Archives par mot-clé : Internet

Conservation et accès aux données de connexion : le grand écart entre sécurité et libertés !

Publié le par

C’est un sujet à rebondissements multiples ! Entre textes et jurisprudence sur la conservation des données de connexion, opérateurs télécoms, hébergeurs et fournisseurs en ligne sont ballotés. Mais il y a une constante : pas de conservation généralisée et indifférenciée, et l’accès y est limité.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral

Rappelons tout d’abord que les données de connexion désignent les informations techniques qui sont automatiquement engendrées par les communications effectuées via Internet ou par téléphonie. Il s’agit en quelque sorte des informations qui « enveloppent » un message, par exemple le nom et l’adresse IP d’un internaute, l’heure et la durée d’un appel téléphonique… Ce sont elles qui vont permettre de géolocaliser une conversation, ou de déterminer que telle personne échangeait à telle heure avec telle autre, ou encore qu’elle lui a transmis un message de tel volume.

Pas de conservation généralisée
On imagine donc assez aisément l’intérêt que peuvent avoir la collecte et l’utilisation de telles données et les atteintes que cela peut porter au droit fondamental à la confidentialité des communications. C’est précisément pour préserver le droit au respect de la vie privée que la conservation des données de connexion est interdite par principe. Les opérateurs télécoms, les fournisseurs d’accès à Internet ou encore les hébergeurs doivent donc effacer ou rendre anonymes les données relatives aux communications électroniques. Et ce, conformément à l’article 34-1 du code des postes et des communications électroniques (CPCE). Mais il existe des exceptions, envisagées immédiatement par le même texte, notamment pour prévenir les menaces contre la sécurité publique et la sauvegarde de la sécurité nationale, ainsi que pour lutter contre la criminalité et la délinquance grave. Aussi, les opérateurs de communications électroniques doivent ils conserver un certain temps – pour des raisons tenant à la défense d’intérêts publics ou privés – les données de connexion.
Ces obligations pèsent ainsi sur les fournisseurs d’accès – au cloud notamment – et d’hébergement mais aussi sur les entreprises qui fournissent un accès Wifi au public à partir d’une connexion Internet, en ce qu’elles sont assimilées à un intermédiaire technique. C’est ce que précise le même article 34-1 du CPCE : « Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions [sur la conservation des données de connexion, ndlr] ». Ces acteurs se trouvent donc au cœur d’un arsenal sécuritaire avec des obligations qui n’en finissent pas de fluctuer au gré des réponses apportées par le législateur et/ou par le juge, tant au niveau national qu’européen.
La Cour de justice de l’Union européenne (CJUE) rappelle, de manière constante (1) que la conservation généralisée et indifférenciée, à titre préventif, des données de connexion par les opérateurs est interdite. Cependant, elle admet qu’une restriction au droit à la vie privée est possible lorsqu’elle est justifiée par une nécessité urgente, pour une durée déterminée, et lorsqu’elle constitue une mesure nécessaire, appropriée et proportionnée au sein d’une société démocratique. Autrement dit, la haute juridiction européenne autorise l’obligation de conservation « ciblée » des données, obligation qui peut être renouvelable en cas de persistance de la menace.
C’est également la position adoptée par la CJUE qui s’est exprimée sur le sujet à deux reprises en 2022 : en avril d’abord, concernant la localisation d’appel téléphonique obtenue sur le fondement d’une loi irlandaise (2); en septembre 2022 ensuite, cette fois pour des poursuites pénales de délits d’initiés engagées sur le fondement du décret français de lutte contre les infractions d’abus de marché (3). Dans les deux cas, la haute juridiction européenne confirme que les législations nationales des Etats membres ne peuvent aboutir à la conservation généralisée et indifférenciée des données de trafic. A défaut, elle les juge contraire au droit de l’Union européenne.

En France, 3 décrets : délais de 1 à 5 ans
En France, la mise en œuvre de ce dispositif a donné lieu à l’entrée en vigueur de différentes obligations, répondant à un certain nombre de cas limitativement énumérés et pour une durée qui varie d’un an à cinq ans selon les informations concernées. Ces obligations sont prévues par trois décrets pris en application de l’article L.34-1 du CPCE, encore lui. Leur périmètre est en constante évolution, à la recherche d’un équilibre entre objectifs sécuritaires et protection de la vie privée :
Le décret n°2021-1361 relatif aux catégories de données conservées par les opérateurs de communications électroniques.
Le décret n°2021-1362 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (4).
Le décret n°2022-1327 portant injonction, au regard de la menace grave et actuelle contre la sécurité? nationale, de conservation pour une dure?e d’un an de certaines catégories de données de connexion (5).

