Défendre ses marques sur internet, une défense de qualité à un tarif lowcost ?

Par Nathalie Dreyfus, CPI, Associée de Dreyfus, Emmanuel Harrar, associé de Dreyfus ( www.dreyfus.fr) ;
avec la participation de Monsieur Benjamin Amaudric du Chaffaut « Directeur juridique adjoint », Google et de Monsieur Benoît Jarno, « Directeur juridique », bureau d’enregistrement Gandi.

A l’heure où les risques provenant de l’Internet se multiplient et deviennent de plus en plus complexes alors que les contraintes légales, réglementaires voire fiscales qui pèsent sur les entreprises s’accroissent, il convient de s’interroger sur les risques induits par les noms de domaine tant d’un point de vue économique que sur le plan de la responsabilité. Nouvelle directive sur les données à caractère personnel (RGPD), loi Sapin II, LCEN ou autres réglementations sectorielles, cyberattaques et pratiques frauduleuses sont autant de facteurs de risques susceptibles de mettre en danger l’activité économique d’une entreprise, sa réputation, voire dans certains cas sa survie.

Ces risques, souvent mal identifiés et face auxquels les entreprises peinent à apporter des réponses coordonnées, font désormais partie du quotidien et touchent principalement les actifs de propriété industrielle, en particulier à travers les noms de domaine qui servent de plus en plus de support à tous types d’attaque.
Face à ces risques d’atteintes, les entreprises ont des obligations à respecter.

1. LE CONTEXTE REGLEMENTAIRE ET LEGISLATIF / LES OBLIGATIONS INCOMBANT AUX ENTREPRISES

Sur les plans réglementaire et législatif, les contraintes pour les entreprises « s’empilent » depuis plusieurs années faisant entrer les entreprises dans une ère marquée par l’Accountability et la compliance (loi Vigilance, Directive Network and Information System Security-NIS, RGPD) fixant un cadre général sur la collecte, la gestion et le traitement des données à caractère personnelles complexifiant fortement l’identification des auteurs de fraudes.

Ainsi, il ne suffira plus d’arguer avoir agi après avoir eu connaissance des atteintes pour dégager la responsabilité de l’entreprise et de ses dirigeants, mais plutôt de démontrer que toutes les mesures ont été prises pour que les atteintes ne se produisent pas ou soient minimisées.

Or les stratégies de défense doivent nécessairement évoluer avec l’anonymisation des fiches Whois et c’est vers les intermédiaires techniques que l’on peut se tourner.

2. LES OBLIGATIONS ET RESPONSABILITES DES ENTREPRISES EN CAS D’ATTEINTE OU DE FAILLE DE SECURITE

1) Obligation de sécuriser les données personnelles (art 32 RGPD)
Des mesures techniques doivent être mises en places par les organismes afin de garantir un niveau de sécurité adapté au risque : sécurisation des données personnelles.

2) Obligation de notification et de communication
Il existe, au regard du RGPD (arts. 33 et 34) et de la directive NIS (art. 14), une obligation de notification des incidents de sécurités (fuite de données, intrusion, etc) :
- aux autorités de régulation incombant aux organismes (CNIL, ANSSI, agences régionales de santé).
- Les personnes concernées, notamment lorsqu’il y a un risque d’atteinte à la vie privée ou aux données personnelles.

3) Sanctions
- La CNIL peut sanctionner tout responsable de traitement par des amendes administratives pouvant atteindre 10 millions d’euros ou 2% du CA mondial (art 83-4 RGPD).
- « Name and Shame » : l’obligation de communication/publicité de la fuite de données est une forme de sanction à la e-réputation de l’entreprise concernée

3. LE ROLE ET L’AIDE DES INTERMEDIAIRES TECHNIQUES

- Le retour d’expérience et position d’un bureau d’enregistrement (OVH)
- Le retour d’expérience et position de Google
Différentes obligations incombent aux intermédiaires techniques, notamment au regard de la
Directive e-commerce (art. 6 LCEN en France) et du Digital Millenium Copyright Act.

