indépendamment de tout droit antérieur sur une marque ou une dénomination sociale. Cette règle, consacrée par l’article L.45 du Code des postes et des communications électroniques, est la source de la majorité des conflits que nous traitons.

C’est pourquoi il est essentiel d’intégrer la réservation des noms de domaine dès les premières étapes d’une stratégie de droit des marques, et non après coup.

Les recherches d’antériorité préalables

Avant tout enregistrement, le cabinet recommande de vérifier les noms de domaine déjà enregistrés sur les extensions pertinentes (.fr, .com, .eu, .net…), les marques déposées comportant des éléments verbaux similaires (bases INPI, EUIPO, OMPI), les dénominations sociales et noms commerciaux identiques ou proches, et les réservations en cours via les mécanismes de sunrise lors du lancement de nouvelles extensions.

Cette étape préventive évite d’enregistrer un nom de domaine portant atteinte aux droits d’un tiers et de bâtir une présence numérique sur des fondations juridiquement contestables.

La stratégie d’extension : quelle couverture adopter ?

L’explosion des nouvelles extensions génériques lancées par l’ICANN, .shop, .online, .blog, .app et des centaines d’autres, rend la couverture d’extension plus complexe que jamais. Il n’est ni possible ni économiquement raisonnable de tout réserver.

Une stratégie équilibrée tient compte du secteur d’activité et des extensions attendues par les clients, de l’implantation géographique (le .fr est géré par l’AFNIC), des extensions les plus exposées aux abus, et des mécanismes de blocage préventif comme la DPML (Domains Protected Marks List), accessible via la Trademark Clearinghouse de l’ICANN.

Pour en savoir plus sur les enjeux des nouvelles extensions, nous vous invitons à aller lire notre article dédié sur : Les extensions de noms de domaine, un nouveau territoire pour les marques.

2. La surveillance des noms de domaine : une veille qui protège

Pourquoi surveiller après l’enregistrement ?

Réserver son nom de domaine est nécessaire, mais insuffisant. Chaque jour, de nouveaux enregistrements ciblent les marques les plus exposées, et les moins connues. Le cybersquatting s’est industrialisé : des acteurs malveillants exploitent les bases de données publiques de l’EUIPO ou de l’USPTO pour automatiser des enregistrements frauduleux ciblant des marques identifiées.

Les formes d’atteinte les plus fréquentes :

Cybersquatting classique : enregistrement d’un domaine identique ou quasi-identique pour le revendre ou parasiter la notoriété de la marque
Typosquatting : variantes orthographiques proches exploitant les fautes de frappe courantes
Phishing : utilisation d’un domaine similaire pour usurper l’identité de la marque et tromper les internautes
Combosquatting : ajout d’un terme générique à la marque (support-marque.com, marque-officiel.fr…)

D’autres formes d’atteintes se sont développées ces dernières années avec le pornosquatting (association du nom de domaine à des contenus à caractère sexuel pour nuire à l’image de la marque) ou encore le brandjacking sur les réseaux sociaux. Ces pratiques, bien que diverses, relèvent des mêmes fondements juridiques et des mêmes voies de recours.

Ces pratiques sont détaillées dans notre article Noms de domaine : prévenir et combattre les atteintes en ligne.

Les données de l’AFNIC : une réalité documentée

L’AFNIC publie une Vitrine Abus permettant de mesurer le volume d’enregistrements abusifs traités chaque trimestre. En 2025, les taux de suppression suite à vérification oscillent entre 75 % et 85 %, confirmant que la majorité des signalements aboutissent à l’élimination effective du domaine abusif. La menace est systémique, non conjoncturelle.

Pour comprendre la portée stratégique du .fr dans ce contexte, vous pouvez consulter notre article dédié : En quoi le .fr s’impose comme un levier clé de souveraineté n umérique.

Un service de veille active, pas une simple alerte

Le cabinet Dreyfus & Associés dispose d’un service de surveillance des noms de domaine couvrant la veille automatisée sur les enregistrements similaires à votre marque, la détection des variantes et combinaisons abusives, l’analyse de légitimité de chaque enregistrement identifié, la recommandation d’action adaptée (mise en demeure, procédure extrajudiciaire, action judiciaire), et la coordination avec les bureaux d’enregistrement pour suspendre ou transférer les domaines litigieux.

L’enjeu est d’intervenir le plus tôt possible : plus l’action est précoce, plus les chances de succès sont élevées, et moins l’atteinte a le temps de causer un préjudice commercial. Pour une vue d’ensemble des outils et méthodes : Surveillance des noms de domaine : protéger votre marque contre le cybersquatting.

3. Les litiges de noms de domaine : procédures et stratégies

Cartographie des procédures disponibles

Face à un enregistrement abusif, le choix de la procédure dépend de l’extension du domaine litigieux, de l’urgence et de la complexité du dossier. Le guide complet 2025 sur les litiges de noms de domaine présente l’ensemble des voies disponibles.

La procédure UDRP

Créée par l’ICANN en 1999 et gérée par l’OMPI, la procédure UDRP est le mécanisme de référence pour les extensions génériques (.com, .org, .net et de nombreux nouveaux gTLDs). Depuis sa création, plus de 80 000 litiges ont été traités.

Pour obtenir le transfert ou la suppression d’un nom de domaine, le requérant doit démontrer que le domaine est identique ou similaire à une marque sur laquelle il dispose de droits, que le titulaire n’a aucun droit ni intérêt légitime sur ce nom, et que le domaine a été enregistré et est utilisé de mauvaise foi.

Le taux de succès, lorsque le dossier est correctement préparé, est estimé entre 85 % et 90 %. La procédure aboutit généralement en 45 à 60 jours, pour un coût de l’ordre de 1 500 USD pour un expert unique, soit bien en deçà d’une procédure judiciaire. Depuis mars 2026, l’OMPI propose aussi une procédure UDRP accélérée permettant une décision en environ 30 jours.

Pour maîtriser les subtilités procédurales : Qu’est-ce que la procédure UDRP ? | 10 meilleures pratiques UDRP/URS.