Cour de cassation : les arrêts de l’été 2022
Quant à nos juridictions nationales, elles se sont penchées plus spécifiquement sur la question des personnes habilitées à avoir accès à ces données. Le législateur français a prévu que seules l’autorité judiciaire et certaines administrations – par exemple, les services de renseignement – peuvent exiger la communication des données de connexion. Le Conseil constitutionnel, saisi d’une question prioritaire de constitutionnalité (QPC) à l’initiative d’associations de défense des droits et libertés sur Internet (6), a considéré que les agents des douanes étaient exclus de ce périmètre. Ils ne peuvent donc pas exiger la communication de ces données (7).
La Cour de cassation a, quant à elle, apporté quelques précisions complémentaires dans plusieurs arrêts rendus au cours de l’été 2022, en juillet (8). Elle considère que l’accès aux données de connexion doit se faire sous le contrôle effectif d’une juridiction. En conséquence, le juge d’instruction – qu’elle a qualifié de juridiction indépendante et non de partie – ou une autorité administrative indépendante peuvent ordonner et contrôler les procédures d’accès aux données de connexion. En revanche, le procureur de la République, parce qu’il est une autorité de poursuite et non une juridiction, ne dispose pas de cette possibilité. En conséquence, l’accès aux données de connexion, lorsqu’il est ordonné par un procureur, serait irrégulier. De quoi remettre en cause la régularité de beaucoup de procédures pénales !
La haute juridiction française, dans ces mêmes arrêts du mois de juillet, a rappelé que la personne mise en examen, victime d’un accès irrégulier, a la possibilité de contester la pertinence des preuves tirées de ses données. De quoi permettre au juge pénal d’annuler les actes ayant permis d’accéder aux données !
La Conférence nationale des procureurs de la République (CNPR) y voit un « obstacle majeur à l’identification des délinquants et criminels », et a dénoncé les « conséquences [de ces décisions] sur la capacité des magistrats du ministère public et des enquêteurs à exercer leurs missions de manifestation de la vérité et de protection des victimes ». En dépit de cette levée de boucliers, la chambre criminelle de la Cour de cassation a entériné fin octobre 2022 (9) son analyse. Elle confirme que le juge d’instruction, qui est une juridiction, doit contrôler le respect par les enquêteurs des modalités d’accès aux données de trafic et de localisation qu’il a autorisées. Or, dans l’affaire en question, le magistrat instructeur n’avait pas autorisé en des termes spécifiques de sa commission rogatoire les réquisitions litigieuses, et ce notamment parce qu’il n’avait pas précisé la durée et le périmètre de cette commission rogatoire. La Cour de cassation a donc jugé que des réquisitions adressées aux opérateurs télécoms par les enquêteurs devaient être annulées sous réserve qu’un grief soit établi par le requérant.
La haute juridiction a précisé, dans ce même arrêt, que la preuve de ce grief suppose la démonstration de trois éléments : l’accès a porté sur des données irrégulièrement conservées ; la finalité ayant motivé l’accès aux données doit être moins grave que celle ayant justifié leur conservation (hors hypothèse de la conservation rapide) ; l’accès a dépassé les limites de ce qui était strictement nécessaire.
Le sujet a pris une dimension politique, en écho aux magistrats du Parquet. Deux sénateurs (LR) ont considéré que ces décisions « [les] privent ainsi que les forces de police judiciaire d’un outil précieux dans l’identification des auteurs de crimes ou d’infractions graves ». Yves Bouloux (10) et Serge Babary (11) ont chacun saisi le gouvernement d’une question écrite (12) afin que ce dernier prenne en urgence les mesures nécessaires afin de permettre aux procureurs de la République d’exercer leurs missions. Serge Babary a même appelé à envisager une réforme institutionnelle afin de conférer aux magistrats du Parquet les garanties d’indépendance exigées par le droit de l’Union européenne.

Les défenseurs de la vie privée veillent
Mais la question est loin de faire consensus avec ceux qui dénoncent avec force les « velléités sécuritaires du gouvernement ». En première ligne de ces défenseurs de la vie privée, il y a notamment l’association La Quadrature du Net, qui salue comme autant de bonnes nouvelles les décisions qui diminuent l’obligation de conservation des données de connexion. Ce fut le cas notamment en février 2022 à la suite de la décision du Conseil constitutionnel qui avait censuré une partie de l’obligation de conservation généralisée et indifférenciée des données de connexion. (13) Si la lutte contre la criminalité légitime l’ingérence de l’Etat, reste donc toujours et encore à positionner le curseur à bon niveau pour ne pas porter atteinte à la vie privée et aux libertés individuelles. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris, est l’auteure
de « Cyberdroit » (Dalloz 2019-2020) et co-auteure
de « Cybersécurité, mode d’emploi » (PUF 2022).

Des opérateurs télécoms alternatifs défendent la neutralité de l’Internet, le Berec à Bruxelles aussi

Publié le par

L’Association des opérateurs télécoms alternatifs (Aota) est montée au créneau le 17 novembre pour défendre la neutralité de l’Internet qu’elle estime menacée par le projet d’un « Internet à péage ». Le Groupement européen des régulateurs des télécoms (Berec) étaye sa position.