4. REPONDRE A UNE ATTEINTE OU ANTICIPER ?

- Face aux cyberattaques, faut-il y l’anticiper ou y répondre ? Quelle est la stratégie à adopter ?
- Exemple de cyberattaque dans l’Affaire VINCI en 2016

5. LES OBJECTIFS DE L’ENTREPRISE : UNE STRATEGIE A DEFINIR EN
FONCTION DE L’EXPOSITION AUX RISQUES DE CHAQUE MARQUE

La stratégie à retenir impose alors l’évaluation du niveau d’exposition aux risques des marques.

Les fraudes (phishing, usurpation des employés, etc) ont en effet tendance à se concentrer sur les marques les plus connues du grand public, i.e celles désignant à la fois la société et les produits et services exploités par l’entreprise (« Marque corporate »).
- Plus la marque est connue, plus elle sera exposée aux risques de cyberattaques.
- Par conséquent, la stratégie doit être adaptée au niveau de risque.

6. LES STRATEGIES PRO-ACTIVES POUR PREVENIR LES ATTEINTES ET LIMITER LES RISQUES SUR LES SITUATIONS A RISQUE ELEVE ET LES STRATEGIES PASSIVES OU REACTIVES SUR LES SITUATIONS A RISQUE FAIBLE

Quels types de stratégies sont à adopter ? Selon l’analyse du portefeuille de marques et du niveau de risque, deux stratégies se présentent :
- Une stratégie pro-active est à adopter pour les marques exposées, présentant des risques élevés de cyberattaque
- Une stratégie passive ou réactive – Une surveillance a minima doit être mise en place pour les marques moins exposées aux risques. Il faut agir quand l’atteinte est grave.
Le préalable à la mise en œuvre de l’une ou l’autre des stratégies est d’identifier le risque que présente un nom de domaine.

7. IDENTIFIER ET QUANTIFIER LE NIVEAU DE RISQUE

Face à un cas réel, il faut quantifier le niveau de risque à l’aide de différents facteurs :
- Analyse de la structure du nom de domaine (ex : utilisation de caractères similaires à une marque tels que des caractères cyrilliques ou des majuscules pour imiter le nom d’une marque) ;
- Si un serveur de messagerie est lié à un nom de domaine, ce nom de domaine présente un risque plus élevé ;
Alors le risque que présente le nom de domaine sera évalué faible ou élevé ;
- Par ailleurs, si le nom de domaine est actif (i.e une atteinte a été produite) alors il faut
analyser la chaine de responsabilité pour faire cesser l’atteinte.

8. ANALYSER LA CHAINE DE RESPONSABILITE ET DEFINIR UNE
STRATEGIE AU CAS PAR CAS

Comment faire cesser une atteinte ?
Différents acteurs sont présents. Par exemple, si un serveur de messagerie est lié au nom de domaine, les acteurs sont les suivants :
- Celui qui héberge la messagerie (ex : gmail) alors, conformément aux règles exposées, l’intermédiaire technique a le devoir de retirer le contenu, une fois notifié de celui-ci, s’il est « manifestement illicite ».
- Hébergeur du site
- Société fournissant le e-commerce - Affiliation.

JPEG - 20.8 ko
Nathalie Dreyfus

Nathalie Dreyfus est Fondatrice de Dreyfus, Conseil en Propriété Industrielle et Expert près la Cour d’Appel de Paris.
Nathalie est également Expert auprès de différents centres d’arbitrage, dont l’OMPI. Auteur de plusieurs ouvrages et de nombreux articles dans la presse professionnelle, Nathalie Dreyfus est également chargée d’enseignement au sein de l’Université de Strasbourg et dispense de nombreuses conférences en France et à l’étranger.

Emmanuel Harra est associé de Dreyfus, Ingénieur civil des Mines et diplômé du Centre d’Etudes Internationales de la Propriété Intellectuelle (CEIPI).

JPEG - 15.3 ko
Emmanuel Harrar

Ancien Directeur Général d’une société spécialisée dans la distribution de logiciels scientifiques, il connaît et comprend les exigences de la vie des affaires et a une grande connaissance des technologies de l’internet, domaine dans lequel il travaille depuis 1996. Emmanuel Harrar est notamment en charge au Cabinet des nouveaux projets liés à l’Internet. Il s’occupe également du déploiement de la plateforme et des solutions Dreyfus IPweb®.

Retour au programme complet

...ou Inscrivez-vous à cette conférence et d’autres