La procédure SYRELI et le PARL Expert pour les extensions .fr

Pour les extensions françaises (.fr, .re, .pm, .yt, .tf, .wf), l’AFNIC propose deux procédures : la SYRELI, entièrement dématérialisée, rendue en environ deux mois pour 250 € HT de frais de dossier, et le PARL Expert pour les cas plus complexes.

Contrairement à l’UDRP, la SYRELI n’exige pas la démonstration de la mauvaise foi : il suffit de prouver que l’enregistrement ou l’usage est illégal ou abusif. Le record de rapidité : 18 jours pour un cas d’urgence sanitaire en 2024. Pour les extensions nationales hors France : UDRP et ccTLDs , ce qu’il faut savoir.

La URS et les procédures judiciaires

La URS (Uniform Rapid Suspension) permet la suspension rapide d’un nouveau nom domaine gTLD dans les cas manifestes de cybersquatting, sans transfert immédiat. Lorsque les procédures extrajudiciaires ne suffisent pas, une action en contrefaçon de marque ou en concurrence déloyale reste possible. La qualité d’experte judiciaire agréée près la Cour de cassation et la Cour d’appel de Paris de Nathalie Dreyfus confère au cabinet une légitimité particulière dans ce type de contentieux.

La mise en demeure : un levier préalable à ne pas négliger

Avant d’engager une procédure formelle, une lettre de mise en demeure bien rédigée permet souvent d’obtenir une résolution amiable rapide, notamment lorsque le titulaire n’est pas un cybersquatteur professionnel. Selon les estimations du secteur, 60 % des négociations aboutissent en moins de 30 jours, pour un coût moyen compris entre 900 et 5 000 €.

4. L’audit de portefeuille : l’étape que la plupart des entreprises négligent

De nombreuses entreprises ont constitué leur portefeuille de noms de domaine au fil du temps, sans stratégie d’ensemble. Le résultat est que l’on retrouve des domaines redondants, d’autres défensivement enregistrés mais devenus inutiles, et des dates d’expiration qui passent inaperçues jusqu’à ce qu’un tiers réenregistre un domaine stratégique.

L’audit de noms de domaine permet de recenser l’ensemble des domaines détenus et leurs dates d’expiration, évaluer la pertinence de chaque domaine au regard de la stratégie actuelle, identifier les extensions manquantes à sécuriser, rationaliser les coûts de renouvellement, détecter les domaines de tiers reproduisant vos marques, et produire un rapport assorti de recommandations hiérarchisées.

Dans le contexte de fusions-acquisitions ou de levées de fonds, l’audit de noms de domaine fait partie intégrante de la due diligence en propriété intellectuelle.

Pour un guide complet : Audit des noms de domaine : sécuriser et valoriser votre portefeuille numérique | Comment protéger un nom de domaine ?.

Conclusion : une stratégie intégrée, pas une réaction tardive

La protection des noms de domaine ne s’improvise pas. Elle suppose une approche articulée autour de quatre temps complémentaires : anticiper lors de la réservation, surveiller en continu, agir rapidement en cas d’abus, et auditer régulièrement le portefeuille.

Le cabinet Dreyfus & Associés accompagne entreprises, institutions et groupes internationaux dans la gestion intégrale de leur patrimoine numérique, de la réservation stratégique à la procédure contentieuse. Avec un réseau de plus de 500 cabinets partenaires dans plus de 50 pays, nous offrons une couverture internationale à la hauteur des enjeux.

Questions fréquentes

Quelle est la différence entre un nom de domaine et une marque ?

Le nom de domaine est une adresse technique sur Internet ; la marque est un signe distinctif protégé par le droit de la propriété intellectuelle. Un conflit naît lorsqu’un nom de domaine reprend une marque sans autorisation, créant une confusion pour les consommateurs. La marque renforce considérablement les chances de succès dans les procédures UDRP et SYRELI.

Que faire si quelqu’un a enregistré un nom de domaine identique à ma marque ?

Plusieurs options existent selon l’extension : mise en demeure amiable, procédure UDRP (extensions génériques), procédure SYRELI (pour le .fr), ou action judiciaire. Le cabinet Dreyfus & Associés analyse chaque situation pour recommander la voie la plus adaptée. Notre guide complet sur les litiges de noms de domaine détaille toutes les procédures disponibles.

La procédure UDRP est-elle accessible aux PME ?

Oui. Le coût est de l’ordre de 1 500 USD pour un expert unique devant l’OMPI, significativement moins qu’une procédure judiciaire, avec un délai de résolution de 45 à 60 jours. Pour les litiges .fr, la SYRELI est encore plus accessible : 250 € de frais de dossier.

La DPML dispense-t-elle d’une surveillance continue ?

Non. La DPML réduit significativement le risque sur les extensions couvertes, mais ne remplace pas une veille active. Des variantes non incluses, des extensions non couvertes ou des usages frauduleux sans enregistrement restent à détecter. Blocage préventif et surveillance sont complémentaires.

Comment savoir qui a enregistré un nom de domaine abusif ?

En consultant le service WHOIS, bien que certaines données soient masquées depuis le RGPD. Pour obtenir les coordonnées complètes du titulaire, des actions complémentaires peuvent être nécessaires. Notre article Noms de domaine : prévenir et combattre les atteintes en ligne détaille les démarches applicables.

Qu’est-ce que la procédure SYRELI de l’AFNIC ?

La SYRELI est une procédure alternative gérée par l’AFNIC pour les litiges relatifs aux extensions françaises (.fr et extensions ultramarines). Entièrement dématérialisée, elle permet d’obtenir une décision en environ deux mois, sans démonstration de mauvaise foi requise.

Mon entreprise a-t-elle besoin d’un audit de portefeuille ?

Si vous détenez plusieurs noms de domaine ou si votre marque a évolué, un audit est vivement recommandé. Il identifie les domaines à renouveler en priorité, les extensions manquantes, les domaines de tiers à contester, et les vulnérabilités techniques. Lire : Audit des noms de domaine : sécuriser et valoriser votre portefeuille numérique.