Ce sont une quarantaine d’opérateurs télécoms dits alternatifs et présents au niveau local et régional, tels que Eurafibre, Add-on Multimédia, Adenis, Dauphin Telecom, Netalis, Lumos, Blue Infra, ou encore Ineonet pour ne citer qu’eux parmi une quarantaine de membres regroupés au sein de l’Association des opérateurs télécoms alternatifs (Aota), qui ont défendu la neutralité du Net. Son président, Bruno Veluet (photo de gauche), lui-même fondateur de Netwo (une plateforme permettant de créer et de gérer un opérateur télécoms), est monté au créneau – dans une tribune dans Le Monde (1) – pour « dénonce[r] cette volonté de mettre des barrières à l’entrée, pour accéder au réseau ».

Non au « péage numérique européen »
Les opérateurs de réseaux, la plupart historiques, veulent en effet faire payer aux plateformes numériques – dont les GAFAM/N (2) – un droit de passage sur leurs infrastructures télécoms. Orange, Deutsche Telekom, Telefonica, Telecom Italia/Tim ou encore British Telecom/BT font depuis plusieurs mois du lobbying intense à Bruxelles, notamment auprès du commissaire européen Thierry Breton tout acquis à leur cause (3), pour que soit mis en place « un péage numérique européen » (dixit l’Aota) qui revient à « taxer les grands fournisseurs de contenus pour la transmission de leurs données sur les réseaux de télécommunication ».
Les grands opérateurs favorables à une telle mesure de « compensation directe » ou fair share, tous membres de l’association de lobbying Etno (4) basée à Bruxelles, ont l’oreille de Thierry Breton, lequel fut dans une ancienne vie président de France Télécom devenu Orange (octobre 2002-février 2005). Des eurodéputés (5) ont même pris fait et cause pour les opérateurs de réseaux. Le commissaire européen en charge du Marché intérieur prévoyait même de faire une proposition législative dans ce sens d’ici la fin 2022. Mais la Commission européenne a changé son fusil d’épaule et a prévu de lancer une consultation publique d’ici la fin du premier trimestre 2023 et pour une durée de cinq ou six mois, sur le thème plus vaste de « la régulation des réseaux » à l’ère des métavers et du streaming. Si une telle taxe venait à voir le jour, ce serait, prévient Bruno Veluet, « un coup porté à la libre concurrence, car les nouveaux entrants seront freinés, voire bloqués, alors que dans le numérique, c’est de là que vient l’innovation et l’animation concurrentielle du marché ». Ce serait aussi et surtout un coup portée à la neutralité de l’Internet, qui est le principe de non-discrimination dans l’accès au réseau et le transport des données. Ce qu’avait tant bien que mal préservé jusqu’à maintenant le règlement européen « Open Internet » du 25 novembre 2015. « Si cette législation est mise en place, elle provoquerait un Internet “à plusieurs vitesses”, menaçant la neutralité du Net, et donc potentiellement les libertés publiques, et déstabiliserait l’ensemble des équilibres économiques du secteur. (…) Il ne peut pas y avoir un Internet pour ceux qui paient (qui fonctionne bien) et un Internet de seconde zone, qui fonctionne comme il peut, pour les autres », s’inquiète le président de l’Aota. Les opérateurs alternatifs auraient, selon elle, les inconvénients du dispositif sans les avantages, « car ils ne sont pas en capacité économique de négocier l’accès à leurs réseaux face aux fournisseurs de contenus, et se verront imposer une quasi-gratuité ». Pour appuyer ses craintes, l’Aota fait référence à l’Organe des régulateurs européens des communications électroniques (Berec) – dont fait partie l’Arcep en France – qui a émis des réserves sur « cette hypothèses sous-jacentes concernant la nécessité de réglementer la rémunération des grands fournisseurs de contenu et d’applications [GAFA] pour les services Internet fournisseurs de services Internet [FAI] ». Le Berec ne voit « ni fondement économique ni bénéfices tangibles à cette proposition et considère même que cette taxe pourrait entraîner un déséquilibre du marché ».

Les quinze considérations du Berec
En effet, dans sa note d’une quinzaine de pages datée du 7 octobre 2022, le Groupement européen des régulateurs des télécoms – placé sous la houlette de la Commission européenne et présidé cette année par la Néerlandaise Annemarie Sipkes (photo de droite) – conclut qu’il « n’a pas de preuve que ce mécanisme [de “compensation directe” susceptible d’être payée par les plateformes aux opérateurs, ndlr] est justifié ». Et que « la proposition des membres de l’Etno pourrait présenter divers risques pour l’écosystème Internet » (6).
Pour étayer sa démonstration, le Berec avant une quinzaine de motifs :
Internet a prouvé sa capacité à s’adapter aux conditions changeantes, notamment : l’augmentation du volume de trafic et l’évolution de la demande.
Toute mesure intervenant sur le marché doit être dûment justifiée.
Le modèle selon lequel « le diffuseur paie le réseau » – ou en anglais Sending party network pays (SPNP) – permettrait aux FAI d’exploiter le monopole de terminaison et il est concevable qu’un tel changement pourrait nuire considérablement à l’écosystème Internet.
Par conséquent, le SPNP exigerait une surveillance réglementaire et pourrait exiger une intervention.

