whoisDe la responsabilité des bureaux d’enregistrement

Les bureaux d’enregistrement et les opérateurs de registre occupent une place importante dans le fonctionnement des noms de domaine. En effet, même s’ils n’enregistrent pas des noms de domaine avec l’intention de porter atteinte à une marque, ils ne procèdent pas à un examen des demandes d’enregistrement avant réservation des noms. Ceci explique l’importance du cybersquatting. Bien qu’ils disposent a priori d’un statut neutre de prestataire technique, ils sont au cœur de situations de cybercriminalité.

 

Les bureaux d’enregistrement sensibilisés à la protection des consommateurs

« Les tribunaux estiment qu’un bureau d’enregistrement doit exercer sa mission conformément au contrat d’accréditation qui le lie à l’ICANN et n’engage donc sa responsabilité que dans cette mesure » (Marques et Internet, Nathalie Dreyfus). Suivant cette logique, dans une situation de cybersquatting par exemple, le bureau d’enregistrement consent à l’enregistrement d’un nom de domaine et profite financièrement de l’enregistrement, alors même que le nom de domaine porte atteinte aux droits antérieurs d’un titulaire de marque.

Son statut de prestataire technique implique qu’il n’a pas d’obligation générale de surveillance et de recherche des faits ou des circonstances révélant des actes illicites (article 6, I, § 7 de la loi n°2004-575 du 21 juin 2004 pour la Confiance dans l’Economie Numérique). En revanche, « Il pèse sur le prestataire technique une présomption de connaissance des faits litigieux dès qu’il s’est vu notifier un certain nombre d’informations contenant les motifs en fait et en droit » (Marques et Internet, Nathalie Dreyfus). En effet, dès lors que le prestataire technique est informé d’une atteinte (par une lettre de mise en demeure respectant le formalisme rigoureux de l’article 6, I, 5 de la loi pour la confiance dans l’économie numérique), il est tenu par la loi d’agir promptement pour désactiver le nom de domaine litigieux. A défaut, sa responsabilité pourra être engagée dans la mesure où il sera présumé avoir eu connaissance des faits litigieux.

En dépit de cette absence d’obligation générale et alors qu’aucune notification n’avait été faite, par un jugement de 2006, le TGI de Paris a condamné in solidum le réservataire et l’unité d’enregistrement dans un cas de cybersquatting. Sans mentionner la responsabilité de ce dernier quant aux troubles de son client, le tribunal a fondé sa décision sur la complicité du bureau d’enregistrement quant à la tenue d’une activité non légitime par le réservataire. Le bureau d’enregistrement s’est trouvé condamné non seulement à la suspension des noms de domaine litigieux mais également au paiement in solidum des frais irrépétibles, les dommages et intérêts alloués à la société étant laissé à la charge du réservataire (TGI Paris, 10 avril 2006, Sté Rue du Commerce c/Sté Brainfire Group et Sté Moniker Online Service In.). En l’espèce, le réservataire détenait les noms de domaine « rueducommerc.com » et « rueducommrece.com » afin de rediriger les internautes qui commettaient une erreur de frappe lors de leur recherche vers ses propres sites (typosquatting). Toutefois, cet exemple n’illustre qu’une exception de la responsabilité reconnue, de manière discrétionnaire, aux bureaux d’enregistrement.

De manière générale, la responsabilité des bureaux d’enregistrement ne peut pas être engagée et ce, bien que certains professionnels du droit militent pour qu’un minimum de responsabilité leur soit imposé.

En tout état de cause, les choses évoluent et certains bureaux d’enregistrement consciencieux se sont mobilisés afin de former un consortium de vérification de la conformité des domaines de premier niveau : The Verified Top Level Domains Consortium. La mission de ce Consortium tend à protéger le consommateur en ligne. En effet, afin de donner confiance aux utilisateurs de sites susceptibles de collecter leurs données personnelles et notamment les données sensibles, ce Consortium s’assure que les noms de domaine sont bien utilisés à des fins honnêtes et non frauduleuses.

