Archives par mot-clé : Juridique

Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

Publié le par

La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir.

Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE).

Blockchain et RGPD en chiens de faïence ?
Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis.
Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter.
Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue.
La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ?

Responsabilité dans un monde blockchainisé
Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ?

Quid des droits des personnes ?
En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès.
Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure.
De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire…
Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés.

Nécessaire souplesse dans l’interprétation
Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD.
En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3
et protection des données.

La liberté de la presse l’emporte sur la contestée procédure non contradictoire, grâce à Mediapart

Publié le par

Avec le procès « Perdriau contre Mediapart », qui a donné lieu à une ordonnance rendue par le tribunal judiciaire de Paris le 30 novembre 2022, c’est la liberté de la presse qui est consacrée. Ce revirement du juge est salutaire, mais le risque de « censure judiciaire » reste. Faut-il légiférer ?

Par Julie Jacob, avocate associée, cabinet Jacob Avocats

Alors que la vice-présidente du tribunal judiciaire de Paris avait ordonné, dans son ordonnance du 18 novembre 2022, la censure d’une enquête du site de presse en ligne Mediapart révélant de nouvelles informations sur les pratiques politiques du maire de Saint-Etienne, le tribunal judiciaire de Paris – via la même vice-présidente – a prononcé une ordonnance de rétractation le 30 novembre 2022 (1). Ce qui a permis ainsi la publication de l’enquête sur la gestion de la mairie de Saint-Etienne.

Mise en péril de la liberté de la presse
Par cette même ordonnance, le maire de Saint-Etienne, Gaël Perdriau, a été condamné à verser la somme de 9.000 euros à la Société éditrice de Mediapart sur le fondement de l’article 700 du code de procédure civile. La première décision datée du 18 novembre 2022, qui avait fait interdiction à Mediapart de publier une enquête sous astreinte financière de 10.000 euros par jour, résultait d’une procédure non contradictoire, telle que prévue par l’article 493 du code de procédure civile, visant les cas de risque de déperdition de la preuve et d’atteinte à la vie privée. Cet article entré en vigueur en 1976 dit ceci : « L’ordonnance sur requête est une décision provisoire rendue non contradictoirement dans les cas où le requérant est fondé à ne pas appeler de partie adverse » (2). Le directeur de la publication de Mediapart, Edwy Plenel, avait dénoncé lundi une « censure préalable » et une « attaque sans précédent contre la liberté de la presse » car « Mediapart n’était pas informé de cette procédure et l’ordonnance a été prise par un juge sans que notre journal n’ait pu défendre son travail et ses droits » (3). Dans son ordonnance autorisant une telle procédure non contradictoire, le tribunal avait considéré qu’il n’était pas possible de respecter le principe du contradictoire compte tenu tant de « l’urgence » de la situation, que du caractère « irrémédiable » du préjudice. Il faut s’interroger si une procédure de référé d’heure à heure n’aurait pas tout de même permis de plaider cette affaire, avec le respect du contradictoire et donc avec la présence de toutes les parties. L’ordonnance avait été rendue en urgence, à la demande du maire de Saint- Etienne qui avait sollicité « l’interdiction précise de publier un enregistrement clandestin et son verbatim au titre du respect dû à sa vie privée », sans que Mediapart n’ait pu se défendre, autorisant dès lors une procédure non contradictoire. Manifestement, la vice-présidente, devant qui la requête a été déposée, a été trompée par le demandeur, pour la raison spécifique que Gaël Perdriau avait déjà connaissance des enregistrement litigieux depuis plusieurs mois et ne pouvait réellement « se prévaloir, pour justifier de déroger au principe du contradictoire, du caractère imminent de l’atteinte alléguée ». C’est la raison pour laquelle le tribunal a finalement rétracté son ordonnance du 18 novembre 2022 (laquelle n’a d’ailleurs pas été publiée), considérant que la voie du référé respectant le principe du contradictoire était à privilégier. Il est clair que le recours à la requête ne doit pas servir à contrôler la presse ni à créer un précédent pour les cas futurs.
Dans sa requête aux fins de mesures conservatoires, Gaël Perdriau avait indiqué au tribunal que la procédure de référé, même d’heure à heure, était inadaptée, car Mediapart aurait publié tout ou partie de l’enregistrement de la décision dans l’attente de la décision statuant sur la demande de suppression. Il a ainsi indiqué au juge que les préjudices auraient été « irrémédiables ». Il s’avère qu’en réalité, Gaël Perdriau n’a pas communiqué à la vice-présidente, l’ensemble des informations sur l’antériorité de la connaissance de l’existence de l’enregistrement litigieux et d’une première publication d’extraits dans Mediapart.