L’Etno et le mythe du free-riding
Le trafic est demandé et donc « causé » par les clients des FAI.
Les grande plateformes et fournisseurs de contenus [GAFA, ndlr] sont également en mesure d’optimiser l’efficacité des données du contenu et des applications qu’ils fournissent.
Les coûts des réseaux d’accès fixe sont très peu sensibles au trafic, tandis que les réseaux mobiles le sont.
Les désaccords sur l’interconnexion IP concernent généralement l’accroissement de la capacité de la liaison d’interconnexion IP.
Le coût des mises à niveau du réseau qui sont nécessaires pour gérer un volume de trafic IP accru est très faible par rapport aux coûts totaux du réseau.
Les GAFA et les FAI dépendent les uns des autres.
La demande de contenu de la part des clients des FAI stimule la demande d’accès haut débit.
La disponibilité de l’accès haut débit stimule la demande de contenu.
Il n’y a aucune preuve de free-riding [à savoir que les infrastructures réseaux seraient considérées comme gratuites par les GAFA, ndlr].
Les coûts de la connectivité Internet sont généralement couverts et payés par les clients des FAI.
Une analyse plus large pourrait être effectuée sur d’autres approches liées à débat. Le Berec s’attaque notamment au mythe du freeriding, selon lequel les GAFAM/N utiliseraient les infrastructures télécoms sans compensation – totale ou partielle – pour les FAI et, par conséquent, que les coûts encourus par ces derniers ne seraient pas couverts. « Ces allégations ne sont pas nouvelles », rappelle le Berec dans ses conclusions préliminaires. Il y a dix ans déjà, en 2012 lors du Congrès mondial des technologies de l’information (WCIT 2012) organisé par l’Union internationale des télécommunications (UIT), l’Etno avait déjà plaidé pour « un mécanisme de tarification d’interconnexion particulier » déjà appelé à l’époque SPNP (Sending party network pays) et d’y faire référence dans le règlement sur les télécommunications internationales (ITR) de l’UIT. L’Etno a expliqué que son amendement n’avait d’autres buts que de s’assurer que les accords commerciaux existants de type paid peering (interconnexion IP payante) ne soient jamais interdits par des lois dans les Etats membres de l’UIT, organe des Nations Unies.
Dans sa réponse datée du 14 novembre 2012 (il y a dix ans maintenant), le Berec en a conclu : « Les deux faces du marché – les [GAFA] d’une part et les utilisateurs de ces applications d’autre part – contribuent déjà au paiement de la connectivité Internet. Rien ne prouve que les coûts de réseau des opérateurs ne sont pas déjà entièrement couverts et payés dans la chaîne de valeur Internet (des [GAFA] d’un côté, aux utilisateurs finaux de l’autre) » (7). Dans ses conclusions préliminaires du 7 octobre 2022, cette fois, le Berec est on ne peut plus clair : « Cela demeure vrai en 2022 comme en 2012 », surtout que, rappelle le groupement des « Arcep » européennes, il n’y a pas de place pour le free-riding dans les conditions actuelles de la concurrence sur le marché de l’interconnexion où les différends sont en général résolus par les acteurs eux-mêmes. Une étude de l’institut allemand Wik, publiée en février 2022, démontre d’ailleurs que les marchés du transit et du peering constituent « un écosystème d’interconnexion IP [qui] est en grande partie concurrentiel », avec des acteurs aussi variés que les opérateurs de réseaux, les FAI, les réseaux de distribution de contenu (CDN) ou encore les réseaux publics d’Internet (8).

Peering et bill & keep : tous se tiennent
A cela s’ajoute le fait que le principe historique du bill & keep permet aux opérateurs télécoms de ne pas se facturer entre eux. Bref, tout le monde se tient. L’investissement des FAI dans l’infrastructure réseau contribue à l’écosystème Internet et l’investissement des GAFA dans le contenu lui-même – et dans les plateformes numérique où ces contenus sont mis à disposition et/ou partagés – contribuent à cet écosystème global. Faire payer un droit de passage sur Internet, à la manière des octrois du Moyen-Age, présente donc un risque pour l’Internet et sa neutralité. @

Charles de Laubier

Gaia-X, le « cloud de confiance » franco-allemand, est-il pro-souveraineté numérique européenne ?

Publié le par

L’association Gaia-X pour un « cloud de confiance » en Europe, a organisé son 3e sommet, qui s’est tenu cette année les 17 et 18 novembre à Paris. Censée contribuer à la « souveraineté numérique » européenne, elle compte parmi ses membres de nombreux américains et chinois.

Annoncé en juin 2020, le projet franco-allemand de « cloud de confiance » Gaia-X a été officiellement lancé sous forme d’association internationale à but non lucratif en janvier 2021. De 22 entreprises et organisations fondatrices au départ, toutes d’origine européenne, Gaia-X compte aujourd’hui plus de 359 membres venus quasiment des quatre coins du monde, comme le montre le répertoire en ligne des entités adhérentes (1). Beaucoup d’entre eux se sont retrouvés les 17 et 18 novembre à Paris en présentiel ou en distanciel à la troisième édition du Gaia-X Summit.

