Retour aux articles

Typosquatting : faut-il prévoir un nouveau cadre juridique pour lutter contre cette cybermenace ?

Tech&droit - Start-up, Données
28/06/2018
Les cybermenaces revêtent parfois des formes un peu moins connues. Tel est le cas du typosquatting qu’un récent rapport du ministère de l’Intérieur vient de remettre en lumière. En quoi consiste cette menace ? Quelle forme prend-elle ? Quelle est la réaction du droit ? Les explications d’Arnaud Touati, avocat associé, co-fondateur du cabinet Alto Avocats.

Émergente depuis une dizaine d’années, la technique du typosquatting fait face aujourd’hui à un vide juridique relatif, s'agissant tant de sa qualification juridique que de ses sanctions. Sont impactées par cette pratique abusive les plus importantes sociétés technologiques, telles que Facebook, Google, Youtube mais aussi bien d’autres sites hébergeant, pour certains, un contenu à caractère sensible.
 
Le monde d’Internet originellement voué à l’autorégulation se voit aujourd’hui dans la nécessité de soumettre cette nouvelle pratique à un cadre juridique précis, tant au niveau interne qu’international.
 
En quoi consiste le typosquatting ?

Vinci, fin 2016, et Air France, début 2018 en ont été victimes. Le typosquatting est cette pratique qui consiste en l’achat de noms de domaines fortement ressemblants à ceux des sites internet les plus fréquentés par les internautes. Une simple faute de frappe ou d’orthographe des utilisateurs dans la rédaction du nom de l’URL du site qu’il souhaite visiter les oriente sur un site pirate, sur lequel ils sont amenés à fournir des informations plus ou moins confidentielles. Dans le cas de l’affaire Vinci, il s’agissait de communiqués de presse mensongers envoyés à des agences de presse spécialisées, avec pour conséquence un cours de bourse en chute libre jusqu’au démenti officiel.
 
Un rapport du ministère de l’Intérieur du 20 juin dernier revient d’ailleurs sur cette pratique : « Quatre principaux types de typosquattage d’une URL sont identifiés : utilisation d’un même terme mais écrit différemment, d’une faute orthographique ou une homonymie, d’un autre domaine de premier niveau (top-level domain ou TLD) comme .org au lieu de .com ou encore en utilisant les fautes de frappe de l’internaute. Ces achats peuvent être considérés comme des actes préparatoires à des attaques de type spear-phishing (campagne de faux emails ciblés), le typosquatting permettant de mettre en confiance les destinataires et ainsi de les tromper » (Ministère de l’Intérieur, État de la menace liée au numérique en 2018, 20 juin 2018). La ressemblance tant graphique que phonétique de ces noms de domaines trompe alors totalement ces internautes.
 
Le site pirate ne dévoile pas sa réelle identité, restant donc dans le sillage du site que l’internaute voulait initialement consulter. Prenons un exemple : une société pirate peut acheter le nom de domaine « amazone.com » : toute personne voulant se rendre sur le site « amazon.com » afin de commander des produits en ligne, peut se retrouver sur un site tout autre, à son insu. Risquant ainsi de se faire soustraire des informations personnelles pouvant être réutilisées de diverses manières par la société en fraude.
 
De manière simple et peu coûteuse, le typosquatteur voit mécaniquement le nombre de visiteurs de son site augmenter et par ricochet, ses recettes publicitaires s’accroître. Le coût d’achat d’un nom de domaine reste bien moindre que celui du dépôt d’une nouvelle marque, comme de la création et du développement d’un site internet éponyme.
 
Au-delà du simple gain économique, l’auteur de ce type d’actes peut, en outre, être porté par des motivations purement frauduleuses, telles que la soustraction de données personnelles.
 
Cette technique peut également être un moyen de détériorer l’image d’une marque, nuire à sa réputation ou encore d’introduire sur un site un contenu pouvant s’avérer nuisible pour son propriétaire. Des pratiques, qui peuvent ainsi être commanditées par un concurrent qui fait alors appel aux services des typosquatteurs, en contrepartie d’une rémunération.
 