Pas de « censure préventive » ni « définitive »
La société du site de presse en ligne a contre-attaqué et saisi en référé le tribunal de Paris afin d’obtenir l’annulation « purement et simplement » de cette première décision de justice en demandant au tribunal d’« ordonner que la décision à intervenir soit exécutoire à compter de son prononcé compte tenu de l’extrême urgence de la situation ». Mediapart, qui avait respecté l’injonction faite par l’ordonnance rendue le 18 novembre 2022, a finalement obtenu gain de cause avec la rétractation de ladite ordonnance. Le tribunal a ainsi fait droit à la demande de rétractation de l’ordonnance sur requête permettant, ainsi, à Mediapart de publier son enquête. Dans l’ordonnance du 30 novembre 2022, on peut notamment lire : « [L]a particulière gravité de l’ingérence faite à la liberté d’expression au titre du respect dû aux droits d’autrui tels le respect de la vie privée impose que la mesure sollicitée conserve une finalité provisoire et conservatoire. Par ailleurs, le recours à la requête entraînant un traitement judiciaire exorbitant, dérogeant à un débat contradictoire immédiat, ne doit pas être dévoyé de son objet et servir à instituer un contrôle a priori de toute publication, aboutissant dans ce cas à une censure préventive, ni encore servir à des fins principales d’interdiction définitive ».

Interventions : SNJ, RSF, AAPDP, APJ,…
Mais si l’on pourrait saluer un retour à la normal au regard de la liberté de la presse, le motif invoqué pour permettre au tribunal de revenir sur sa décision est toutefois contestable puisque le principe du recours à une procédure non contradictoire est en tout état de cause extrêmement limité. Il convient de mettre en avant un risque de perte de preuve ou d’atteinte grave à la vie privée, ce qui n’était aucunement le cas en l’espèce. Mediapart avait en effet pour projet de publier des enregistrements, ainsi qu’une enquête sur la vie politique du maire de Saint Etienne. Aucune atteinte à une liberté fondamentale n’était caractérisée pour se priver d’un débat contradictoire.
Au cours de l’audience du 25 novembre était intervenu volontairement le procureur de la République près le tribunal judiciaire de Paris « afin de s’assurer du bon déroulement du débat contradictoire au cours de la présente audience ».
Et à cette même audience, le Syndicat national des journalistes (SNJ), le SNJ-CGT et la CFDT-Journalistes ont chacun déposé leurs conclusions d’intervention volontaire, reprises oralement à l’audience. La Ligue des droits de l’homme s’est elle aussi fait entendre notamment sur les articles 6 et 10 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (CEDH). Quant à l’association Reporters sans frontières (RSF), elle a soutenu ses conclusions d’intervention volontaire, là aussi sur la CEDH (4). Deux autres conclusions d’intervention volontaire sont venues de l’Association des avocats praticiens du droit de la presse (AAPDP), notamment sur l’article 11 de la Déclaration des droits de l’Homme et du citoyen, et de l’Association confraternelle de la presse judiciaire (APJ). Entre les deux ordonnances, une proposition de loi a été présentée le 21 novembre 2022 par la sénatrice Nathalie Goulet. Elle vise à modifier la loi sur la liberté de la presse de 1881 et à préciser qu’une publication ne pourrait être interdite que par une décision rendue contradictoirement. Elle ne comporte qu’un article unique : « L’article 5 de la loi du 29 juillet 1881 sur la liberté de la presse est complété par une phrase ainsi rédigée : “Une publication ne peut être interdite qu’en application d’une décision judiciaire rendue contradictoirement.” ». Dans l’exposé de ses motifs, la sénatrice centriste – avocate de profession et rejointe par vingt-quatre autres sénateurs – explique : « Un magistrat parisien, dans une affaire de presse vient de rendre une ordonnance sur requête. Cette procédure assez classique vient d’être utilisée de façon totalement inédite en matière de presse. Son contenu vise à interdire a priori une publication et ce sans contradictoire, ce qui est la marque d’une ordonnance sur requête dont la durée de vie est limitée mais qui fait grief. Par ce moyen légal, mais encore une fois inédit, il est porté une atteinte disproportionnée à la liberté de la presse et aux principes acquis en la matière depuis la loi du 29 juillet 1881. C’est pourquoi la présente proposition de loi vise à exclure l’utilisation de toute procédure non contradictoire, lorsque son objet concerne la liberté de la presse ».
Cependant, il nous semble que cette proposition de loi « Faire respecter la règle du contradictoire en matière de droit de la presse » (5) ne semble pas adaptée. Il est des cas où, en effet, l’appel à une requête non contradictoire pourrait s’avérer nécessaire. Ce pourrait être par exemple lorsque l’atteinte à la vie privée serait désastreuse et irrémédiablement compromise.
Cette rétractation d’ordonnance du 30 novembre 2022 nous rappelle en tout cas qu’il faut rester extrêmement vigilant aux éventuelles atteintes à la liberté de la presse. Les réactions ont été nombreuses, tant dans le monde politique que dans la presse. Les syndicats de journalistes SNJ, SNJ-CGT, CFDT-Journalistes et la Fédération internationale des journalistes (FIJ) ont applaudi ensemble le 1er décembre « une victoire pour la liberté d’informer » (6).

Des éditeurs de presse inquiets
Côté éditeurs de journaux, l’Alliance de la presse d’information générale (Apig) s’est félicitée que « le tribunal [soit] heureusement revenu sur [sa] décision » mais s’inquiète que « les restrictions à la liberté de la presse se multiplient » (7). Quant au Syndicat de la presse indépendante d’information en ligne (Spiil), dont est membre cofondateur Mediapart, il avait pointé le fait que cette « censure préalable d’un article de Mediapart [faisait] écho à la récente décision (8) rendue par le tribunal de commerce de Nanterre contre le média Reflets.info [lui interdisant] de publier de nouveaux articles sur le groupe Altice en raison d’un risque de “dommage imminent” » (9). @

Conservation et accès aux données de connexion : le grand écart entre sécurité et libertés !