Written by Nathalie Dreyfus23/03/2026

En 2025, le Centre d’arbitrage et de médiation de l’Organisation mondiale de la propriété intellectuelle (OMPI) a enregistré un record historique de 6 282 plaintes liées à des noms de domaine, soit une hausse de 1,8 % par rapport à 2024. Depuis la création du système UDRP en 1999, plus de 80 000 litiges ont été traités. Ces chiffres confirment une réalité que les professionnels de la propriété intellectuelle connaissent bien : le cybersquatting ne faiblit pas, il gagne en sophistication.

Dans ce contexte, la surveillance des noms de domaine n’est plus une option, c’est un pilier fondamental de toute stratégie de protection de marque. Le cabinet Dreyfus & Associés, spécialiste en propriété intellectuelle et industrielle, accompagne les entreprises dans la mise en place de dispositifs de veille performants. Nathalie Dreyfus, experte judiciaire agréée près la Cour de cassation (spécialité Marques) et près la Cour d’appel de Paris (spécialité Marques et Dessins et Modèles), dirige cette expertise au service des entreprises innovantes et des avocats en droit des affaires.

Cet article décrypte les enjeux de la surveillance des noms de domaine en 2025, les outils et méthodes à déployer, et les recours disponibles en cas d’atteinte.

Pourquoi la surveillance des noms de domaine est-elle devenue indispensable ?

Un paysage de menaces en expansion constante

Le nombre d’extensions de noms de domaine dépasse désormais 1 500, entre gTLD (.com, .net, .org), nouvelles extensions génériques (.shop, .online, .tech, .law) et ccTLD (.fr, .de, .co.uk). En 2024, les enregistrements de ccTLD ont progressé de 3,7 millions, soit une hausse de 2,7 %. Chaque nouvelle extension multiplie les opportunités d’enregistrement abusif pour les cybersquatteurs.

Le cybersquatting consiste à enregistrer un nom de domaine reproduisant ou imitant une marque dans l’intention d’en tirer profit, que ce soit par la revente, la redirection de trafic ou le détournement de clientèle. Le typosquatting, quant à lui, exploite les erreurs de frappe courantes des internautes (par exemple « dreyfuss.fr » au lieu de « dreyfus.fr ») pour rediriger vers des sites frauduleux ou concurrents.

Les conséquences concrètes pour les entreprises

Les dommages ne se limitent pas à l’image de marque. Selon le rapport conjoint EUIPO-OCDE de 2025, le commerce mondial de produits contrefaits représente 467 milliards de dollars, soit 2,3 % des importations mondiales. Les noms de domaine frauduleux servent souvent de porte d’entrée à ces circuits : faux sites e-commerce, pages de phishing imitant des marques légitimes, ou plateformes de revente de contrefaçons.

L’ANSSI, dans son Panorama de la cybermenace 2024, relève 4 386 événements de sécurité traités (+15 % par rapport à 2023) et 5 629 violations de données notifiées à la CNIL (+20 %). Le phishing via des noms de domaine usurpés reste l’un des vecteurs d’attaque les plus fréquents.

Les outils et méthodes de surveillance efficaces

La veille automatique multi-extensions

Le cabinet Dreyfus met en œuvre une surveillance continue sur l’ensemble des extensions de noms de domaine pour détecter toute tentative d’enregistrement abusif. Cette veille s’appuie sur des algorithmes de détection qui analysent les variations phonétiques, les fautes d’orthographe intentionnelles et les combinaisons suspectes incluant le nom de la marque.

L’intérêt de cette approche automatisée est double : elle couvre un volume de données impossible à traiter manuellement, et elle permet une réaction rapide, souvent dans les 24 à 48 heures suivant un enregistrement suspect.

La détection des atteintes à la marque en ligne

Au-delà des noms de domaine, la protection des marques en ligne englobe la détection d’usages abusifs sur les réseaux sociaux, les marketplaces (Amazon, Alibaba, eBay) et les moteurs de recherche (publicités usurpant une marque). Les données de l’OMPI montrent qu’n pratique environ 95 % des décisions UDRP aboutissent au transfert du nom de domaine au titulaire légitime de la marque, ce qui démontre l’efficacité du système lorsque la surveillance permet d’agir à temps.

L’intégration avec la stratégie de marque globale

La surveillance des noms de domaine ne fonctionne pas de manière isolée. Elle s’inscrit dans une démarche cohérente de gestion de portefeuille de marques, articulant recherches d’antériorité, dépôt, renouvellement et veille. Le cabinet Dreyfus utilise également son outil d’analyse de similarité de marques par intelligence artificielle pour croiser les alertes de noms de domaine avec les portefeuilles de marques existants.

Comment réagir face à une atteinte détectée ?

La mise en demeure : première étape amiable

Lorsqu’un enregistrement abusif est identifié, la mise en demeure constitue souvent la réponse la plus rapide et la moins coûteuse. Une lettre formelle, rédigée par un spécialiste en propriété intellectuelle, peut suffire à obtenir le transfert ou la suppression du nom de domaine litigieux, en particulier lorsque le détenteur agit par opportunisme plutôt que par malveillance organisée.

La procédure UDRP : rapidité et efficacité

Lorsque la voie amiable échoue, la procédure UDRP administrée par l’OMPI offre une alternative efficace. Elle aboutit généralement en 45 à 60 jours et coûte entre 1 500 et 4 000 dollars selon le nombre de noms de domaine concernés. En 2025, l’OMPI couvre désormais plus de 85 ccTLD, ce qui élargit considérablement le champ d’action de cette procédure.

L’action judiciaire : pour les cas les plus complexes

En cas de litige impliquant un préjudice économique significatif ou un réseau organisé de cybersquatting, l’action en contrefaçon devant les juridictions compétentes reste la voie la plus protectrice. Le rôle d’experte judiciaire de Nathalie Dreyfus, agréée près la Cour de cassation, confère au cabinet une légitimité particulière pour accompagner les avocats d’affaires dans ces procédures contentieuses où l’expertise technique fait la différence.