Et l’État n’est pas épargné : sur signalement conjoint de l’ANSSI et d’un ministère, la gendarmerie (C3N) a ainsi ouvert en octobre 2016 des enquêtes judiciaires : trois noms de domaines internet seraient en effet de nature à prêter à confusion avec des noms de domaine internet institutionnels français (ministère de l’Intérieur, État de la menace liée au numérique en 2018, 20 juin 2018).
 
Des pratiques qui peuvent donc être dommageables, mais force est de constater que le droit français se trouve aujourd’hui dans une impasse…
 
Une sanction légale au typosquatting ?

Il n’existe aujourd’hui pas de cadre légal spécifique relatif aux actes de typosquatting. En 2007, plusieurs députés avaient pourtant élaboré un texte prévoyant pour sanction, une amende de 45 000 € ainsi que deux ans d’emprisonnement  (Le typosquatting, l’exploitation de vos fautes de frappes, Legavox, 21 avr. 2012). Une tentative restée pour l’heure sans succès.
 
Ce texte n’ayant pas été voté, il ne demeure aujourd’hui qu’un décret du 6 février 2007 relatif à l’attribution et à la gestion des noms de domaine de l’Internet (D. n° 2007-162 du 6 février 2007, JO 8 févr.) portant par ailleurs modification du Code des postes et des communications électroniques, dont les dispositions, plus sommaires, prévoient seulement la mise en place d’une base de données publique centralisant les informations relatives aux registrants.
 
Par ailleurs, depuis une loi du 22 mars 2011 (L. n° 2011-302, 22 mars 2011, JO 23 mars), il n’est plus nécessaire de passer par un examen préalable de l’AFNIC (Association française pour le nommage Internet en coopération pour enregistrer un nom de domaine), ce qui était le cas avant l’entrée en vigueur de cette disposition. Une condition subsiste toutefois : l’usage de bonne foi et dans un intérêt légitime dudit nom de domaine.
 
Libéralisant davantage la création et l’achat de noms de domaines, les typosquatteurs profitent donc de l’absence de toute réglementation propre à les sanctionner, ceci leur permettant de faire prospérer leur pratique délictueuse.
 
Les actes de typosquatting soumis aux dispositions de droit commun

Les voies de recours en justice pour les sites victimes de ce type de cybersquatting sont donc celles du droit commun. Pour contrer les effets de cette pratique qui ne cesse de se développer, le juge fait preuve d’une extrême sévérité. La victime peut en effet agir sur le fondement de la contrefaçon, de la concurrence déloyale, du parasitisme ou encore, de l’atteinte au nom de domaine et à la marque.
 
Une affaire bien connue repose sur cette pratique : l’affaire relative au site internet www.2xmoinschère.com. Cette affaire complexe est une parfaite illustration de la multitude de fondements pouvant servir de base à l’action de la victime. Ainsi que de l’ambiguïté de la qualification des actes de typosquatting.
 
En l’espèce, il s’agissait d’une société : la société Trokers exerçant son activité sous le nom commercial « 2xmoinscher.com » une activité d’intermédiaire dans la vente à distance de produits neufs ou d’occasions. Celle-ci a constaté qu’en saisissant les adresses web www.2xmoinschers.fr et www.2moinscher.fr, cela permettait un renvoi automatique vers son site internet, mais ce renvoi était effectué via l’intermédiaire d’un autre site internet et d’un service d’affiliation fourni par une société auprès de laquelle elle avait souscrit pour la diffusion de publicité. De plus, les noms de domaine avaient été enregistrés par une autre société (la société Web Vision).
 
La société propriétaire du site a alors assigné cette dernière (société Web Vision) sur le fondement de la contrefaçon de marque, des droits d’auteur, mais aussi sur l’atteinte à son nom commercial et à ses noms de domaines.
 