Publié le par

C’est un sujet à rebondissements multiples ! Entre textes et jurisprudence sur la conservation des données de connexion, opérateurs télécoms, hébergeurs et fournisseurs en ligne sont ballotés. Mais il y a une constante : pas de conservation généralisée et indifférenciée, et l’accès y est limité.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral

Rappelons tout d’abord que les données de connexion désignent les informations techniques qui sont automatiquement engendrées par les communications effectuées via Internet ou par téléphonie. Il s’agit en quelque sorte des informations qui « enveloppent » un message, par exemple le nom et l’adresse IP d’un internaute, l’heure et la durée d’un appel téléphonique… Ce sont elles qui vont permettre de géolocaliser une conversation, ou de déterminer que telle personne échangeait à telle heure avec telle autre, ou encore qu’elle lui a transmis un message de tel volume.

Pas de conservation généralisée
On imagine donc assez aisément l’intérêt que peuvent avoir la collecte et l’utilisation de telles données et les atteintes que cela peut porter au droit fondamental à la confidentialité des communications. C’est précisément pour préserver le droit au respect de la vie privée que la conservation des données de connexion est interdite par principe. Les opérateurs télécoms, les fournisseurs d’accès à Internet ou encore les hébergeurs doivent donc effacer ou rendre anonymes les données relatives aux communications électroniques. Et ce, conformément à l’article 34-1 du code des postes et des communications électroniques (CPCE). Mais il existe des exceptions, envisagées immédiatement par le même texte, notamment pour prévenir les menaces contre la sécurité publique et la sauvegarde de la sécurité nationale, ainsi que pour lutter contre la criminalité et la délinquance grave. Aussi, les opérateurs de communications électroniques doivent ils conserver un certain temps – pour des raisons tenant à la défense d’intérêts publics ou privés – les données de connexion.
Ces obligations pèsent ainsi sur les fournisseurs d’accès – au cloud notamment – et d’hébergement mais aussi sur les entreprises qui fournissent un accès Wifi au public à partir d’une connexion Internet, en ce qu’elles sont assimilées à un intermédiaire technique. C’est ce que précise le même article 34-1 du CPCE : « Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions [sur la conservation des données de connexion, ndlr] ». Ces acteurs se trouvent donc au cœur d’un arsenal sécuritaire avec des obligations qui n’en finissent pas de fluctuer au gré des réponses apportées par le législateur et/ou par le juge, tant au niveau national qu’européen.
La Cour de justice de l’Union européenne (CJUE) rappelle, de manière constante (1) que la conservation généralisée et indifférenciée, à titre préventif, des données de connexion par les opérateurs est interdite. Cependant, elle admet qu’une restriction au droit à la vie privée est possible lorsqu’elle est justifiée par une nécessité urgente, pour une durée déterminée, et lorsqu’elle constitue une mesure nécessaire, appropriée et proportionnée au sein d’une société démocratique. Autrement dit, la haute juridiction européenne autorise l’obligation de conservation « ciblée » des données, obligation qui peut être renouvelable en cas de persistance de la menace.
C’est également la position adoptée par la CJUE qui s’est exprimée sur le sujet à deux reprises en 2022 : en avril d’abord, concernant la localisation d’appel téléphonique obtenue sur le fondement d’une loi irlandaise (2); en septembre 2022 ensuite, cette fois pour des poursuites pénales de délits d’initiés engagées sur le fondement du décret français de lutte contre les infractions d’abus de marché (3). Dans les deux cas, la haute juridiction européenne confirme que les législations nationales des Etats membres ne peuvent aboutir à la conservation généralisée et indifférenciée des données de trafic. A défaut, elle les juge contraire au droit de l’Union européenne.

En France, 3 décrets : délais de 1 à 5 ans
En France, la mise en œuvre de ce dispositif a donné lieu à l’entrée en vigueur de différentes obligations, répondant à un certain nombre de cas limitativement énumérés et pour une durée qui varie d’un an à cinq ans selon les informations concernées. Ces obligations sont prévues par trois décrets pris en application de l’article L.34-1 du CPCE, encore lui. Leur périmètre est en constante évolution, à la recherche d’un équilibre entre objectifs sécuritaires et protection de la vie privée :
Le décret n°2021-1361 relatif aux catégories de données conservées par les opérateurs de communications électroniques.
Le décret n°2021-1362 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (4).
Le décret n°2022-1327 portant injonction, au regard de la menace grave et actuelle contre la sécurité? nationale, de conservation pour une dure?e d’un an de certaines catégories de données de connexion (5).