L’expertise Dreyfus & Associés : un accompagnement global

Le cabinet Dreyfus propose un accompagnement complet couvrant l’ensemble du cycle de vie de la propriété intellectuelle. Les recherches d’antériorité vérifient la disponibilité d’un signe avant tout dépôt. Le dépôt et le renouvellement de marques en France, en Europe et à l’international s’articulent avec des stratégies de nommage numérique cohérentes.

La veille et la surveillance couvrent l’ensemble des noms de domaine, des réseaux sociaux et des registres de marques. Cette vigilance permanente est complétée par un dispositif de cybersécurité adapté aux menaces actuelles.

Pour les avocats spécialisés en droit des affaires souhaitant collaborer sur des dossiers impliquant des enjeux de propriété intellectuelle, le réseau d’avocats spécialisés du cabinet Dreyfus offre un cadre privilégié de coopération professionnelle. Qu’il s’agisse de sécuriser une opération de M&A, d’accompagner un client victime de cybersquatting ou de structurer une stratégie de protection à l’international, cette collaboration permet de conjuguer expertise métier et connaissance approfondie du droit de la PI.

Conclusion

La surveillance des noms de domaine n’est pas un coût, c’est un investissement stratégique. Chaque jour, de nouveaux enregistrements abusifs ciblent les marques les plus exposées comme les plus discrètes. Ne pas surveiller, c’est laisser le champ libre aux cybersquatteurs et s’exposer à des préjudices financiers et réputationnels souvent difficiles à réparer.

Le cabinet Dreyfus & Associés met à votre disposition une expertise complète, de la veille automatisée à l’action contentieuse, pour sécuriser durablement votre présence numérique. Contactez-nous pour un diagnostic personnalisé de votre situation.

Questions fréquentes (FAQ)

Qu’est-ce que la surveillance des noms de domaine ?

La surveillance des noms de domaine consiste à surveiller en continu les nouveaux enregistrements de noms de domaine afin de détecter ceux qui reproduisent ou imitent une marque protégée.

Cette veille permet de détecter rapidement des pratiques telles que le cybersquatting, le typosquatting ou l’enregistrement de noms de domaine utilisés à des fins de phishing ou de fraude.

Combien de temps faut-il pour récupérer un nom de domaine via la procédure UDRP ?

La procédure UDRP administrée par l’OMPI dure généralement en 45 à 60 jours à compter du dépôt de la plainte.

Elle constitue un mécanisme extrajudiciaire rapide et relativement peu coûteux permettant d’obtenir le transfert ou l’annulation d’un nom de domaine enregistré de mauvaise foi. Elle représente l’outil privilégié de lutte contre le cybersquatting.

Pourquoi faire appel à un cabinet spécialisé plutôt qu’à un registrar ?

Un registrar gère l’aspect technique de l’enregistrement. Un cabinet spécialisé comme Dreyfus & Associés apporte une expertise juridique complète : analyse de la légitimité de l’enregistrement, conduite des procédures UDRP, stratégie de dépôt et de surveillance, et accompagnement contentieux si nécessaire. La qualité d’experte judiciaire agréée garantit en outre une approche conforme aux exigences probatoires.

Quels types d’entreprises sont concernées par la surveillance ?

Toute entreprise disposant d’une marque déposée ou d’une présence en ligne significative est concernée. Les données de l’OMPI montrent que les PME représentent 59 % des parties dans les litiges de noms de domaine en 2025, ce qui prouve que le cybersquatting ne touche pas uniquement les grandes entreprises. Le cabinet Dreyfus accompagne aussi bien les startups que les groupes internationaux.

La surveillance est-elle utile si l’entreprise n’a pas encore de marque déposée ?

Oui. Même sans marque déposée, une entreprise utilisant un signe distinctif à titre de nom commercial ou d’enseigne peut faire valoir ses droits antérieurs. Toutefois, le dépôt de marque reste la première recommandation du cabinet Dreyfus pour sécuriser efficacement sa stratégie numérique.

Written by Dreyfus22/03/2022

La procédure UDRP vise a connaitre des cas de cybersquatting abusif.

L’UDRP est une procédure administrative rationalisée et peu coûteuse qui ne s’applique qu’à des cas précis de cybersquatting abusif. Il arrive en effet que l’Expert chargé de la résolution d’un litige refuse une plainte au motif que les faits dépassent le cadre de la simple procédure UDRP. Ce fut notamment le cas dans une affaire relative au nom de domaine litigieux <royaldragonvodka.com> (OMPI, D2021-2871), impliquant des revendications concurrentes de droits sur plusieurs marques. Par cette décision, l’Expert rappelle que la procédure UDRP n’a pas vocation à s’inscrire dans la résolution de litiges plus larges que ceux liés uniquement aux noms de domaine.

Pour en savoir plus, vous pouvez lire notre commentaire de cette décision dans le numéro de février de la revue Propriété Industrielle de LexisNexis.

Référence :

OMPI, Centre d’arbitrage et de médiation, Affaire n° D2021-2871, 24 novembre 2021, Capital Distribution Holding Inc. v. Hiro Bharwani, Horizons Group (London) Ltd

Written by Dreyfus18/05/2021

(OMPI, centre d’arbitrage et de médiation, 23 février 2021, affaire n°D2020-3322, Netflix Inc. contre WhoisGuard, Inc. / Siddharth Sethi)

Lire la veille ici

Written by Dreyfus18/05/2020

« La sécurité informatique des parlementaires est proche de zéro », alerte Jérôme Bascher, sénateur LR de l’Oise dans son rapport d’information au Sénat n° 82 (2019-2020), le 22 octobre 2019.
Il s’agit de distinguer les fonctions institutionnelles des pratiques informatiques des parlementaires eux-mêmes. Si les premières sont relativement bien protégées, puisqu’elles bénéficient d’aides comme celle de l’Anssi (agence nationale de la sécurité des systèmes d’information), les secondes sont la source d’une grande insécurité informatique.
Les facteurs d’insécurité informatique liés au personnel

