Internet

L’enregistrement et l’exploitation des noms de domaine et contrefaisant le titre « Val thorens » protégé par le droit d’auteur

business-dreyfus-81-150x150La Cour d’appel de Lyon, le 28 mai 2014, a reconnu la protection par le droit d’auteur du titre « Val Thorens ». Dès lors, sont constitutifs d’actes de contrefaçon l’enregistrement et l’exploitation des noms de domaine <val-thorens.net> et <val-thorens.org>.

M.V a enregistré les noms de domaines <val-thorens.net> et <val-thorens.org> respectivement en 1998 et 2000. Ce dernier exerce une activité de conseil en systèmes informatiques, gestion d’espaces publicitaires et hébergement web. L’Office du tourisme de Val Thorens a, quant à lui, enregistré la marque « Val Thorens » en 2004.

Tout d’abord, la Cour d’appel commence par rappeler que « en l’absence de revendication du ou des auteurs, l’exploitation d’une œuvre par une personne morale sous son nom fait présumer, à l’égard des tiers recherchés pour contrefaçon, que cette personne est titulaire sur l’œuvre, qu’elle soit collective ou non, du droit de propriété incorporelle de l’auteur ». Dès lors, l’Office du tourisme est fondé à agir.

L’expression « Val Thorens » vise en l’espèce un titre d’œuvres, de brochures et de sites internet dont l’originalité n’est pas discutée. Selon la Cour, le titre a fait l’objet d’un « processus créatif, portant la marque de la personnalité de l’auteur ». Il est associé à des toponymes, tels que le vallon du ruisseau Thorens, permettant d’obtenir une expression nouvelle, propre à désigner ces œuvres d’une manière « particulière, originale et reconnaissable ». Ainsi, la Cour retient un droit d’auteur sur « Val Thorens ».

Alors que l’Office apporte la preuve que le site <val-thorens.com> a été exploité depuis avril 1997, M.V ne fournit aucun élément permettant d’établir qu’il a déposé ou exploité le nom de domaine <val-thorens.org> avant 2000.

Enfin, l’Office utilise la marque Val Thorens pour des services d’hébergement temporaire. Selon la Cour, en proposant des annonces de ventes immobilières sur les sites <val-thorens.org> et <val-thorens.net>, M.V a commis un acte de contrefaçon de marque. En effet, un risque de confusion est susceptible d’être créé dans l’esprit du consommateur en raison de la similitude des services et des produits.

La décision rendue par la Cour d’appel de Lyon doit faire l’objet d’une appréciation modérée. En effet, la jurisprudence relative à la protection des titres d’œuvres est sévère et aléatoire. Les juges apprécient strictement l’originalité d’un titre (Cour d’appel de Paris, 6 septembre 2013, « Les amoureux de la Bastille » ; CA Paris, pôle 5, ch 2, 19 juin 2009, « L’empreinte de l’ange »). C’est pourquoi il est difficile de considérer cette décision comme constitutive d’un précédent. En raison de l’incertitude de la jurisprudence en droit d’auteur, il est préférable de se baser sur un droit de marque et donc d’enregistrer sa marque.

 

Read More

Pas de responsabilité contractuelle pour Instagram pour la modification de ses Conditions Générales d’Utilisation –CGU-

business-dreyfus-81-150x150Le 28 février 2014, la Cour fédérale de Californie a donné raison à Instagram dans un procès qui opposait le réseau social à l’une de ses utilisatrices (Rodriguez v. Instagram LLC, CGC 13-532875). Elle alléguait la violation des CGU du site par le réseau ainsi que le non-respect du droit californien des contrats.

 

En effet, après son rachat par Facebook, Instagram a modifié ses CGU. Respectant un préavis contractuel, le réseau a annoncé ce changement en décembre 2012, et les nouvelles conditions générales sont entrées en vigueur le 19 janvier 2013. Au programme, trois changements majeurs permettant d’harmoniser les conditions générales d’Instagram et de Facebook :

 

  • Les utilisateurs sont propriétaires du contenu qu’ils postent, et non plus simplement titulaires de droits sur ce contenu.
  • Le contenu posté par les membres du réseau social peut être utilisé par Instagram en vertu d’une licence cessible et sous-licenciable.
  • Les conditions générales d’utilisation sont désormais assorties d’une clause limitative de responsabilité.