14 membres américains et 4 chinois
Si les différents intervenants à ces deux journées étaient tous européens (2), il n’en demeure pas moins que la Gaia-X European Association for Data and Cloud (sa dénomination officielle), de droit belge, basée à Bruxelles et dirigée par Francesco Bonfiglio (photo), joue plus sur le registre du « cloud de confiance » que sur celui de « cloud souverain ».
La composition de ses membres le démontre, au-delà des 22 fondateurs européens (dont Atos, Deutsche Telekom, OBS/Orange, EDF, Docaposte/La Poste, Outscale/Dassault Systèmes, OVH, SAP, Siemens, …). Ainsi, sont aussi membres de Gaia-X des entreprises et des organisations extra européennes qui doivent composer avec les objectifs de cloud de confiance et de souveraineté numérique recherchés en Europe. Ces membres « étrangers » au Vieux Continent, qui sont au nombre de vingt-quatre selon le décompte effectué par Edition Multimédi@ sont étatsuniens (quatorze d’entre eux), chinois (cinq), japonais (quatre) ou sud-coréen (un). Ainsi, le consortium Gaia-X qui se veut le garant en Europe du cloud de confiance, voire du cloud souverain, est plus ouvert aux acteurs du reste du monde qu’il n’y paraît.
Y sont présents les américains Amazon (basé au Luxembourg), Google (basé en Irlande), Microsoft (basé en Belgique), Palantir Technologies (proche de la CIA et basé dans le Colorado), Oracle (basé en Californie), Salesforce (également en Californie), AMD (aussi en Californie), mais aussi Cisco (basé en Belgique), Seagate (basé en Irlande), Dell (également en Belgique), Hewlett Packard (basé en Allemagne), IBM (également en Allemagne), Intel (aussi en Allemagne) ou encore Snowflake (basé en Californie). L’Empire du Milieu n’est pas exclu du cloud européen, loin s’en faut puisque sont membres de Gaia-X les chinois Alibaba (basé à Singapour), Huawei Technologies (basé en Allemagne), Haier (basé à Qingdao en Chine), Shenzhen Shuxin Technology (basé à Shenzhen en Chine) ou encore la China Academy of Information and Communications Technology (CAICT basée à Pékin). Le pays du Soleil-Levant n’est pas en reste avec les japonais Fujitsu (basé en Allemagne), Nec (basé au Japon), NTT (également au Japon) et Mitsubishi Electric (basé Allemagne). Quant au Pays du Matin frais, il est lui aussi présent au sein de Gaia-X à travers le sud-coréen Kosmo (basé à Sejong en Corée du Sud). Or, le projet Gaia-X n’était-il pas de construire l’infrastructure de données de nouvelle génération pour favoriser la souveraineté numérique de l’Europe, offrant une alternative européenne aux hyperscalers américains que sont en tête Amazon Web Services (AWS), Microsoft Azure et Google Cloud, et même chinois comme Alibaba ?
Il y a un an presque jour pour jour, la sénatrice Catherine Morin- Desailly avait exprimé son incompréhension de voir le chinois Huawei si actif au sein de Gaia-X, qui plus est sponsor du second Gaia-X Summit arborant alors ce message commun: « Gaia-X & Huawei considèrent de la même manière la souveraineté des données et la digitalisation comme des facettes tout aussi importantes de la société et de l’économie d’aujourd’hui » (3). D’où le tweet de sénatrice : « Je croyais que le but de Gaia-X était à l’origine de construire une offre franco-allemande indépendante des géants américains et chinois ! C’est tout le contraire qui s’est produit depuis un an » (4). Pour ce troisième Gaia-X Summit, les français Dawex et Ionos, et les allemands Ionos et De-Cix sont cette fois les sponsors – de quoi redonner des couleurs franco-allemandes à Gaia-X ! La souveraineté numérique et les « infrastructures de données souveraines » ont été au coeur des discussions de ce sommet. Sans que l’on sache vraiment si le cloud souverain doit rester franco-français ou euro-européen.

La position dominante des hyperscalers
Rien qu’en France, le trio de tête Amazon-Microsoft-Google s’arroge plus des deux tiers du marché nuagique en 2021. Ils ont été convoqués par l’Autorité de la concurrence dans le cadre d’une consultation publique sur le cloud qui s’est achevée en septembre (5). La bataille du cloud sévit aussi sur toute l’Europe, des plaintes du français OVH et de l’allemand Nextcloud ayant notamment été déposées en 2021 auprès de la Commission européenne (6). Quant aux grandes entreprises françaises, souvent internationales, elles parlent plus de cloud de confiance – référentiel de trusted cloud à la clé (7) – plutôt que de cloud souverain. @

Charles de Laubier

Entre marques et noms de domaine, le risque de conflit existe mais il peut être évité en amont

Publié le par

Le dépôt de marques et l’enregistrement de noms de domaines peuvent tourner à l’affrontement judiciaire ou extra-judiciaire depuis que l’Internet existe, notamment en cas de contrefaçon, de cybersquattage ou encore de typosquattage. L’antériorité n’est pas le seul critère à considérer. Etat des lieux.

Par Vanessa Bouchara*, avocate associée, cabinet Bouchara Avocats.