Cour de cassation : les arrêts de l’été 2022
Quant à nos juridictions nationales, elles se sont penchées plus spécifiquement sur la question des personnes habilitées à avoir accès à ces données. Le législateur français a prévu que seules l’autorité judiciaire et certaines administrations – par exemple, les services de renseignement – peuvent exiger la communication des données de connexion. Le Conseil constitutionnel, saisi d’une question prioritaire de constitutionnalité (QPC) à l’initiative d’associations de défense des droits et libertés sur Internet (6), a considéré que les agents des douanes étaient exclus de ce périmètre. Ils ne peuvent donc pas exiger la communication de ces données (7).
La Cour de cassation a, quant à elle, apporté quelques précisions complémentaires dans plusieurs arrêts rendus au cours de l’été 2022, en juillet (8). Elle considère que l’accès aux données de connexion doit se faire sous le contrôle effectif d’une juridiction. En conséquence, le juge d’instruction – qu’elle a qualifié de juridiction indépendante et non de partie – ou une autorité administrative indépendante peuvent ordonner et contrôler les procédures d’accès aux données de connexion. En revanche, le procureur de la République, parce qu’il est une autorité de poursuite et non une juridiction, ne dispose pas de cette possibilité. En conséquence, l’accès aux données de connexion, lorsqu’il est ordonné par un procureur, serait irrégulier. De quoi remettre en cause la régularité de beaucoup de procédures pénales !
La haute juridiction française, dans ces mêmes arrêts du mois de juillet, a rappelé que la personne mise en examen, victime d’un accès irrégulier, a la possibilité de contester la pertinence des preuves tirées de ses données. De quoi permettre au juge pénal d’annuler les actes ayant permis d’accéder aux données !
La Conférence nationale des procureurs de la République (CNPR) y voit un « obstacle majeur à l’identification des délinquants et criminels », et a dénoncé les « conséquences [de ces décisions] sur la capacité des magistrats du ministère public et des enquêteurs à exercer leurs missions de manifestation de la vérité et de protection des victimes ». En dépit de cette levée de boucliers, la chambre criminelle de la Cour de cassation a entériné fin octobre 2022 (9) son analyse. Elle confirme que le juge d’instruction, qui est une juridiction, doit contrôler le respect par les enquêteurs des modalités d’accès aux données de trafic et de localisation qu’il a autorisées. Or, dans l’affaire en question, le magistrat instructeur n’avait pas autorisé en des termes spécifiques de sa commission rogatoire les réquisitions litigieuses, et ce notamment parce qu’il n’avait pas précisé la durée et le périmètre de cette commission rogatoire. La Cour de cassation a donc jugé que des réquisitions adressées aux opérateurs télécoms par les enquêteurs devaient être annulées sous réserve qu’un grief soit établi par le requérant.
La haute juridiction a précisé, dans ce même arrêt, que la preuve de ce grief suppose la démonstration de trois éléments : l’accès a porté sur des données irrégulièrement conservées ; la finalité ayant motivé l’accès aux données doit être moins grave que celle ayant justifié leur conservation (hors hypothèse de la conservation rapide) ; l’accès a dépassé les limites de ce qui était strictement nécessaire.
Le sujet a pris une dimension politique, en écho aux magistrats du Parquet. Deux sénateurs (LR) ont considéré que ces décisions « [les] privent ainsi que les forces de police judiciaire d’un outil précieux dans l’identification des auteurs de crimes ou d’infractions graves ». Yves Bouloux (10) et Serge Babary (11) ont chacun saisi le gouvernement d’une question écrite (12) afin que ce dernier prenne en urgence les mesures nécessaires afin de permettre aux procureurs de la République d’exercer leurs missions. Serge Babary a même appelé à envisager une réforme institutionnelle afin de conférer aux magistrats du Parquet les garanties d’indépendance exigées par le droit de l’Union européenne.

Les défenseurs de la vie privée veillent
Mais la question est loin de faire consensus avec ceux qui dénoncent avec force les « velléités sécuritaires du gouvernement ». En première ligne de ces défenseurs de la vie privée, il y a notamment l’association La Quadrature du Net, qui salue comme autant de bonnes nouvelles les décisions qui diminuent l’obligation de conservation des données de connexion. Ce fut le cas notamment en février 2022 à la suite de la décision du Conseil constitutionnel qui avait censuré une partie de l’obligation de conservation généralisée et indifférenciée des données de connexion. (13) Si la lutte contre la criminalité légitime l’ingérence de l’Etat, reste donc toujours et encore à positionner le curseur à bon niveau pour ne pas porter atteinte à la vie privée et aux libertés individuelles. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris, est l’auteure
de « Cyberdroit » (Dalloz 2019-2020) et co-auteure
de « Cybersécurité, mode d’emploi » (PUF 2022).

Le métavers n’est pas dans un vide juridique, mais la régulation devra sortir de ses frontières

Publié le par

Les métavers vont-ils « disrupter » les lois et les règlements ? Ces mondes virtuels doivent déjà se soumettre au droit commun existant (civil, commercial, consommation, économie numérique). Mais les textes juridiques devront évoluer et la régulation reposer sur un solide consensus international.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Dans un futur proche, avec le Web3 et ses métavers, les problématiques juridiques seront dictées par le caractère a priori incontrôlable de l’énormité des partages : la prolifération des modes d’échanges et la nature internationale exigeront des régulations complexes et efficaces, dont on espère qu’elles prendront moins de temps à émerger que celles issues du Web 2.0. Depuis la fin des années 1990, les éditeurs de jeux vidéo ont compris que les utilisateurs s’engageraient dans de nouvelles formes d’interactions mettant en jeu leur identité virtuelle et de nouveaux espaces de partage.