 

Afin de faciliter l’adoption de ces nouvelles conditions, Instagram a contractuellement prévu une acceptation tacite des CGU par les utilisateurs s’ils continuaient d’utiliser le service au-delà du 19 janvier 2013. Mais considérant qu’elle s’était vue imposer des conditions qu’elle n’avait pas acceptées, une utilisatrice a donc porté l’affaire devant les tribunaux.

 

Le juge de la Cour fédérale de Californie a donné raison à Instagram sur tous les points.

 

En premier lieu, la demanderesse avait toute opportunité de lire les nouvelles conditions d’utilisation, chose qu’elle a faite. Elle pouvait également les décliner, et cela passait nécessairement par une cessation de l’utilisation des services d’Instagram. Pourtant elle a continué à utiliser le site internet.

 

Et la demanderesse d’alléguer que le fait de porter l’affaire en justice démontrait un rejet des nouvelles CGU. La Cour n’a pas suivi ce raisonnement, estimant qu’il n’y avait « aucun fondement pour conclure que le dépôt d’une plainte est suffisant pour rejeter les nouvelles CGU– particulièrement du fait que la demanderesse a continué à utiliser et probablement à bénéficier, des services d’Instagram ».

 

Dès lors, la demanderesse ne pouvait se prévaloir d’une modification non acceptée des CGU pour engager la responsabilité contractuelle du réseau social.

 

C’est donc une décision logique qu’a rendu la Cour fédérale californienne, puisque les réseaux sociaux comme les utilisateurs ont besoin de sécurité juridique.

 

Dreyfus & associés est spécialisé dans la résolution de conflits sur les réseaux sociaux. N’hésitez pas à nous contacter pour plus d’informations.

 

Read More

Premier rejet d’une plainte URS pour un nom de domaine en .sexy

business-dreyfus-81-150x150Le 25 mai 2014, le National Arbitration Forum (NAF) américain a rendu sa 44e décision URS (Uniform Rapid Suspension), et la première concernant un nom de domaine porteur de l’extension .sexy.

 

Le nom de domaine en question, <finn.sexy>, est réservé par North Sound Names. Cette société est dirigée par Frank Schilling, qui a également fondé Uniregistry, à terme registre de plus de 50 new gTLDs. North Sound Names est utilisée pour enregistrer des noms de domaines dans les extensions gérées par Uniregistry avant leur disponibilité au grand public. C’est dans ce cadre que le nom de domaine litigieux a été réservé le 15 avril 2014.

 

Le nom de domaine renvoie à une page parking qui propose l’acquisition du nom et qui contient des liens nommés « First Names », « Selfies », « Diet », « Fitness », « Social Networks », « Dating » et « Modeling » (littéralement prénoms, autoportraits, régime, bien-être, réseaux sociaux, rencontres et mannequinat). Il faut noter que ces termes sont nettement distincts de l’activité du demandeur, Finn.no, la plus importante place de marché en ligne en Finlande.

 

A l’appui de sa plainte, le requérant démontre un usage intensif de la marque norvégienne FINN. Cela permet à l’expert de considérer que la première condition de la procédure URS est remplie. En effet, le nom de domaine est identique à la marque en l’espèce. Concernant l’intérêt légitime ou les droits du réservataire, l’expert note que le réservataire utilise le terme « finn » dans son sens courant qui désigne les finlandais en anglais. De fait, le réservataire a un intérêt légitime à utiliser ce nom selon l’expert. Sur le terrain de la mauvaise foi, ni le fait que le nom litigieux soit proposé à la vente ni la notification reçue par le réservataire de la part de la Trademark Clearinghouse (TMCH) n’ont convaincu l’expert. La plainte a donc logiquement été rejetée.

La procédure URS en est à ses tous débuts et il est difficile de prévoir la manière dont la jurisprudence des centres évoluera. Pourtant les décisions de rejet sont nombreuses, la procédure concernant avant tout les atteintes manifestes à des droits de marque. Ainsi il aurait probablement été plus judicieux d’agir sur le terrain de la procédure UDRP (Uniform Dispute Resolution Policy). En effet si les conditions de la plainte sont sensiblement les mêmes, l’appréciation des experts y est plus souple et il y est plus aisé d’argumenter sa plainte. Sans toutefois préjuger de l’avis des experts, il semble qu’un transfert au demandeur aurait été justifiable.