1. La liberté d’avoir son propre matériel informatique
Le personnel est un élément clef dans la sécurité informatique, or chaque parlementaire a la liberté d’avoir son propre matériel (téléphone Huawei ou Apple) et l’insécurité peut provenir de ses échanges et des moyens qu’il emploie pour communiquer. En effet, les applications mobiles de messagerie instantanée qu’il est susceptible d’utiliser passent par les GAFA. Elles sont logées chez les serveurs d’Amazon web service et non OVH, par exemple, qui pourrait potentiellement être un efficace serveur français. A cela sera opposé l’argument selon lequel Amazon Web service est aussi basé en France,

2. Une trop faible sensibilisation des sénateurs
Si le Parlement bénéficie de systèmes de détection des attaques par cheval de Troie sur les sites institutionnels, le niveau de sécurité informatique des parlementaires est très bas.
Les dispositifs de sécurité informatique du Sénat ont intercepté plus de 30.000 contenus à risque en 2018. Le sénateur Bascher affirme que les services de sécurité subissent pas moins de 2 ou 3 cyberattaques par semaine.
Seuls les sénateurs volontaires sont sensibilisés à la sécurité informatique, « je n’ai jamais eu un virus de ma vie, car je fais attention » précise le sénateur Bascher. Parmi les risques que les pouvoirs publics encourent, se trouve le « facing », c’est-à-dire la création d’une fausse page internet qui pourrait faire l’apologie du terrorisme, que pourraient notamment subir les chaines Public Sénat et LCP-AN, dont les crédits sont compris dans la mission des pouvoirs publics, non sans rappeler l’attaque à l’encontre de la chaine TV5 Monde il y a quelques années, qui depuis a dû faire des efforts d’investissement pour payer sa protection.

Par ailleurs, sont envisagées des attaques par déni de service, c’est-à-dire une multiplication des requêtes rendant le site inaccessible.
Le constat des cyberattaques contre les pouvoirs publics est aujourd’hui indéniable, comme en témoignent les cyberattaques ayant frappé l’Estonie en 2007, le Bundestag allemand en 2015, ou dans une moindre mesure, le Sénat en 2011.

Les solutions à mettre en place pour renforcer la sécurité informatique des parlementaires :

1. Le dispositif de protection informatique actuel
Le Sénateur Bascher rappelle qu’en France, 10% des dépenses informatiques sont consacrées à la sécurité. Un programme géré par le ministère de la Défense consiste à recruter des cybercombattants, cependant il existe un déséquilibre de protection puisque l’Elysée a son réseau propre, ce qui n’est pas le cas du Parlement. Le budget alloué à la cybersécurité devrait être revu à la hausse, pour le sénateur.

2. Un dispositif à renforcer
L’objectif premier serait de mieux équiper les parlementaires et de les sensibiliser d’avantage aux risques informatiques.
Pour le sénateur, il faudrait également renforcer les moyens de l’Anssi, qui est actuellement la seule entité à s’occuper de tous les organes du pouvoir.

Les pouvoirs publics sont donc au cœur des enjeux stratégiques et décisionnels des démocraties occidentales, conséquence de quoi ils sont la cible privilégiée des attaques informatiques. Cela est encore plus vrai en période d’échéances électorales, comme l’a démontré l’élection présidentielle américaine de 2016. Il est temps de renforcer le dispositif de protection informatique des parlementaires.

Written by Dreyfus15/04/2020

Webinar 7 avril 2020 : INTERNET et COMPLIANCE (partie 1)

Les règles du jeu ont changé :

les stratégies pour protéger l’entreprise et ses dirigeants.

Les contraintes légales, réglementaires et fiscales (LCEN, Loi Sapin 2, Loi Vigilance, RGPD, Directive NIS) sont de plus en plus rigoureuses et font porter aux entreprises une responsabilité accrue en cas de négligence, voire de simple inaction. Le concept anglo-saxon du « Name and Shame » entre ainsi dans les pratiques françaises et européennes.

Pour faire face à ces nouvelles responsabilités, les entreprises doivent mettre en place une politique de gouvernance à même de minimiser leur exposition au risque vis à-vis de leurs clients, de leurs actionnaires mais aussi des autorités de régulation.

Les noms de domaine jouent un rôle clé dans l’analyse des risques et la mise en place de plans de conformités. S’ils constituent un actif indéniable et essentiel au fonctionnement de l’entreprise (par exemple pour la messagerie électronique), ils sont aussi vecteurs de risque : phishing, fraude au président, faux sites, usurpation d’identité, e-mail forgés…

Les fraudes en ligne peuvent engendrer des pertes financières, nuire à la réputation de la société et de ses dirigeants, impacter le cours de bourse engendrant ainsi une perte de clientèle. Il est donc impératif de mettre en place les stratégies appropriées pour anticiper les dangers, réagir efficacement en cas d’atteinte et in fine protéger l’entreprise.

La situation actuelle liée à l’épidémie de coronavirus a pour effet d’augmenter les risques, le nombre de fraudes augmentant considérablement alors que les entreprises sont désorganisées et vulnérables.

Nous vous proposons d’analyser ces enjeux avec vous, en partageant notre retour d’expérience. Nous pourrons notamment répondre aux questions suivantes :

– Quelles sont les obligations des entreprises au regard de la compliance ?

– Quels sont les risques à anticiper ?

– Quelles stratégies mettre en oeuvre pour ce faire ?

– Quels points de contrôle ?

– Quels leviers mettre en oeuvre pour réagir efficacement en cas d’atteinte avérée ?

Written by Dreyfus30/08/2019

Les cyber-attaques sont à la hausse et deviennent de plus en plus sophistiquées. Notre modèle économique actuel est mondialement interconnecté ; les transactions commerciales et même la vie sociale dépassent les frontières nationales. Par conséquent, notre vulnérabilité aux cyber-attaques s’est accrue, ainsi les compétences des autorités chargées de la cyber-sécurité, ainsi que leurs réponses politiques sont essentiellement nationales.