Le rôle pionnier des jeux vidéo
Les internautes ont ainsi acquis la possibilité de jouer et d’interagir en temps réel et de manière immersive, par les jeux de rôle en ligne dits «massivement multijoueur » (1). De nouveaux modèles commerciaux se développent, notamment avec la création des monnaies et d’une économie interne au jeu, ouvrant la possibilité de faire des achats utiles au jeu et à leur communauté. Le métavers n’est pas scénarisé comme un jeu vidéo mais remet en scène certaines caractéristiques des jeux vidéo en 3D et en temps réel, tout autant que des réseaux sociaux. Les utilisateurs reproduisent les comportements du monde réel dans le monde virtuel, y compris sociaux et politiques, mais malheureusement aussi potentiellement violents, agressifs ou illégaux.
Philip Rosedale, fondateur de la société américaine Linden Lab ayant créé Second Life dans les années 2000, donnait sa vision en 2006 de ce métavers fondateur, toujours actif en ligne aujourd’hui : « Nous ne le voyons pas comme un jeu. Nous le voyons comme une plateforme qui, sous de nombreux aspects, est meilleure que le monde réel » (2). Au sein du monde virtuel Second Life, les marques avaient tenté une percée avant de se retirer pour la plupart, mais laissant un exemple d’interaction entre avatars et des espaces de socialisation pour écouter la musique, faire du shopping ou produire des objets (3). En parallèle, la réalité virtuelle était déjà préexistante grâce aux outils spécifiquement dédiés à la mise en place de cette expérience, notamment les gants, les systèmes audio, etc. Successivement, les industriels ont introduit une réalité virtuelle plus intense, grâce à des lunettes synchronisées et une baguette pour bouger les objets virtuels. Potentiellement, cette expérience est encore plus « réelle » grâce aux casques de réalité virtuelle réalisés par Oculus, HTC, Valve ou le français Lynx Mixed Reality, donnant aux utilisateurs la possibilité de se déplacer librement dans la pièce. C’est en 1990 que Thomas Caudell et David Mizell, chercheurs chez Boeing, introduisent le terme « réalité augmentée » (4) afin d’indiquer l’association du monde réel au monde virtuel, et l’introduction des éléments virtuels dans le monde réel, superposés, outil important dans les nouveaux environnements d’apprentissage.
Sur le plan pédagogique, la start-up Co-Idea soutenu par l’Inria (5) est spécialisée dans les technologies éducatives dites edtech et travaille sur l’idée de diffuser une forme de pédagogie active cohérente avec la révolution numérique actuelle. Un exemple d’application pédagogique et ludique de la réalité augmentée est le partenariat entre Ubisoft et le Château de Versailles qui ont lancé l’application mobile « The Lapins Crétins @ Versailles » (6). Cette application permet aux enfants de visiter le jardin, d’avoir des informations sur l’espace réel et jouer avec les lapins qui apparaissent sur l’application d’un smartphone. Ce projet s’inscrit notamment dans la politique de développement numérique de l’art. Ainsi, on le voit (c’est le cas de le dire) : de la réalité augmentée aux métavers, il n’y a qu’un pas mais le chemin de la régulation sera long.
Métavers, aujourd’hui et demain, partout ?
Le (ou les) métavers – metaverse en anglais – représente(nt) la dernière évolution fruit des caractéristiques d’Internet, des réseaux sociaux, du Web3, né avec le projet d’une possible décentralisation à tout niveau : des contrats, des transactions, des droits de propriété, des données personnelles, etc. La structure décentralisée permet de déployer les services rapidement sans avoir besoin d’une autorité centralisée, grâce aux principes de base de la blockchain. L’application de la blockchain aux métavers n’est pas obligatoire mais évolutive, récurrente et fondatrice. Il existerait 120 plateformes métavers, dont 53 « off-chain » soit non basées sur la blockchain, 67 basées sur la blockchain (7).

Blockchain et smart contract : disruptif
A cela s’ajoute le fait que la technologie blockchain peut aussi connecter le métavers au monde réel afin de sécuriser les échanges et le stockage des biens et données dans le métavers. Blockchain et smart contracts participent substantiellement à ce « tournant disruptif ». En effet ces « contrats intelligents » ont des caractéristiques communes avec les contrats électroniques tels que les lois les régissent, parfois ils les complètent, mais aussi ils obéissent à leur fonctionnement propre. La blockchain rend possibles les smart contracts et les jetons non-fongibles dits NFT (8), mais les lois en vigueur ne peuvent pas complètement les régir car ils entrainent et impliquent certaines caractéristiques totalement nouvelles qui ne sont pas encore appréhendées. Or ce sont ces blockchain et smart contracts qui, par hypothèse, ouvrent la possibilité de la décentralisation. En résumé, blockchain et smart contracts – consubstantiels au métavers – participent à la disruption en ouvrant des possibilités technologiques, factuelles et juridiques, dont certaines ne sont pas encore légalement appréhendées.