 

Dreyfus est spécialisé en résolution de litiges de noms de domaine et vous guide dans la défense de vos droits sur internet. N’hésitez pas à nous contacter pour toute information.

 

Read More

Les actions de groupe (class action) font leur apparition en France

business-dreyfus-81-150x150En mars 2014, le Parlement français a adopté la loi Hamon relative à la consommation (Loi n° 2014-344 du 17 mars 2014) qui crée la première procédure d’actions de groupe en France.

Ces actions collectives permettront aux consommateurs de s’unir pour intenter un procès visant la protection des consommateurs et la défense du droit de la concurrence. Les associations de consommateurs peuvent être mandatées par plusieurs consommateurs pour assurer leur défense. A l’heure actuelle, ces associations, agréées par le Ministère de l’Economie, sont les seules autorisées à représenter les consommateurs dans les actions de groupe. Cette action civile se limite à l’indemnisation des dommages prétendument causés par un même manquement contractuel, un devoir légal ou des pratiques anti-concurrentielles par le même défendeur.

Pendant longtemps, les actions de groupe ont été refusées au motif que l’on ne pouvait défendre que ses intérêts personnels en justice. Aujourd’hui, la protection des consommateurs l’emporte et après examen par le Conseil Constitutionnel, la proposition de loi a été adoptée. Ces actions collectives auront un impact plus important que les actions individuelles et favoriseront le respect des droits des citoyens.

Cette nouvelle procédure prendra effet après la publication du décret d’application. Dans 30 mois, un rapport est programmé pour faire un bilan sur l’action de groupe. Maintenant que la porte a été ouverte, le gouvernement a exprimé son souhait d’étendre la procédure d’actions de groupe aux dommages liés à l’environnement et à la santé.

Cette loi sur la consommation inclut aussi des mesures relatives à la protection des consommateurs dans le e-commerce. Vous trouverez plus d’informations sur ces mesures dans notre article « E-commerce : attention les règles changent ».

 

Read More

New gTLDs : Calendrier des Sunrises au 12 juin 2014

business-dreyfus-81-150x150La semaine dernière, c’était au tour de la Sunrise du .TOKYO de se terminer. Il ne s’agit pas de la première extension pour une ville ni de la dernière. Après le .BERLIN en mars, le .LONDON et le .NYC dont la Sunrise se termine la semaine prochaine, nous verrons arriver le .HAMBURG mais aussi le très attendu .PARIS.

La plupart de ces extensions demandent une présence locale. Si vous avez une activité dans l’une de ces villes, pensez à réserver vos noms au plus vite !

Nous vous rappelons que pour accéder à la Sunrise, il est nécessaire d’être titulaire d’une marque enregistrée auprès de la Trademark Clearinghouse (TMCH) et des fichiers SMD correspondants.

 

1) Sunrises se terminant dans les 10 prochains jours

TLD Début Sunrise Fin Sunrise
moe 13/05/2014 13/06/2014
industries 15/04/2014 14/06/2014
parts 15/04/2014 14/06/2014
supplies 30/04/2014 14/06/2014
supply 15/04/2014 14/06/2014
tools 15/04/2014 14/06/2014
cooking 15/04/2014 15/06/2014
country 15/04/2014 15/06/2014
fishing 15/04/2014 15/06/2014
horse 15/04/2014 15/06/2014
rodeo 15/04/2014 15/06/2014
vodka 15/04/2014 15/06/2014
consulting 16/04/2014 16/06/2014
kaufen 16/04/2014 16/06/2014
nyc 05/05/2014 20/06/2014
fish 22/04/2014 21/06/2014
report 22/04/2014 21/06/2014
vision 22/04/2014 21/06/2014

 