Un nom de domaine – cette adresse textuelle attribuée à une adresse IP – peut constituer une antériorité opposable à une marque puisque le code de la propriété intellectuelle prévoit qu’un nom de domaine, dont la portée n’est pas seulement locale, constitue une antériorité opposable à une marque s’il existe un risque de confusion dans l’esprit du public (1). Pour autant, la marque peut être enregistrée alors même qu’il existe un nom de domaine antérieur et qu’elle ne sera susceptible d’être annulée que si le titulaire du nom de domaine antérieur oppose ses droits.

Internet : premier arrivé, premier servi
Mais les noms de domaine et les marques font-ils bonménage ou se regardent-ils en chiens de faïence ? Rappelons qu’une marque est un signe déposé auprès d’un office de marque qui peut être l’Institut national de la propriété industrielle (Inpi), l’Office de l’Union européenne pour la propriété intellectuelle (Euipo) ou l’Organisation mondiale de la propriété intellectuelle (Ompi). Une marque doit être distinctive, ce qui signifie qu’elle doit permettre de distinguer les produits ou services proposés par une entreprise de ceux de ses concurrents, pour être protégeable. Elle permettra ainsi au consommateur d’identifier les produits ou services de la marque comme provenant justement d’elle. De nombreux signes peuvent être déposés et constituer une marque : une dénomination, des signes figuratifs (logo, dessin), des signes tridimensionnels, des couleurs, des sons, etc.
Quant au nom de domaine, il comprend un terme auquel est ajouté l’extension du nom de domaine qui peut être générique (.com, .org, .net, …) ou territoriale (.fr, .uk, .com, .cn, …). . Le nom de domaine, qui est associé – par un annuaire d’Internet (2) – à une adresse IP, permet aux internautes d’accéder à un site web spécifique. Le nom de domaine aura été enregistré auprès d’un bureau d’enregistrement accrédité (« registrar » en anglais), en fonction des règles applicables et de l’extension du nom de domaine concernée (3). Sous réserve d’être exploité, un nom de domaine peut constituer un signe distinctif, tout comme le sont les dénominations sociales. En tant que tel, il constitue alors un actif immatériel important pour son titulaire et dispose d’une valeur juridique dont il est important de comprendre la portée. Les noms de domaine sont en principe soumis à la règle du « premier arrivé, premier servi », sous réserve que le nom de domaine ne porte pas atteinte à des droits antérieurs de tiers. Il n’existera donc pas plusieurs noms identiques. Certaines extensions de domaine ont des règles d’attribution strictes. Par exemple, le .fr ne pourra être attribué qu’à une entité ou personne résidant dans l’Union européenne et ayant une existence légale en France.
Alors quid des risques entre l’enregistrement d’un nom de domaine et le dépôt d’une marque ? Tout d’abord, un nom de domaine ne doit pas porter atteinte à un droit antérieur de tiers et notamment à une marque antérieure, qu’il s’agisse notamment de « cybersquattage » (appelé aussi cybersquatting, à savoir l’enregistrement d’un signe distinctif comme une dénomination sociale ou une marque par un tiers souhaitant en tirer un profit) ou de « typosquattage » (appelé aussi typosquatting, à savoir l’enregistrement par un tiers d’un nom de domaine similaire à une marque, une enseigne, un nom patronymique ou encore un autre nom de domaine pour créer la confusion). Lorsqu’un nom de domaine porte atteinte à une marque antérieure, il peut être possible pour le titulaire de la marque d’engager des actions spécifiques de type UDRP (4) pour les litiges portant sur l’enregistrement et l’utilisation de noms de domaine de premier niveau (.com, .biz, .info, .mobi, .net, .org…) ou SYRELI (5) pour obtenir le transfert ou la suppression de noms de domaine (uniquement pour .fr). Ces actions extrajudiciaires ne sont toutefois pas disponibles pour toutes les extensions de noms de domaine. Quelles sont donc les règles applicables aux conflits entre ces deux droits, marques et noms de domaine ? Deux hypothèses se présentent en cas de litige selon l’antériorité de l’une ou de l’autre.

En cas de litige, deux hypothèses
• La première hypothèse est celle d’un nom de domaine antérieur à une marque. La jurisprudence a posé la règle selon laquelle un nom de domaine peut constituer un droit antérieur opposable à une marque dès lors qu’il est effectivement exploité et qu’il existe un risque de confusion dans l’esprit du public susceptible d’affecter la fonction essentielle de la marque (6). En tout état de cause, si le nom de domaine est composé de signes descriptifs de son exploitation, il ne pourra pas être opposé à une marque elle-même descriptive, y compris si cette marque est bien postérieure à l’enregistrement et à l’exploitation du nom de domaine antérieur (7). Le code de la propriété intellectuelle (CPI) a par la suite intégré en 2019 le nom de domaine dans la liste des droits antérieurs opposables consacrée au nouvel article L711-3, dans le cadre de l’ordonnance « marques de produit et de services » (8).
Les exigences posées par la jurisprudence et l’article L711-3 du CPI pour qu’un nom de domaine constitue un droit opposable à une marque sont ainsi les suivantes : le nom de domaine doit être effectivement exploité ; le nom de domaine doit être exploité pour des produits ou services identiques ou similaires à ceux pour lesquels la marque a été déposée ; la portée du nom de domaine ne doit pas être seulement locale.