Le métavers n’est pas hors-la-loi
La décentralisation est une des modalités majeures rendue possible. Possible mais pas incontournable, car l’expérience a montré à quel point les marchés prônant décentralisation et dérégulation avaient tendance à réopérer rapidement de nouvelles formes de concentrations.
Souvent les utilisateurs voudraient pouvoir utiliser les biens en passant d’un métavers à l’autre : l’interopérabilité des métavers reste un objectif à étudier. La faculté d’emmener les actifs et avatars d’un endroit à l’autre des métavers, quel que soit l’exploitant, est un enjeu similaire à celui de la portabilité des données entre réseaux sociaux.
Réguler avec modération des services émergents
Le métavers a été défini, dans un rapport remis au gouvernement français fin octobre 2022, comme « un service en ligne donnant accès à des simulations d’espace 3D temps réel, partagées et persistantes, dans lesquelles on peut vivre ensemble des expériences immersives » (9). Le métavers représente également une évolution économique importante ; nous assistons au passage du e-commerce au v-commerce ; les métavers permettent des transactions dans l’économie réelle. L’économie numérique en général et l’économie virtuelle en particulier sont en forte expansion grâce aux métavers et à l’usage de monnaie virtuelles (cryptomonnaies), ainsi que des smart contracts et des NFT.
Les défis juridiques actuels des places de marchés et plateformes comme Horizon Worlds de Meta, OpenSea d’Ozone Networks ou encore la frahttps://www.editionmultimedia.fr/wp-content/uploads/2022/10/Rapport-du-gouvernement-Mission-exploratoire-sur-les-metavers-24-10-22.pdfnçaise The Sandbox, sont notamment: la souveraineté numérique, la (cyber)sécurité, les droits de l’homme et des citoyennes et citoyens, la liberté d’expression, la protection des mineurs et de la vie privée, la préservation d’infrastructures ouvertes et de communs numériques, le respect des règles de concurrence et de la propriété intellectuelle, la conformité au droit du travail, la maîtrise de l’impact environnemental, la protection des données personnelles, la protection contre les risques sociotechniques, la bonne connaissance des liens existantes entre le métavers, la blockchain et les cryptoactifs, le déploiement partagé à travers le monde des opportunités technologiques. Il est essentiel qu’aucune entreprise ne gère seule le métavers : il s’agira d’un « Internet incarné », a déclaré le cofondateur de Facebook Mark Zuckerberg, exploité par de nombreux acteurs différents de manière décentralisée. Aujourd’hui, l’essentiel de ces thèmes sont couverts tant par le droit national que par le droit international, public comme privé. Les nouveautés du métavers ne doivent pas conduire à une fausse conception du régime juridique qui lui est applicable, car il existe. D’une part, le droit commun civil, commercial et de la consommation trouvent naturellement à s’appliquer à la métavers, et ils sont contraignants. Les métavers devront par exemple rédiger des CGV (10) exhaustives. Le droit de la consommation et des contrats s’appliquera (11). Mais l’anticipation est risquée, et quand le système juridique sera confronté à une nouveauté disruptive ou à une difficulté d’exécution, des mises à jour deviendront nécessaires.
D’autres bases plus spécifiques existent : la loi « pour la confiance dans l’économie numérique » du 21 juin 2004 (dite LCEN) en constitue notamment un fondement primordial. En matière de propriété intellectuelle, une plainte en contrefaçon a déjà pu être déposée à New York par la maison Hermès à l’encontre du créateur de NFT « MetaBirkins ». D’autre part, de nouvelles réglementations sont déjà attendues. C’est notamment le cas des réglementations européennes sur les marchés et services numériques (DSA-DMA) qui entreront en vigueur en 2023 et 2024.
Or, le métavers, comme la blockchain ou les smart contracts, sont par nature disruptifs et ont un potentiel de déclinaisons à l’infini, ce qui rend ardue la légifération à leur égard. Comment donner un cadre légal pertinent et stable à un système dont nous commençons seulement à effleurer la surface ? Le rapport de la mission exploratoire sur les métavers précité propose par exemple de consacrer un nouveau droit fondamental : le droit au respect de l’intégrité psychique. Une plateforme qui remplirait les conditions du Digital Markets Act (DMA) lui serait potentiellement soumise, mais ni ce seul principe ni ses modalités d’applications ne présentent de réponse suffisante et assez protectrice. Des précisions et adaptations aux lois seront nécessaires, tant pour le DMA et le Digital Services Act (DSA) que pour la protection des données personnelles à travers le monde, ainsi que notamment pour les règles de modération.

Questions juridiques, non métaphysiques
La place du juge, en tant qu’interprétateur de la loi, suffira-t-elle à répondre à ces questions, et faudra-t-il compléter par de nouvelles règles, voire un régime sui generis ? Le cas échéant, l’implémentation de plusieurs réglementations au niveau local pourra-t-elle être viable au regard du caractère inhéremment international des métavers ? D’évidence, le futur juridique de l’ère des métavers devra reposer sur un solide consensus international. Si le métavers n’est pas dans un vide juridique, il doit cependant être régulé pour le bien commun et partagé. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la propriété intellectuelle,
des médias et des technologies numériques, UGGC Avocats.