2) Sunrises en cours

TLD Début Sunrise Fin Sunrise
services 29/04/2014 28/06/2014
gop 28/04/2014 30/06/2014
actor 30/04/2014 30/06/2014
rocks 30/04/2014 30/06/2014
blackfriday 01/05/2014 30/06/2014
christmas 01/05/2014 30/06/2014
citic 03/06/2014 03/07/2014
中信 (citic) 03/06/2014 03/07/2014
网址 (url) 03/06/2014 03/07/2014
capital 06/05/2014 05/07/2014
engineering 06/05/2014 05/07/2014
exchange 06/05/2014 05/07/2014
gripe 06/05/2014 05/07/2014
globo 09/06/2014 09/07/2014
moscow 10/06/2014 10/07/2014
москва 10/06/2014 10/07/2014
associates 13/05/2014 12/07/2014
lease 13/05/2014 12/07/2014
media 13/05/2014 12/07/2014
pictures 13/05/2014 12/07/2014
cologne 12/06/2014 13/07/2014
koeln 12/06/2014 13/07/2014
haus 14/05/2014 14/07/2014
reisen 20/05/2014 19/07/2014
town 20/05/2014 19/07/2014
toys 20/05/2014 19/07/2014
university 20/05/2014 19/07/2014
fail 27/05/2014 26/07/2014
financial 27/05/2014 26/07/2014
limited 27/05/2014 26/07/2014
wtf 27/05/2014 26/07/2014
london 29/04/2014 31/07/2014
vegas 02/06/2014 01/08/2014
care 03/06/2014 02/08/2014
clinic 03/06/2014 02/08/2014
dental 03/06/2014 02/08/2014
surgery 03/06/2014 02/08/2014
yokohama 05/06/2014 04/08/2014
cash 10/06/2014 09/08/2014
fund 10/06/2014 09/08/2014
investments 10/06/2014 09/08/2014
tax 10/06/2014 09/08/2014
bio 11/06/2014 10/08/2014
audio 05/06/2014 19/08/2014
hiphop 05/06/2014 19/08/2014
juegos 05/06/2014 19/08/2014

 

3) Sunrises à venir

TLD Début Sunrise Fin Sunrise
公司 (entreprise) 16/06/2014 31/07/2014
网络 (network) 16/06/2014 31/07/2014
desi 16/06/2014 16/08/2014
career 16/06/2014 17/08/2014
discount 17/06/2014 16/08/2014
fitness 17/06/2014 16/08/2014
furniture 17/06/2014 16/08/2014
schule 17/06/2014 16/08/2014
beer 23/06/2014 23/08/2014
luxe 23/06/2014 23/08/2014
claims 24/06/2014 23/08/2014
credit 24/06/2014 23/08/2014
creditcard 24/06/2014 23/08/2014
gratis 24/06/2014 23/08/2014
website 24/06/2014 23/08/2014
rio 30/06/2014 03/08/2014
reise 01/07/2014 31/07/2014
accountants 01/07/2014 30/08/2014
digital 01/07/2014 30/08/2014
finance 01/07/2014 30/08/2014
insure 01/07/2014 30/08/2014
bayern 01/07/2014 01/09/2014
church 08/07/2014 06/09/2014
guide 08/07/2014 06/09/2014
life 08/07/2014 06/09/2014
loans 08/07/2014 06/09/2014
hamburg 14/07/2014 13/08/2014
saarland 17/07/2014 15/09/2014
hiv 21/07/2014 20/08/2014
black 22/07/2014 21/08/2014
meet 22/07/2014 21/08/2014
versicherung 05/08/2014 04/09/2014
بازار (bazaar) 26/08/2014 28/10/2014
paris 09/09/2014 11/11/2014

 

 

Read More

Le droit à l’oubli consacré par la Cour européenne, Google débouté !