Action judiciaire ou extra-judiciaire
Ce n’est que lorsque ces trois conditions seront remplies que le titulaire d’un nom de domaine pourra alors opposer ses droits à une marque postérieure, qu’elle soit enregistrée ou en cours d’enregistrement.
En tout état de cause, il est vivement recommandé de procéder à une recherche d’antériorité préalablement à l’enregistrement d’une marque afin de s’assurer de la disponibilité du signe concerné, et notamment de l’absence de noms de domaine à risque.
• La seconde hypothèse est celle d’une marque antérieure à un nom de domaine. Les règles applicables aux conflits entre une marque antérieure et un nom de domaine connaissent de légères différences en fonction du type d’actions engagé. En effet, plusieurs types d’actions sont envisageables. Il y a notamment l’action judiciaire en contrefaçon devant les tribunaux. Il est établi depuis de nombreuses années que la reproduction illicite d’une marque protégée utilisée à titre de nom de domaine constitue une contrefaçon de marque (9).
Toutefois, en vertu du principe de spécialité, l’atteinte à la marque (en l’occurrence l’acte de contrefaçon) ne sera constituée que si le nom de domaine postérieur est exploité, ou est susceptible d’être exploité, pour une activité identique ou similaire à celle couverte par la marque antérieure ainsi que sur le territoire concerné. Si cette condition est remplie, le titulaire de la marque pourra opposer ses droits sur le nom de domaine postérieur dans le cadre d’une action en contrefaçon devant les tribunaux. Cette action aura pour objectif d’obtenir la cessation de l’atteinte, mais également le transfert du nom de domaine au titulaire de la marque, ou encore la condamnation de la société titulaire et/ou exploitant le nom de domaine à des dommages et intérêts. Il y a aussi le mode alternatif de règlement des litiges relatifs aux noms de domaine. Selon l’extension des noms de domaine, il pourrait être possible d’engager une action extrajudiciaire simplifiée, le plus souvent une action UDRP ou SYRELI, afin d’obtenir le transfert ou l’annulation d’un nom de domaine enregistré portant atteinte à une marque antérieure. Ces actions simplifiées sont plus rapides et moins coûteuses qu’une action judiciaire. Le recours à de telles actions n’empêche pas les parties de saisir les tribunaux si besoin, notamment en appel de ces décisions si elles ne sont pas satisfaisantes. Pour avoir gain de cause dans le cadre de telles procédures, il est généralement nécessaire : de justifier de ses droits antérieurs ; de démontrer l’identité ou quasi identité entre la marque et le nom de domaine ; de convaincre que le titulaire du nom de domaine n’a pas de droits ou d’intérêts légitimes à enregistrer et à exploiter le nom de domaine ; de prouver que le nom de domaine a été enregistré et est exploité de mauvaise foi par son titulaire. Un titulaire de nom de domaine pourra démontrer qu’il dispose de droits ou d’intérêts légitimes sur un nom de domaine, notamment s’il exploite le nom de domaine en relation avec une offre bona fide de biens ou de services (10) ou pour un usage non commercial sans intention de détourner les internautes ou de ternir la marque antérieure en cause (11).
L’enregistrement et l’exploitation de mauvaise foi d’un nom de domaine pourront par ailleurs être constitués lorsque son titulaire tente intentionnellement d’attirer, pour un gain financier, les internautes vers son propre site Internet ou le site d’un tiers, en créant un risque de confusion avec la marque antérieure en cause (12). En tout état de cause, il est recommandé d’enregistrer également un nom de domaine à titre de marque afin de renforcer la protection associée et les moyens d’actions à disposition du titulaire du nom de domaine en cas d’atteinte à ses droits par des tiers, mais également de réaliser une recherche d’antériorité préalablement à l’enregistrement du nom de domaine afin de s’assurer de la disponibilité du signe concerné.

Avant tout, prudence et précaution
En conclusion, les conflits entre marques et noms de domaine sont nombreux, dans un sens comme dans l’autre. La prudence est de mise avant de déposer un nom de domaine et de créer un site Internet : il est indispensable de s’assurer que ce nom de domaine, pour l’activité projetée, n’est pas susceptible de porter atteinte aux droits de tiers, plus particulièrement à des droits de marque. De la même manière, le dépôt d’une marque doit être précédé d’une recherche d’antériorités qui permettra d’établir si la marque est disponible et peut être librement déposée et exploitée. En s’entourant de précautions avant le lancement de son activité, on évite ainsi de la mettre en péril si des droits antérieurs lui étaient opposés ultérieurement. @

* Vanessa Bouchara, avocate et spécialiste en droit
de la propriété intellectuelle, a fondé le
cabinet Bouchara Avocats (www.cabinetbouchara.com).

La presse adopte les aperçus News Showcase de Google, mais se détourne des pages AMP

Publié le par

Pendant que la filiale d’Alphabet propose le service Google News Showcase aux éditeurs de presse en ligne pour mettre en avant des aperçus de leurs contenus dans les résultats de recherches, le format AMP de Google pour accélérer les pages web est, lui, de plus en plus délaissé par les médias.