En première instance, le tribunal de grande instance de Paris, a débouté, le 2 avril 2009, la société demanderesse de son action en reconnaissance de la contrefaçon de marque ainsi qu’en reconnaissance de la contrefaçon du titre et des noms de domaine (TGI Paris, 3e ch., 4e sect., 2 avr. 2009, Sté Trokers c/ Sté Web Vision). Le tribunal n’a alors fait droit qu’à la demande fondée sur l’atteinte au nom commercial et aux noms de domaines en cause. La société Trokers est donc déboutée, dans un premier temps, de sa demande sur le fondement de la contrefaçon de marque. Il en a été de même pour la demande concernant la contrefaçon du titre et des noms de domaine. Seule la demande fondée sur l’atteinte au nom commercial et aux noms de domaine en cause a été accueillie.
 
En revanche, après avoir interjeté appel devant la cour d’appel de Paris, les typosquatteurs se sont vu condamner sévèrement sur le fondement de l’atteinte aux noms de domaine et au nom commercial ainsi qu’en contrefaçon de la marque et droit d’auteur. De manière novatrice, la cour d’appel a reconnu ici, que le typosquatting pouvait être qualifié d’acte de contrefaçon, bien qu’aucune reproduction illicite ne soit caractérisée. Par ailleurs, la contrefaçon a pu être caractérisée en l’absence de dénomination réelle de produits ou services identiques similaires (ce qui constitue en principe un élément essentiel dans la caractérisation de tout acte de contrefaçon).
 
À titre de sanctions, la cour d’appel de Paris dans son arrêt 30 novembre 2011 (CA Paris, 30 nov. 2011) a ordonné la publication de l'arrêt aux frais de la société Web Vision dans trois journaux, au choix de la société Trokers. La société Web Vision a par ailleurs été obligée de consigner la somme de 30 000 euros à l'Ordre des avocats de Paris en qualité de séquestre, sous astreinte de 1 000 € par jour de retard à compter de la signification de l'arrêt, ainsi qu’à la charge des divers dépens au titre des articles 699 et 700 du Code de procédure civile, s’élevant à une somme de 20.000 euros.
 
La jurisprudence avait déjà par le passé qualifié de typosquatting cet acte d’atteinte au nom de domaine et au nom commercial. L’exploitation contrefaisante des noms de domaine a ainsi fait l’objet d’un arrêt concernant le site www.rueducommerce.com (TGI Paris, ord. réf., 10 avr. 2006, n° 06/53067).
 
En outre, les juges voient en cet agissement, un acte de concurrence déloyale et de parasitisme, en ce que cela représente pour le pirate une économie certaine dans le développement de son site et un gain relatif du fait de la redirection des internautes sur le site pirate. Et ce, en se plaçant dans le sillage du premier site visé par l’internaute.
 
Autre exemple, la cour d’appel de Lyon dans un arrêt du 31 janvier 2008 a condamné des typosquatteurs sur le fondement de la concurrence déloyale. Était cette fois-ci visé, le site www.pneus-online.com (CA Lyon, ch. 3, sect. B, 31 janv. 2008, n° 06/05922). Une société avait exploité les noms de domaine www.pneuonline.com, www.pneusonline.com et www.pneu-online.com et cela de mauvaise foi, ce qui a fait perdre au site officiel www.pneus-online.com une chance d’obtenir une part plus large du marché de la vente de pneus en ligne. Dans cette espèce, la société pirate a été condamnée au paiement de la somme de 300 000 € à titre de dommages-intérêts à la société Pneus online Suisse.
 
Les sanctions sont donc celles de droit commun, en application de l’article 1240 du Code civil relatif à la responsabilité en cas de fait dommageable causant un préjudice à autrui.
 
Par ailleurs, lorsque sont visées des données particulièrement sensibles, telles que les données personnelles, la responsabilité pénale des typosquatteurs peut également être mise en cause devant le juge. Ceci notamment dans le cadre d’usurpation d’identité par soustraction frauduleuse de données personnelles.
 