Cette situation a fait prendre conscience aux autorités européennes de la nécessité de faire face à ces menaces de manière efficace et coordonnée, en s’appuyant sur des politiques axées sur la cyber-sécurité au sein de l’Union européenne. Il s’agit ainsi d’améliorer la coopération, l’échange d’informations et la coordination entre les États membres, les institutions et autres organes de l’Union européenne.

La Commission européenne, dans le cadre de la stratégie pour le marché unique numérique, a approuvé le Règlement n° 2019/881 de l’UE sur l’ENISA (Agence européenne pour la cyber sécurité) et sur la certification en matière de cyber sécurité des technologies de l’information et des communications, qui est entré en vigueur le 27 juin 2019.

Ce nouveau règlement vise deux objectifs principaux. D’une part, le premier objectif vise à donner à l’ENISA (l’Agence européenne pour la cybersécurité, aujourd’hui dénommée Agence de l’Union européenne pour la cybersécurité) un rôle accru dans le domaine de la cyber-sécurité, en fixant une série d’objectifs. D’autre part, le deuxième objectif consiste à mettre en place un cadre commun de certification au niveau européen dans le but de garantir un niveau suffisant de cybersécurité des produits, services et processus TIC dans l’UE, permettant ainsi de lutter contre la fragmentation actuelle du marché intérieur.

En ce qui concerne le premier objectif, la première nouveauté du règlement est de renforcer les pouvoirs à l’Agence européenne pour la cybersécurité (ENISA). Elle aura désormais un mandat permanent qui facilitera l’exercice des nouvelles fonctions assumées, dont l’une d’elle consiste à renforcer la coopération en matière de cybersécurité au sein de l’Union, par exemple en cas de cyberattaques de grande envergure ou de crises transfrontalières. Le renforcement de ces pouvoirs est possible grâce à une augmentation du budget dédié à l’ENISA, qui va passer de 11 à 23 millions d’euros sur une période de cinq ans.

Il convient de noter que la réglementation européenne prend également en compte les utilisateurs en abordant des concepts tels que la prise de conscience, l’application de bonnes pratiques et la santé numérique en déclarant que le changement qui s’opère nous concerne tous. Les parties publiques et privés recevront des recommandations sur la configuration et la maintenance sécuritaires de leurs appareils, la disponibilité et la durée des mises à jour, ainsi que sur les risques perçus.

Concernant le deuxième objectif visé par le règlement, celui-ci crée un cadre pour les certificats européens de cybersécurité pour les produits, processus et services qui seront valables dans toute l’Union européenne. C’est la première législation européenne sur le marché intérieur qui relève le défi d’améliorer la sécurité des produits connectés, des dispositifs internet des objets ainsi que des infrastructures critiques grâce à ces certificats. Le cadre de certification permet également à leurs utilisateurs de vérifier le niveau d’assurance de la sécurité et de s’assurer que les éléments de sécurité sont vérifiés de manière indépendante.

Le cadre de certification fournira des systèmes de certification à l’échelle de l’UE sous la forme d’un ensemble complet de règles, d’exigences techniques, de normes et de procédures. Cela se fera sur la base d’un accord au niveau de l’UE pour l’évaluation des propriétés de sécurité d’un produit ou d’un service spécifique basé sur les TIC, comme par exemple, les cartes à puce. Cela attestera que les produits et services TIC qui ont été certifiés conformément à un tel système sont conformes aux exigences spécifiées. En particulier, chaque système européen devra préciser : a) les catégories de produits et services couverts, b) les exigences en matière de cybersécurité, par exemple par référence à des normes ou à des spécifications techniques, c) le type d’évaluation comme l’auto-évaluation ou l’évaluation par un tiers, et d) le niveau d’assurance prévu, par exemple, de base, substantiel et/ou élevé.

Le mandat de l’ENISA est d’application immédiate dès l’entrée en vigueur du règlement, tandis que le cadre de certification de la cybersécurité devra être développé avant d’entrer en vigueur. À cet égard, la Commission a déjà inscrit à son ordre du jour la soumission de propositions à l’ENISA pour la préparation de projets de certification, ainsi que la création de groupes d’experts sur la cybersécurité.

Enfin, ce règlement européen vise non seulement à accroître la confiance des utilisateurs dans l’utilisation des dispositifs connectés, mais aussi à renforcer la cybersécurité au niveau européen ainsi que le marché intérieur, en le positionnant comme une référence mondiale, à l’instar d’autres marchés comme les États-Unis ou la Chine.

Grâce à son expertise dans la protection de l’innovation et de ses compétences dans la défense des droits de propriété intellectuelle sur internet, le cabinet Dreyfus & Associés pourra vous assister dans toutes vos démarches relatives à la défense de vos actifs sur internet.

Written by Nathalie Dreyfus05/10/2016

Expression ou mot précédé d’un dièse qui sert à classer thématiquement du contenu, en quelques années, le hashtag est devenu un élément incontournable des réseaux sociaux, aussi bien pour les personnes physiques, que les entreprises à travers leurs marques. L’impact quotidien de ce nouvel outil de communication dans notre société connectée est indéniable. Canal de communication direct, il offre une réelle proximité avec le client.

Il est intéressant de noter qu’un hashtag peut répondre à la définition d’une marque donnée par le Code de la propriété intellectuelle et la directive européenne 2008/95/EC et donc être protégé à ce titre, à condition toutefois d’en demander l’enregistrement et de satisfaire aux critères établis. En France, l’article L. 711-1 du CPI énonce que « peuvent notamment constituer un [tel] signe : a) Les dénominations sous toutes les formes telles que : mots, assemblages de mots, noms patronymiques et géographiques, pseudonymes, lettres, chiffres, sigles (…) ». Un hashtag pourrait alors être protégé par le droit des marques s’il satisfait aux conditions de distinctivité, disponibilité et licéité auxquelles se doit de répondre une marque.