« AMP de Google : du dopage au sevrage ? ». Tel est le titre d’une nouvelle note d’éclairage publiée par Bercy, plus précisément par son Pôle d’expertise de la régulation numérique (PEReN). Cette entité, qui intervient dans la régulation des plateformes numériques, est placée sous l’autorité conjointe des ministères du Numérique (1) et de la Culture – ce dernier ministère étant lui-même armé de la DGMIC (2). Ce n’est pas un hasard si Bercy a publié le 17 octobre son éclairage sur le format AMP (Accelerated Mobile Pages) qui perd progressivement de son intérêt pour les éditeurs de presse depuis son lancement par Google en 2015.

Le GNS attire ; le format AMP déçoit
Cette note du PEReN sur ce format contesté de navigation est ainsi parue deux jours avant le lancement en France du dispositif « Google News Showcase » (GNS) qui permet aux éditeurs de la presse « d’avoir plus d’options pour diffuser l’actualité et rediriger leurs lecteurs vers les articles complets sur leurs sites Internet ». C’est ainsi plus de 65 éditeurs représentant plus de 130 publications qui ont signé avec Google pour avoir « une visibilité supplémentaire » (Le Figaro), « une audience plus large » (Le Parisien), « une vitrine d’exposition de nos articles payants » (La Dépêche du Midi), « un partenariat qui prend en compte la forte valeur des contenus » (L’Equipe) ou encore « un canal supplémentaire » (L’Express). La plupart des éditeurs bénéficiaires représentent des titres dits d’information politique et générale qui sont membres de l’Apig (3). Son directeur général, Pierre Pétillault, indique à Edition Multimédi@ qu’« il n’y a pas que des membres de l’Alliance » puisque l’on retrouve aussi La Tribune, Le Courrier International ou encore L’Obs.
Et à la question de savoir si GNS remplace l’autre dispositif de mise en avant de contenus éditoriaux AMP et son AMP Stories, il nous a répondu : « Il n’y a pas de lien avec AMP, qui concerne l’affichage de contenus en intégralité uniquement sur mobile, alors que [GNS] propose de courts extraits sur tous les supports ». Leur point commun est d’avoir été rapidement adoptés par les médias : AMP a perdu de son attrait ; GNS tiendra-t-il ses promesses ? Annoncé le 19 octobre par Sébastien Missoffe (photo), directeur général de Google France, le «News Showcase » a été rendu opérationnel le lendemain sur Google Actualités (tout support sous Android, iOS et le Web) ainsi que sur Google Discover (sur mobile Android et iOS). Depuis, les utilisateurs peuvent voir apparaître de petites fenêtres dans les résultats de leurs recherches qui mettent en avant des contenus de journaux nationaux, régionaux ou locaux. Les éditeurs de presse gardent la main sur ces aperçus et sont rémunérés par Google en fonction du nombre d’article mis ainsi à disposition (prévu contractuellement).
Objectif de la presse : élargir son audience et attirer in fine les lecteurs vers un abonnement payant. « Dans le cadre de nos accords de licence avec les éditeurs concernés par Google News Showcase, nous rémunérons les éditeurs de presse participants pour qu’ils donnent aux lecteurs l’accès à une quantité limitée de leur contenu payant. Les lecteurs ont ainsi un aperçu des articles auxquels ils n’auraient normalement pas eu accès, ce qui leur permet d’en savoir plus sur le journal concerné et éventuellement de s’y abonner », a expliqué Sébastien Missoffe (4). Pour autant, le GNS reste bien dissocié de la rémunération des droits voisins de la presse, dont la collecte est assurée par ailleurs par la Société des droits voisin de la presse (DVP), organisme de gestion collective créé fin octobre 2021. En effet, l’Autorité de la concurrence avait remis en cause en juillet 2021 le premier accord-cadre entre Google et l’Apig (5). Car le programme de licence GNS de Google, dans sa version initiale, forçait quelque peu la main des éditeurs à y adhérer s’ils voulaient être rémunérés au titre des droits voisins. Depuis son lancement en octobre 2020, Google News Showcase a séduit 1.800 publications dans le monde (6).

AMP, plus que 10 % à 15 % de l’audience
De son côté, le format mobile AMP – contesté dès le début (par W3C, Twitter, Brave, DuckDuckGo, …) – semble condamné à terme d’après l’éclairage du PEReN (7). La décision prise par le géant du Net en avril 2021, de ne plus avantager les pages AMP dans le carrousel « A la Une » de la recherche du moteur Google (8), pousse de plus en plus de médias à abandonner ce format – à l’instar de francetvinfo.fr (France Télévisions et Radio France). De plus, malgré son ouverture fin novembre 2019, la gouvernance d’AMP reste contestée car trop sous l’emprise de Google. Pour l’heure, en France, l’Alliance pour les chiffres de la presse et des médias (ACPM, ex-OJD), nous indique que Médiamétrie estime la part de ce format dans l’audience globale entre 10 % et 15 % selon le titre et la période. @

Charles de Laubier