business-dreyfus-81-150x150La Cour de Justice de l’Union Européenne, le 13 mai dernier, a débouté Google en considérant qu’un moteur de recherche est responsable du traitement des données personnelles qui apparaissent sur les pages web (CJUE, Google Spain SL, Google Inc. / Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez, 13 mai 2014, C-131/12).
Un internaute espagnol a réclamé auprès de l’Autorité espagnole de protection des données la suppression de deux articles de presse relatifs à son endettement. Il a demandé également à ce que les articles ne soient plus indexés par Google au motif qu’ils n’étaient plus d’actualité.
A cet égard, la Cour européenne fait primer un droit fondamental : le droit à l’oubli. Désormais, les moteurs de recherche sont tenus de supprimer, à la demande de toute personne, les résultats de recherche considérés comme non pertinents et désuets.
Par ailleurs, la Cour considère que Google et les autres moteurs de recherche sont tenus de contrôler les informations à caractère privé puisqu’ils extraient, enregistrent et organisent  ces données de manière systématique. Ils sont donc responsables de leur traitement.
Quant aux personnes concernées, elles ont un droit de contrôle sur leurs données personnelles, même si elles ne sont pas des personnalités publiques. Dès lors, si une personne souhaite qu’une information non pertinente ou mensongère la concernant soit supprimée des résultats du moteur de recherche, elle doit en faire la demande quand bien même l’information a été publiée licitement. Elle peut s’adresser directement à l’exploitant du moteur de recherche qui doit en examiner le bien-fondé.
Enfin, la décision de supprimer ou non les données personnelles d’une personne dépend de la « nature de l’information, de sa sensibilité pour sa vie privée et de l’intérêt du public à disposer de cette information, lequel peut varier en fonction du rôle joué par cette personne dans la vie publique ».
En définitive, la Cour européenne est venue consolider le droit à l’oubli. Néanmoins, il ne s’agit pas d’un droit absolu puisqu’un équilibre entre la liberté d’expression et d’information et le droit à la vie privée doit être trouvé. Enfin, des problématiques liées à la mise en œuvre du droit à l’oubli se posent déjà à la suite de cette décision.
En effet, trois jours après la publication de cette décision, Google a reçu des centaines de demandes pour faire retirer des informations personnelles. Google fait part de la complexité de traiter ces demandes en raison des nombreuses langues et de la nécessité d’un examen attentif pour chacune d’elles.
Néanmoins, la décision de la Cour européenne prévoit que l’absence de réponse du moteur de recherche peut conduire à la saisine d’une autorité de contrôle ou d’une autorité judiciaire et à la condamnation à une amende importante.
Afin d’encadrer le droit à l’oubli, le rapport d’activité de la Cnil, présenté le 19 mai dernier, propose des moyens efficaces de maitriser la diffusion des données personnelles. Tout d’abord, la Cnil suggère l’élaboration d’un référentiel standard de durées de conservation des données. L’idée serait de mettre à disposition des responsables de traitement un guide de référence leur permettant de savoir combien de temps ils peuvent conserver des données personnelles. En outre, la Cnil propose des outils offrant aux internautes une meilleure maîtrise de la publication de leurs données. Par exemple, ils pourraient définir une date limite de diffusion de leurs publications ou les modifier ou les supprimer. Enfin, la Cnil préconise que le droit à l’oubli soit complété par une obligation de déréférencement sans délai à la charge des moteurs de recherche dès lors que l’internaute a obtenu l’effacement de l’information initiale.

 

Read More

Facebook veut se placer au cœur de la vie de ses utilisateurs

business-dreyfus-81-150x150Fort de plus d’un milliard d’utilisateurs actifs, Facebook n’a de cesse d’innover pour rester dans la course. Face à des réseaux sociaux de plus en plus variés, le géant du web social doit améliorer l’expérience utilisateur. Plusieurs fonctions vont être effectives dans les mois à venir, chacune avec des problématiques bien identifiables.

 

Le statut de Facebook en tant qu’espace privé ou public a toujours fait débat. Pour la majorité des analystes cependant, Facebook restait un réseau social public par défaut, bien loin de l’image de ses débuts où il était réservé à une poignée d’étudiants. Les nouveautés de ces dernières années ont d’ailleurs accentué ce caractère. La Cour d’appel de Besançon avait ainsi considéré que « ce réseau doit être nécessairement considéré, au regard de sa finalité et de son organisation, comme un espace public » (Besancon, 15 nov. 2011, 10/02642). Avec la Timeline et le Social Graph, il devenait très aisé de regrouper des informations que des membres pouvaient à tort penser privées.

 

Mais Facebook semble avoir fait marche arrière, puisque les nouveaux inscrits verront à terme les paramètres de confidentialités réglés en privé. Cela permettra sans doute aux juges d’affirmer avec clarté le caractère privé de Facebook, à l’image de deux arrêts rendus par la Cour d’appel de Rouen en 2011 : « il ne peut être affirmé de manière absolue que la jurisprudence actuelle nie à Facebook le caractère d’espace privé, alors que ce réseau peut constituer soit un espace privé, soit un espace public, en fonction des paramétrages effectués par son utilisateur ».