Un enregistrement en bonne et due forme permet à coup sûr de protéger le hashtag contre toute reproduction ou imitation illicite. Toutefois, il parait assez incongru que le titulaire d’un droit de marque sur un hashtag en interdise l’utilisation à des internautes, puisque le hashtag n’a d’intérêt que dans son partage et sa propagation. Seule son utilisation dans la vie des affaires par un concurrent aura tendance à être réprimée et qualifiée de contrefaçon.

Il existe quelques entreprises ayant réussies à enregistrer des marques comportant le fameux symbole « # », principalement aux Etats-Unis. Par exemple, l’opérateur T-Mobile USA a déposé la marque « #7NIGHTSTAND CHALLENGE » (n°4671787) à l’USPTO, l’Office américain des marques et brevets. En France, la marque « #CLIENT ADDICT » a par exemple été déposée par Futur Telecom sous le n°4096205 en classe 9, 35, 38 et 42.

Cependant, récemment la California central district court, à l’occasion de la décision Eksuzian. v. Albanese, rendue le 7 août 2015¹ a estimé que les hashtags ne pouvaient être enregistrés en tant que marques du fait de leur nature descriptive : « hashtags are merely descriptive devices, not trademarks (…) ». Or, selon l’USPTO, les marques de commerce sont des mots, des noms, ou des symboles utilisés pour distinguer un produit ou des autres. Ils doivent avoir un caractère distinctif. Il y a, en général, quatre niveaux de spécificité allant de «arbitraire et fantaisiste » à « générique ». Pour les plus arbitraires et fantaisistes, l’USPTO² autorise l’enregistrement d’un hashtag à titre de marque. En revanche, les marques génériques ne bénéficient pas de cette protection. La position de l’USPTO est plus logique que celle de la cour : le but du droit des marques est de promouvoir et de protéger le caractère distinctif, et d’empêcher d’autres entités de tirer profit de ce caractère distinctif. Un hashtag favorise potentiellement le nom, la réputation, ou encore le produit d’une entreprise.

Ainsi, que ce soit en France, à l’échelle communautaire voire internationale, il semblerait indéniable et logique qu’à l’avenir et malgré cette décision de la California central district Court, un hashtag distinctif puisse continuer d’être enregistré à titre de marque. Affaire à suivre…

¹ California Central District Court, Eksuzian. v. Albanese, 7 août 2015.

² Bureau américain des brevets et des marques de commerce.

Written by Nathalie Dreyfus05/10/2016

Savoir se ménager la preuve d’une atteinte sur internet n’est pas anodin, notamment dans l’éventualité d’une action en justice et malgré le principe de la liberté de la preuve, un certain mode opératoire établi en la matière devra être respecté. En effet, à ce sujet, en 2010, un arrêt de la Cour d’Appel de Paris¹ rappelle qu’une simple copie écran réalisée par le plaideur lui-même n’a aucune valeur probante et ne suffit pas à rapporter la preuve de l’atteinte.

Archive.org, site géré par Internet Archive, organisation à but non lucratif, se targue d’avoir sauvegardé 450 milliards de pages internet avec sa wayback machine. Son système permet de fournir un instantané du contenu d’une page internet avec une grande fiabilité. Alors même que le contenu d’une adresse url peut avoir changé, le système d’archive.org permet d’éviter ce risque de modification dans le temps et de consulter une page internet telle qu’elle apparaissait dans le passé, voire jusqu’à plusieurs années auparavant.

Au niveau national, les juges ont longtemps été réfractaires à ce type de preuve. France, Etats-Unis, mais aussi Allemagne ont vu leurs tribunaux respectifs refuser un tel moyen de preuve en raison de l’absence de légalité de l’organisme émetteur des archives ou encore du manque de fiabilité des dates obtenues. A l’inverse, les organes juridiques supranationaux (centre d’arbitrage de l’OMPI, Office Européen des Brevets) se sont souvent montrés plus flexibles sur ce point.

Tout d’abord, la Cour d’Appel de Paris, le 2 juillet 2010, ne reconnait aucune force probante au constat internet de l’espèce, effectué au moyen d’archive.org , au motif que « le constat a été effectué à partir d’un site d’archivage exploité par un tiers à la procédure, qui est une personne privée sans autorité légale, dont les conditions de fonctionnement sont ignorées », avant d’ajouter que « cet outil de recherche n’est pas conçu pour une utilisation légale » et que « l’absence de toute interférence dans le cheminement donnant accès aux pages incriminées n’était donc pas garantie ». En réalité, cette jurisprudence est propre aux faits de l’espèce puisque, dans cette affaire, l’huissier, le tiers en question dans la décision, n’avait pas bien constaté la date à laquelle l’archivage avait été effectué, et les parties avaient alors dû se servir de l’adresse URL du site dans laquelle apparaît ladite date.

Par la suite, certains jugements ont à tort fait de ce cas spécial une généralité, la jurisprudence considérant alors les constats réalisés à l’aide du site « archive.org » comme dépourvus de force probante.

Néanmoins, la jurisprudence de l’Office Européen des Brevets en la matière a connu un changement récemment. Le 21 mai 2014, la chambre de recours de l’OEB (T 0286/10) a rendu une décision² concernant la prise en compte des archives de la wayback machine dans une affaire d’opposition à un brevet. La chambre de recours estime qu’il n’y a aucune raison de considérer les dates fournies par les archives d’internet comme inexactes, à charge pour le défendeur de prouver « de nouveaux éléments de nature à jeter la suspicion et apporter une preuve contraire destructrice de la présomption ». Elle précise par ailleurs que, bien qu’incomplète la bibliothèque d’archives, de par sa popularité et sa réputation, « présente des garanties suffisantes pour bénéficier d’une présomption de source d’information fiable et de confiance » la charge de la preuve du contraire est à la partie adverse.