Entre marques et noms de domaine, le risque de conflit existe mais il peut être évité en amont

Publié le par

Le dépôt de marques et l’enregistrement de noms de domaines peuvent tourner à l’affrontement judiciaire ou extra-judiciaire depuis que l’Internet existe, notamment en cas de contrefaçon, de cybersquattage ou encore de typosquattage. L’antériorité n’est pas le seul critère à considérer. Etat des lieux.

Par Vanessa Bouchara*, avocate associée, cabinet Bouchara Avocats.

Un nom de domaine – cette adresse textuelle attribuée à une adresse IP – peut constituer une antériorité opposable à une marque puisque le code de la propriété intellectuelle prévoit qu’un nom de domaine, dont la portée n’est pas seulement locale, constitue une antériorité opposable à une marque s’il existe un risque de confusion dans l’esprit du public (1). Pour autant, la marque peut être enregistrée alors même qu’il existe un nom de domaine antérieur et qu’elle ne sera susceptible d’être annulée que si le titulaire du nom de domaine antérieur oppose ses droits.

Internet : premier arrivé, premier servi
Mais les noms de domaine et les marques font-ils bonménage ou se regardent-ils en chiens de faïence ? Rappelons qu’une marque est un signe déposé auprès d’un office de marque qui peut être l’Institut national de la propriété industrielle (Inpi), l’Office de l’Union européenne pour la propriété intellectuelle (Euipo) ou l’Organisation mondiale de la propriété intellectuelle (Ompi). Une marque doit être distinctive, ce qui signifie qu’elle doit permettre de distinguer les produits ou services proposés par une entreprise de ceux de ses concurrents, pour être protégeable. Elle permettra ainsi au consommateur d’identifier les produits ou services de la marque comme provenant justement d’elle. De nombreux signes peuvent être déposés et constituer une marque : une dénomination, des signes figuratifs (logo, dessin), des signes tridimensionnels, des couleurs, des sons, etc.
Quant au nom de domaine, il comprend un terme auquel est ajouté l’extension du nom de domaine qui peut être générique (.com, .org, .net, …) ou territoriale (.fr, .uk, .com, .cn, …). . Le nom de domaine, qui est associé – par un annuaire d’Internet (2) – à une adresse IP, permet aux internautes d’accéder à un site web spécifique. Le nom de domaine aura été enregistré auprès d’un bureau d’enregistrement accrédité (« registrar » en anglais), en fonction des règles applicables et de l’extension du nom de domaine concernée (3). Sous réserve d’être exploité, un nom de domaine peut constituer un signe distinctif, tout comme le sont les dénominations sociales. En tant que tel, il constitue alors un actif immatériel important pour son titulaire et dispose d’une valeur juridique dont il est important de comprendre la portée. Les noms de domaine sont en principe soumis à la règle du « premier arrivé, premier servi », sous réserve que le nom de domaine ne porte pas atteinte à des droits antérieurs de tiers. Il n’existera donc pas plusieurs noms identiques. Certaines extensions de domaine ont des règles d’attribution strictes. Par exemple, le .fr ne pourra être attribué qu’à une entité ou personne résidant dans l’Union européenne et ayant une existence légale en France.
Alors quid des risques entre l’enregistrement d’un nom de domaine et le dépôt d’une marque ? Tout d’abord, un nom de domaine ne doit pas porter atteinte à un droit antérieur de tiers et notamment à une marque antérieure, qu’il s’agisse notamment de « cybersquattage » (appelé aussi cybersquatting, à savoir l’enregistrement d’un signe distinctif comme une dénomination sociale ou une marque par un tiers souhaitant en tirer un profit) ou de « typosquattage » (appelé aussi typosquatting, à savoir l’enregistrement par un tiers d’un nom de domaine similaire à une marque, une enseigne, un nom patronymique ou encore un autre nom de domaine pour créer la confusion). Lorsqu’un nom de domaine porte atteinte à une marque antérieure, il peut être possible pour le titulaire de la marque d’engager des actions spécifiques de type UDRP (4) pour les litiges portant sur l’enregistrement et l’utilisation de noms de domaine de premier niveau (.com, .biz, .info, .mobi, .net, .org…) ou SYRELI (5) pour obtenir le transfert ou la suppression de noms de domaine (uniquement pour .fr). Ces actions extrajudiciaires ne sont toutefois pas disponibles pour toutes les extensions de noms de domaine. Quelles sont donc les règles applicables aux conflits entre ces deux droits, marques et noms de domaine ? Deux hypothèses se présentent en cas de litige selon l’antériorité de l’une ou de l’autre.

En cas de litige, deux hypothèses
• La première hypothèse est celle d’un nom de domaine antérieur à une marque. La jurisprudence a posé la règle selon laquelle un nom de domaine peut constituer un droit antérieur opposable à une marque dès lors qu’il est effectivement exploité et qu’il existe un risque de confusion dans l’esprit du public susceptible d’affecter la fonction essentielle de la marque (6). En tout état de cause, si le nom de domaine est composé de signes descriptifs de son exploitation, il ne pourra pas être opposé à une marque elle-même descriptive, y compris si cette marque est bien postérieure à l’enregistrement et à l’exploitation du nom de domaine antérieur (7). Le code de la propriété intellectuelle (CPI) a par la suite intégré en 2019 le nom de domaine dans la liste des droits antérieurs opposables consacrée au nouvel article L711-3, dans le cadre de l’ordonnance « marques de produit et de services » (8).
Les exigences posées par la jurisprudence et l’article L711-3 du CPI pour qu’un nom de domaine constitue un droit opposable à une marque sont ainsi les suivantes : le nom de domaine doit être effectivement exploité ; le nom de domaine doit être exploité pour des produits ou services identiques ou similaires à ceux pour lesquels la marque a été déposée ; la portée du nom de domaine ne doit pas être seulement locale.