 

En outre, tous les services ou sites internet qui permettent de se connecter grâce aux identifiants Facebook, vont désormais tester un mode de connexion « anonyme ». Selon le réseau social, cela permettra « d’essayer une application sans partager ses informations personnelles stockées sur Facebook ».

 

Si Facebook tend à limiter le partage de données, le réseau social veut en savoir toujours plus sur ses membres. Inspiré par le succès de Shazam, Facebook va ajouter une nouvelle fonctionnalité qui permettra d’identifier une chanson écoutée par un utilisateur, puis de la partager. En plus de connaitre le profil des utilisateurs de façon détaillée, Facebook pourra identifier les gouts musicaux de chacun de ses membres,  par région, tranche d’âge, ou sexe. Se pose alors évidemment la question de l’usage qui est fait de ces données, de leur destination ou encore de leur finalité réelle. Nul doute que le réseau social est extrêmement surveillé par toutes les autorités compétentes à ce sujet.

 

Le réseau social veut par ailleurs rapprocher ses membres. Ainsi si deux utilisateurs sont « amis » sur le site, l’un pourra aisément questionner l’autre sur son statut amoureux via un bouton baptisé « Ask ». Facebook préparerait également une alternative à la célèbre application Snapchat, selon le Financial Times. Ce format de messages éphémère pose de nombreuses problématiques juridiques : droit à l’image des biens et des personnes, respect de la vie privée ou encore collecte et admissibilité des preuves.

 

Face à des réseaux sociaux tels que WeChat extrêmement populaire en Chine et qui propose des services variés, Facebook se diversifie. Malgré les avancées du réseau dans le domaine de la protection de la vie privée, se pose toujours l’épineuse question du droit à l’oubli numérique. Prôné en première ligne par Alex Türk, ancien président de la CNIL, c’est selon ce dernier « la transcription d’une  fonction naturelle, l’oubli, qui rend la vie supportable ».

 

Dreyfus est spécialisé pour lutter contre les atteintes sur les réseaux sociaux. N’hésitez pas à nous contacter pour plus de renseignements.

 

Read More

OpenSSL : le point sur Heartbleed

business-dreyfus-81-150x150Depuis la médiatisation de sa découverte au début du mois d’avril, la faille dite Heartbleed a fait couler beaucoup d’encre. Faille majeure s’il en est, Hearbleed est en réalité une erreur de codage dans le logiciel de cryptage OpenSSL. Les sites qui utilisent OpenSSL sont — ou ont été pendant quelques jours — très vulnérables au vol de données. Massive pour les uns,  effarante pour les autres, en tout état de cause la faille est à prendre très au sérieux. Le point sur Heartbleed en quatre questions.

 

Qu’est-ce que Heartbleed ?heartbleed

Heartbleed n’est ni un malware ni un virus. Il s’agit d’une faille dans l’implémentation du protocole de sécurité OpenSSL. Ce dernier est utilisé pour valider les communications entre deux ordinateurs tout en s’assurant de l’identité de ceux-ci.  Heartbleed permet à n’importe quel internaute de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Il compromet les clés secrètes utilisées pour identifier les fournisseurs de services et pour crypter le trafic, les noms et les mots de passe des utilisateurs. Il permet également aux pirates d’écouter les communications, et de voler des données directement à partir des serveurs.

La faille d’OpenSSL réside dans une petite ligne de code :

 

memcpy (bp, pl, payload) ;

 

La commande memcpy permet de copier des données tout en écrasant les données précédemment copiées. Or, avec Heartbleed, les données sont classées par le système comme de l’information à effacer sans l’être toutefois, et la faille permet de dérober ces données.

 

Quelle est l’importance de la faille ?

Heartbleed permet de récupérer des données d’un poids maximal de 64 Ko, cela peut paraitre insignifiant. Néanmoins cela représente une quantité d’informations importante en texte brut (64.000 caractères !). Mises bout à bout, les données récupérées sur tous les serveurs vulnérables représentent une masse d’informations colossale. Par ailleurs « Le nombre d’attaques que les hackers peuvent effectuer est sans limite », indique Fox-IT, entreprise spécialisée dans la sécurité informatique.