Cette décision de l’OEB va donc plus en amont dans l’acceptation de preuves fournies par un système d’archives et dans la légitimité accordée au site archive.org. Dans la même lignée, le Centre d’Arbitrage et de Médiation de l’Organisation Mondiale de la propriété intellectuelle (OMPI) reconnait la validité des preuves issues du site « archive.org ».

Néanmoins, la route tendant à faire évoluer les considérations nationales, et notamment françaises, semble longue tant l’entité émettrice des captures d’écran paraît illégitime aux yeux des juges nationaux.

Toutefois, on remarque une évolution dans la jurisprudence française. Tout d’abord, dans un arrêt du 19 mars 2014, la Cour d’appel de Paris, pour prendre sa décision, s’est fondée sur une comparaison de pages de sites internet rapportées grâce au site « archive.org ».

Ensuite, la Cour d’appel de Lyon, le 28 mai 2014, a daté le début d’exploitation d’un nom de domaine en prenant en compte des impressions écrans du site « archive.org ».

Finalement, le TGI de Paris admet, le 21 octobre 2015, la valeur à titre de preuve du site « archive.org ».

Cependant, un constat d’huissier semble rester indispensable afin de faire constater les pages utiles. En effet, la jurisprudence considère que faute de constat d’huissier, la simple impression ne suffit pas comme mode de preuve. Il conviendra donc de s’adjoindre les services d’un huissier de justice territorialement compétent et spécialisé dans les « constats internet », afin de dresser un constat dans le respect des règles de droit. Le caractère probant du constat établi par l’huissier dépendra du respect d’un certain mode opératoire, ainsi que de la présence de certaines mentions techniques, décrites dans la jurisprudence et la norme Afnor NF Z67-147, qui ne constitue toutefois qu’un recueil de recommandations de bonnes pratiques³. Il s’agira, entre autres, de la description du matériel ayant servi aux constations, de l’absence d’utilisation de proxy et du vidage de la mémoire cache. Le défaut de ces mentions laissera subsister un doute sur la concordance entre la page affichée et celle en ligne pour le constat. Afin de le rendre incontestable, l’huissier y précisera également son adresse IP. A noter enfin que les preuves rapportées grâce au constat devront avoir été obtenues loyalement⁴.

Ces décisions récentes reconnaissent donc une certaine valeur probante aux copies d’écran du site archive.org..La France s’aligne donc sur les décisions prises par les instances européennes et internationales sur ce point.

¹CA Paris 2-7-2010 RG n°2009/12757

²OEB, décision de la Chambre de recours technique du 21 mai 2014, Pointsec Mobile Technologies AB / Bouygues Telecom.

³Cour d’appel de Paris, le 27 février 2013

⁴Cour d’Appel de Paris, 7 octobre 2015 : validité de copies d’écran si des éléments extrinsèques probants permettant de conforter les éléments produits sont apportés tels qu’un constat d’huissier. Toutefois, « les preuves rapportées par un constat d’huissier doivent avoir été obtenues loyalement ».

Written by Nathalie Dreyfus08/07/2016

L’introduction des noms de domaine internationalisés (IDN TLD) permet à quiconque dans le monde de détenir un nom de domaine dans une langue particulière.

Le cybersquatting s’est dès lors développé, passant des Top-level domain names, tels que le <.com> ou <.cn>, à des écritures et signes non latins issus de l’arabe, du chinois ou encore du cyrillique, comme .中国 (.china) ou .рф (.rf).

L’internet multilingue

Depuis 2009, les extensions en caractères latins (des lettres a à z) et non latins, en nombres (de 0 à 9), ou avec des tirets (-) sont autorisés pour les noms de domaine de premier et deuxième niveaux.

Or il est prévu que le nombre d’utilisateurs d’internet dans le monde augmente, passant de quelques 413 millions en 2000 à environ 5 milliards en 2020… accompagné logiquement d’une augmentation du nombre de cybersquatteurs !

Histoire des noms de domaine internationalisés

Aujourd’hui, les noms de domaine sont un atout majeur à la garantie du succès d’une marque. Cependant, si de nombreuses sociétés mettent en place des services de surveillance pour leurs marques ou noms de domaine, elles ne devraient pas sous-estimer les risques potentiels que peuvent engendrer les noms de domaines en caractères non latins.

Le nombre significatif d’enregistrements de noms de domaine en caractères non latins

En 2016, on compte déjà plus de 6 millions de noms de domaine enregistrés en caractères non latins. Leur usage s’accroit, devenant pratique commune, notamment du fait des contenus web existant en de plus en plus de langues différentes. 10% des sites sont en anglais, 22% en russe, 19% en chinois et 12% en japonais.

L’intensification de la tendance

En 2014, l’ICANN a commencé à encourager les nouvelles extensions visant une communauté, notamment en arabe, cyrillique et chinois. Depuis, cinq différents panels ont été créés par pays dans le monde en vue de labéliser et réguler des zones par nation. La procédure accélérée d’établissement de noms de domaine internationalisés a été introduite en 2009 et permet aux pays et territoires de soumettre leurs demandes pour l’ouverture des extensions de noms de domaine en caractères non latins.

Un outil spécifique de surveillance

L’introduction des noms de domaine internationalisés (IDN TLD’s) a engendré des changements techniques significatifs dans la représentation des noms de domaine et rendu insuffisant les outils traditionnels de surveillance. Les noms de domaine internationalisés sont enregistrés sous forme codée, ne permettant pas la reconnaissance d’un terme à titre de marque. Seul un outil spécifique peut détecter les cas de cybersquatting de noms de domaine internationalisés.

Ne restez pas inactifs ! Surveillez vos noms de domaine internationalisés sur internet et poursuivez les cybersquatteurs dans l’espace entier des noms de domaine grâce à des outils adaptés.

Le Cabinet Dreyfus & associés est spécialisé dans les surveillances de noms de domaine et peut vous aider à gérer et prévenir les pratiques abusives sur internet. N’hésitez pas à nous contacter pour tout renseignement supplémentaire.

Lisez aussi

Les premiers ccTLDS IDN arrivent!

Sur la route des ccTLDs IDN