Le consortium a été créé en mai 2016 par huit bureaux d’enregistrement qui opèrent l’enregistrement pour 15 vTLDs (verified TLDs) de divers secteurs tel que la pharmacie <.PHARMACY> pour l’association nationale des pharmaciens ou la finance  <.BANK>. Les bureaux d’enregistrement offrant des services de vérification de noms de domaine peuvent intégrer le Consortium à condition d’obtenir l’agrément des membres fondateurs.

Dans les faits, il s’assure que pour enregistrer un nom de domaine, les réservataires respectent un certain nombre de conditions définies préalablement par le Consortium. Dans le cas du <.PHARMACY>, l’activité qui porte ce domaine de premier niveau doit impérativement faire preuve d’un intérêt légitime qui implique que le consommateur ne sera pas trompé par l’extension du nom de domaine. Ensuite, des vérifications sont effectuées sur le long terme afin que les réservataires conservent leur nom de domaine seulement s’ils se trouvent en conformité avec les exigences requises.

Au regard de la surveillance opérée par cet organisme et de sa volonté de davantage de contrôle et de sécurité, il est possible d’espérer une évolution du cadre légal des bureaux d’enregistrement dans la mesure où le privilège de neutralité ne peut pas se cumuler avec une obligation de surveillance.

En dépit de la volonté des unités d’enregistrement d’assurer davantage de sécurité, le WHOIS administré par les registres démontre des failles

L’augmentation du nombre de noms de domaine est une conséquence directe de la démocratisation d’Internet. En effet, Internet offre plus de visibilité pour les sociétés et permet même à certains individus malintentionnés d’enregistrer des noms de domaine afin de les revendre à un prix élevé, à un autre individu ou à une autre entité qui se prévaudrait d’un intérêt légitime.

Lorsque l’ICANN a été créée en 1998, l’administration Clinton l’a sommée de mettre en place une base de données WHOIS d’une grande précision. L’objectif étant de répertorier tous les réservataires et d’être en mesure de les contacter. Aujourd’hui, ce sont les registres qui sont chargés d’administrer la base de données Whois de leur extension.

Malgré la publication, en décembre 2016, d’un rapport (Rapport sur le système de signalement de problèmes liés à l’exactitude du WHOIS) indiquant la performance de cette base de données, des corrections restent à apporter pour combler les lacunes. Ce rapport a examiné le caractère opérationnel du WHOIS concernant 12 000 noms de domaine enregistrés dans 664 bureaux d’enregistrement différents. Cet échantillon concerne seulement les anciens et nouveaux gTLDs et non les ccTLDs (noms de domaine nationaux).

L’étude consiste en deux étapes. Dans un premier temps, il est vérifié que le format de l’adresse e-mail et du numéro de téléphone est correct. Ensuite, un e-mail test est envoyé afin de constater qu’il parvient à l’adresse indiquée dans le WHOIS. Dans 97% des cas, au moins l’un des renseignements est correct au regard du format et le message test ne reçoit pas d’échec. Les informations les plus exactes se trouvent en Amérique du Nord, alors que c’est en Afrique que les informations WHOIS sont les plus insuffisantes. Pourtant, le rapport présente une faille dans la mesure où aucun suivi n’est réalisé, il n’est pas mentionné si le réservataire reçoit effectivement l’e-mail. Le message test ne fait état que de l’existence d’une adresse valide, ainsi l’hypothèse de la réception du message test sur une adresse jetable n’apparait pas dans les 3% du rapport dont les informations présentent une inexactitude. Même si l’adresse e-mail renseignée dans le WHOIS renvoie à une « adresse poubelle », tant que le format de l’adresse est valide, le réservataire de cette adresse figurera parmi 97% des réservataires de noms de domaine qui donnent des renseignements exacts. De ce fait, en dépit d’informations erronées, cette situation contribue à renforcer le caractère opérationnel et précis du WHOIS.

Par conséquent, la véritable difficulté actuelle est de pouvoir contacter effectivement le réservataire, or bien que le WHOIS contienne des informations, de par leur inexactitude, les adresses renseignées mènent souvent dans une impasse. Dans cette logique, le WHOIS n’est pas aussi performant que le rapport semble l’attester.

Alors que les noms de domaine prennent une importance croissante, la sécurité et la transparence des informations n’est toujours pas la priorité pour les acteurs d’enregistrement. Une évolution du cadre légal se fait désirer. A suivre…