Action judiciaire ou extra-judiciaire
Ce n’est que lorsque ces trois conditions seront remplies que le titulaire d’un nom de domaine pourra alors opposer ses droits à une marque postérieure, qu’elle soit enregistrée ou en cours d’enregistrement.
En tout état de cause, il est vivement recommandé de procéder à une recherche d’antériorité préalablement à l’enregistrement d’une marque afin de s’assurer de la disponibilité du signe concerné, et notamment de l’absence de noms de domaine à risque.
• La seconde hypothèse est celle d’une marque antérieure à un nom de domaine. Les règles applicables aux conflits entre une marque antérieure et un nom de domaine connaissent de légères différences en fonction du type d’actions engagé. En effet, plusieurs types d’actions sont envisageables. Il y a notamment l’action judiciaire en contrefaçon devant les tribunaux. Il est établi depuis de nombreuses années que la reproduction illicite d’une marque protégée utilisée à titre de nom de domaine constitue une contrefaçon de marque (9).
Toutefois, en vertu du principe de spécialité, l’atteinte à la marque (en l’occurrence l’acte de contrefaçon) ne sera constituée que si le nom de domaine postérieur est exploité, ou est susceptible d’être exploité, pour une activité identique ou similaire à celle couverte par la marque antérieure ainsi que sur le territoire concerné. Si cette condition est remplie, le titulaire de la marque pourra opposer ses droits sur le nom de domaine postérieur dans le cadre d’une action en contrefaçon devant les tribunaux. Cette action aura pour objectif d’obtenir la cessation de l’atteinte, mais également le transfert du nom de domaine au titulaire de la marque, ou encore la condamnation de la société titulaire et/ou exploitant le nom de domaine à des dommages et intérêts. Il y a aussi le mode alternatif de règlement des litiges relatifs aux noms de domaine. Selon l’extension des noms de domaine, il pourrait être possible d’engager une action extrajudiciaire simplifiée, le plus souvent une action UDRP ou SYRELI, afin d’obtenir le transfert ou l’annulation d’un nom de domaine enregistré portant atteinte à une marque antérieure. Ces actions simplifiées sont plus rapides et moins coûteuses qu’une action judiciaire. Le recours à de telles actions n’empêche pas les parties de saisir les tribunaux si besoin, notamment en appel de ces décisions si elles ne sont pas satisfaisantes. Pour avoir gain de cause dans le cadre de telles procédures, il est généralement nécessaire : de justifier de ses droits antérieurs ; de démontrer l’identité ou quasi identité entre la marque et le nom de domaine ; de convaincre que le titulaire du nom de domaine n’a pas de droits ou d’intérêts légitimes à enregistrer et à exploiter le nom de domaine ; de prouver que le nom de domaine a été enregistré et est exploité de mauvaise foi par son titulaire. Un titulaire de nom de domaine pourra démontrer qu’il dispose de droits ou d’intérêts légitimes sur un nom de domaine, notamment s’il exploite le nom de domaine en relation avec une offre bona fide de biens ou de services (10) ou pour un usage non commercial sans intention de détourner les internautes ou de ternir la marque antérieure en cause (11).
L’enregistrement et l’exploitation de mauvaise foi d’un nom de domaine pourront par ailleurs être constitués lorsque son titulaire tente intentionnellement d’attirer, pour un gain financier, les internautes vers son propre site Internet ou le site d’un tiers, en créant un risque de confusion avec la marque antérieure en cause (12). En tout état de cause, il est recommandé d’enregistrer également un nom de domaine à titre de marque afin de renforcer la protection associée et les moyens d’actions à disposition du titulaire du nom de domaine en cas d’atteinte à ses droits par des tiers, mais également de réaliser une recherche d’antériorité préalablement à l’enregistrement du nom de domaine afin de s’assurer de la disponibilité du signe concerné.

Avant tout, prudence et précaution
En conclusion, les conflits entre marques et noms de domaine sont nombreux, dans un sens comme dans l’autre. La prudence est de mise avant de déposer un nom de domaine et de créer un site Internet : il est indispensable de s’assurer que ce nom de domaine, pour l’activité projetée, n’est pas susceptible de porter atteinte aux droits de tiers, plus particulièrement à des droits de marque. De la même manière, le dépôt d’une marque doit être précédé d’une recherche d’antériorités qui permettra d’établir si la marque est disponible et peut être librement déposée et exploitée. En s’entourant de précautions avant le lancement de son activité, on évite ainsi de la mettre en péril si des droits antérieurs lui étaient opposés ultérieurement. @

* Vanessa Bouchara, avocate et spécialiste en droit
de la propriété intellectuelle, a fondé le
cabinet Bouchara Avocats (www.cabinetbouchara.com).