Au vu de l’évolution jurisprudentielle autour du phénomène que représente le typosquatting, le droit commun offre aux victimes de tels agissements de nombreux leviers pour protéger leurs droits sur leurs sites internet.
 
Les modes alternatifs de préventions et de recours contre le typosquatting

Les propriétaires de sites internet peuvent se prémunir contre ces pratiques en usant des moyens qui sont actuellement à leur disposition. Beaucoup de sites d’envergure achètent ainsi plusieurs noms de domaines ressemblant aux leurs, afin d’empêcher toute atteinte à leurs marque et nom commercial.
 
En tout état de cause, a été mise en place dans le cadre de l’ICANN (Internet Corporation for Assigned Names and Numbers) un moyen de recours à l'échelle internationale, par l’instauration des procédures UDRP (Uniform Domain Name Dispute Resolution Policy) permettant le règlement des litiges relatifs aux noms de domaine.
 
La procédure consiste en un dépôt de plainte sur Internet auprès d’organismes qui lui sont proposés, tels que l’OMPI (Organisation mondiale de la propriété intellectuelle) ou le NAF (National Arbitration Forum). Le dossier inclut la mention du nom de domaine objet du litige, l'identité de son propriétaire et le bureau d'enregistrement du nom de domaine, ainsi que l'argumentaire à l'appui de la plainte. L'ensemble de la procédure se passe par envoi de documents électroniques, sans plaidoirie.
 
Avant de voir son nom de domaine transféré, le demandeur doit prouver plusieurs choses:

  • que le nom de domaine est identique ou susceptible d'être confondu avec une marque ou un service sur lequel le plaignant a des droits de propriété ;

  • que le défendeur n'a pas de droit ni d'intérêt légitime par rapport au nom de domaine ;

  • que l'enregistrement et l'utilisation du nom de domaine par le défendeur l'ont été de mauvaise foi.

 
Tout fonctionne dans le cadre de cette procédure comme une sorte d’arbitrage en ligne, où les parties, sans défense, se répondent mutuellement par le biais de formulaires électroniques. Les experts en charge du dossier sont indépendants et recrutés sur assurance de leur neutralité.

Force est cependant de constater le caractère non constant de la qualité de ces décisions et une certain favoritisme des grands groupes par les organisations en charge de la procédure. Ceci, au dépend de la protection uniforme de tout site internet contre un agissement portant atteinte aux noms de domaine.
 
Malgré cela, c’est aujourd’hui une des voies de recours les plus utilisées par les victimes de typosquatting selon l’ICANN, notamment en raison du coût relativement faible que représente cette procédure (1 500 à 5 000 US dollars). Un palliatif dans l’attente d’un véritable cadre légal spécifiquement adapté à cette nouvelle méthode de cybersquatting.
 
Vers une intervention du législateur ?

Récemment, le ministère de l’Intérieur, dans son rapport précité sur la cybermenace (Ministère de l’Intérieur, État de la menace liée au numérique en 2018, 20 juin 2018), a particulièrement visé le typosquatting. Alerté par l’ampleur prise par ces pratiques, le ministre de l’Intérieur, Gérard Collomb, a assuré que des propositions inspirées de ce rapport allaient être remises dès l'été 2018.

Une régulation opportune face à l’importance de cette menace, d’autant que celle-ci peut revêtir plusieurs formes. Ainsi, un article du Monde paru le 28 juin apporterait une nouvelle illustration de ce que peut être le typosquatting. Il révèle ainsi que « selon leurs informations, les greffes des juridictions françaises auraient reçu, des mois durant, des milliers de courriels émanant d’expéditeurs fictifs, se faisant passer pour des avocats ou des universitaires, grâce à des adresses Internet approximatives, telles qu’Avocatlime.fr » (Le Monde, 28 juin 2018)…

Source : Actualités du droit