L’identité des hackers peut également se révéler importante. Ainsi la National Security Agency (NSA) a été accusée, quelques jours après la découverte de la faille, de l’avoir exploitée pendant près de deux ans afin de collecter un maximum de données sur les internautes. Alors que les remous de l’affaire Edward Snowden commençaient à se tasser, ces accusations sont de bien mauvais augure pour l’agence américaine.

 

La faille a-t-elle été bien corrigée ?

Le protocole OpenSSL a été développé sous la forme de logiciel libre. Cela permet à ses utilisateurs de modifier son code source, et de faire face à des failles de cette ampleur. Pour l’April, une association de promotion du logiciel libre, la nature ouverte du code a « permis de réduire considérablement l’impact de cette faille ». OpenSSL a été mis à jour mais cela ne règle pas tous les problèmes pour autant. En effet, il est nécessaire que la mise à jour soit installée sur les serveurs vulnérables.

La plupart des sites internet les plus utilisés avaient déjà installé la mise à jour du protocole avant la médiatisation de la faille. Leurs serveurs ne sont donc plus vulnérables à cette faille.

Pourtant des erreurs sont vite arrivées. Ainsi la société Akamai Technologies qui gère près de 30% du trafic mondial sur ses 147.000 serveurs, en a fait l’amère expérience. Depuis plus de 10 ans, Akamai utilise une version modifiée d’OpenSSL qui a apporté une « meilleure protection » contre la faille Heartbleed selon le directeur de la technologie de la société. C’est sans compter sur un chercheur indépendant qui a trouvé dans le patch fourni par Akamai à ses clients « un code bourré de bugs et non fonctionnel ». Le chercheur estime en outre que la mise à jour ne protège pas correctement contre Heartbleed. Cela est particulièrement inquiétant quand on sait que les clients d’Akamai sont de grands établissements bancaires, des groupes médias et des sociétés spécialisées dans le commerce électronique.

Mais il est possible que d’autres failles soient révélées. En effet, OpenSSL est critique pour les sites internet qui l’utilisent, mais le projet est loin d’être viable. Ses développeurs sont « désespérément sous-financés » selon le directeur de la recherche pour Sophos. Le Wall Street Jounal indique par ailleurs que seuls quatre développeurs travaillent sur le projet, dont un seul à temps complet.

 

Que faire coté utilisateurs ?

Du coté des utilisateurs, deux étapes sont cruciales pour être certain de ne pas voir ses informations personnelles dérobées. D’abord, il est nécessaire de s’assurer que les sites web utilisés ont mis à jour leur version d’OpenSSL. C’est le cas de la plupart des sites, notamment les réseaux sociaux et les sites des banques, mais une vérification est malgré tout essentielle.

La seconde étape est de changer ses mots de passe. Ce changement doit être fait après la mise à jour d’OpenSSL, sans quoi des hackers pourraient récupérer le nouveau mot de passe.

Dernier conseil afin de s’assurer de la sécurité de ses données sur internet : varier les mots de passe. Ce conseil est connu mais malheureusement trop peu appliqué. Il est pourtant capital. Ainsi, un mot de passe unique et difficilement décryptable est de bon augure sur les sites sensibles tels que ceux des établissements bancaires. Les mots de passe trop simples tels que « motdepasse » ou « 123456 » sont évidemment à prohiber, quel que soit le site sur lequel ils sont utilisés.

 

Read More

Attention à la qualification retenue dans le cadre des notifications Facebook (takedown notice) : l’atteinte à une marque ne peut naturellement pas être assimilée à une atteinte à un droit d’auteur

business-dreyfus-81-150x150Le 22 janvier 2014, la Cour de district des Etats-Unis s’est prononcée sur la recevabilité d’une notification de retrait envoyée à Facebook pour violation du Digital Millennium Copyright Act (DMCA), loi américaine adoptée en 1998 visant à lutter contre les violations de droit d’auteur.

En l’espèce, CrossFit avait élaboré un programme de remise en forme. Elle est titulaire de la marque CROSSFIT. Jenni Alvies avait, sans l’autorisation de CrossFit, créé un blog « crossfitmamas.blogspot.com » et une page Facebook « CrossFitMamas » sur laquelle sont postés des programmes d’entrainement et des commentaires personnels. En outre, Alvies vendait sur son blog divers produits et était rémunéré grâce à la publicité payante Google AdWords.

Après plusieurs échanges, CrossFit a adressé une notification à Facebook afin de voir supprimer le contenu publié sur la page d’Alvies au motif de violation des dispositions du DMCA.

Finalement, CrossFit a décidé de poursuivre devant les tribunaux Alvies pour contrefaçon de marque. En réponse, Alvies soutient que la DMCA vise uniquement les atteintes en droit d’auteur. Ainsi, en invoquant la violation de ses droits de marque, CrossFit avait adressé une notification erronée à Facebook. Seulement, CrossFit soutient que Facebook a prévu la possibilité de notifier sur la base du droit d’auteur mais aussi sur la base du droit des marques.

Néanmoins, la Cour de District rejette l’argument de CrossFit. Même si CrossFit a été en mesure de convaincre Facebook de supprimer la page d’Alvies, la Cour n’en tient pas compte et relève la violation de droit d’auteur par CrossFit. Par ailleurs, elle considère qu’Alvies, en percevant des revenus via sa page Facebook, aurait subi un préjudice injustifié par le retrait illicite du contenu de sa page.

Les titulaires de droit doivent ainsi être très vigilants quant à la rédaction et la qualification des notifications Facebook afin d’éviter un éventuel rejet.

 

 

Read More

E-commerce : attention, les règles changent !

business-dreyfus-81-150x150A partir du 13 juin 2014, entre en vigueur en France une loi sur la consommation dite loi Hamon (Loi n° 2014-344 du 17 mars 2014). Elle vient transposer la Directive européenne de 2011 sur les droits des consommateurs (Directive 2011/83/UE du 25 octobre 2011) qui vise à favoriser l’e-commerce national et transfrontalier dans l’UE.
Afin de se conformer à la règlementation européenne protégeant les consommateurs, les e-commerçants vont devoir mettre davantage l’accent sur l’information du client. Cette obligation d’information renforcée passera notamment par des communications sur l’obligation de paiement, les frais de retour, les modalités d’exercice du droit de rétractation et les moyens de paiement acceptés.
Dans la même optique, la loi Hamon met en place l’harmonisation au niveau européen des délais de rétractation et remboursement qui seront de 14 jours au lieu de 7 jours, ainsi que celle du délai de livraison dans l’UE de 30 jours. Le délai pour la demande par le consommateur de la résolution de la vente en l’absence de livraison sera lui aussi de 30 jours. En outre, la loi sur la consommation prohibe les clauses contractuelles faisant peser la responsabilité du risque lié au transport sur le client.
En outre, le consentement du client devra être obtenu par opt-in, le consommateur devra ainsi impérativement cocher les cases pour démontrer son accord.
Pour ce qui est de la défense des e-commerçants, de nouvelles exceptions au droit de rétractation vont être instaurées, notamment pour des raisons d’hygiène. Aussi, il sera possible pour l’e-marchand d’engager la responsabilité du consommateur si le produit retourné a été trop utilisé. Enfin, l’e-commerçant pourra être exonéré de toute responsabilité en cas de perte ou d’endommagement des biens à la livraison à condition que le consommateur ait choisi son transporteur.
Quelles mises à jour sont nécessaires pour l’e-commerçant ?

  • La modification des conditions générales de vente afin de prendre en compte les changements de délais et les nouvelles règles applicables ;
  • La formation et l’information de ses salariés et partenaires sur les nouvelles procédures notamment pour les retours et remboursements ;
  • L’adaptation de la chaîne de commande pour être en conformité avec la nouvelle réglementation ;
  • L’envoi d’une confirmation de commande contenant toutes les informations essentielles sur un support durable que le client pourra stocker ;
  • La modification du bouton de commande pour faire apparaître clairement l’obligation de paiement.

Ces mesures s’inscrivent dans le mouvement européen de lutte pour la protection des consommateurs. Ces mesures ne se cantonnent pas au cadre du commerce en ligne, elles prévoient aussi des changements pour les litiges notamment avec l’instauration d’actions de groupe, sorte de « class actions » à la française.

 

Read More