Messages les plus consultés

vendredi 14 juin 2013

Conflit entre les noms de domaine e-obseques.fr et i-obseques-paris.fr : absence de concurrence déloyale

Le Tribunal de commerce de Paris a rendu le 24 mai 2013 une décision intéressante en matière de noms de domaine. (1) Dans cette décision, le Tribunal a rappelé que le titulaire d’un nom de domaine descriptif de l'objet même du site web auquel il renvoit ne peut se prévaloir d’une quelconque protection juridique. En conséquence, l’exploitation par un concurrent d’un nom de domaine similaire ne constitue pas une faute.


1. Le contexte

Cette affaire opposait la société Le Passage exploitant un site web proposant des services d'obsèques dans toute la France à l’URL e-obseques.fr, à la société Services Funéraires - Ville de Paris (SFVP) exploitant un site web fournissant des services funéraires, à Paris et en proche banlieue parisienne à l’URL i-obseques-paris.fr.

Les noms de domaine e-obseques.fr et i-obseques-paris.fr avaient été respectivement enregistrés  en août 2010 et en avril 2011.

La société Le Passage a assigné les SFVP au motif que l'utilisation d'un nom de domaine, proche du sien, créait une confusion avec son propre site web et qu'en faisant ce choix de nom de domaine les SFVP agissaient de façon déloyale. La société Le Passage prétendait ainsi que l'attitude des SFVP était constitutive d'actes de concurrence déloyale.


2. Le caractère générique du nom de domaine e-obseques.fr

    2.1 Les arguments du titulaire du nom de domaine i-obseques-paris.fr

Les SFVP ont rejeté les prétentions de la société Le Passage pour les raisons suivantes :

    - d’une part, le nom de domaine e-obseques.fr est descriptif et n'est pas similaire à i-obseques-paris.fr. En outre, l'analyse comparative des sites et des services fournis permet d'affirmer que les activités des deux sociétés ne sont pas identiques. Or, selon les SFVP, il ne peut exister de risque de confusion entre les activités des deux sociétés, dans la mesure où ni les noms de domaine, ni les sites web, ni les services proposés sont identiques ou similaires ;

    - d’autre part, les SFVP affirment ne pas avoir capté la clientèle de la société Le Passage et soulignent à ce titre, que cette dernière ne rapporte pas la preuve d'une quelconque baisse du nombre de visites sur son site, ni d'une baisse de chiffre d'affaires depuis le lancement du site i-obseques-paris.fr.

En conséquence, les SFVP soutenaient n'avoir commis aucune faute et donc aucun acte de concurrence déloyale.

    2.2 Seul un nom de domaine distinctif peut être protégé
Il est de jurisprudence constante que seul doit être protégé le nom de domaine distinctif. Les tribunaux rejettent ainsi l'idée d'une protection basée sur l'antériorité du dépôt d'un nom de domaine générique.

Dans notre affaire, les SFVP considéraient que le nom de domaine e-obseques.fr était dénué de caractère distinctif, pour les raisons suivantes :

    - le nom de domaine e-obseques.fr correspond à la désignation du service fourni par la société Le Passage, à savoir un service d’obsèques proposé par voie électronique. En effet, le préfixe "e" désigne habituellement un service par voie électronique ; le terme "obseques" désigne le service fourni ;
    - les termes composant ce nom de domaine s'apparentent à des mots-clés, comme ceux utilisés pour effectuer une requête sur un moteur de recherche, pour naviguer sur internet ;
    - les termes composant ce nom de domaine ne permettent pas l'identification d'une entreprise particulière.

Dès lors, les SFVP considéraient que les termes composant le nom de domaine de la société Le Passage étaient purement descriptifs de son activité et que le nom de domaine e-obseques.fr était dépourvu de toute originalité et de caractère distinctif. Les SFVP concluaient que ce caractère descriptif privait la société Le Passage d'une quelconque exclusivité quant à l'utilisation des termes composant le nom de domaine e-obseques.fr.


3. Une décision en ligne avec la jurisprudence des noms de domaine

Le Tribunal a suivi les arguments des SFVP en relevant que :

    - l’adresse internet choisie par la société Le Passage pour exercer son activité est la simple juxtaposition du mot obsèques et de la lettre “e-” ;
    - dans l’environnement internet, la lettre “e-” associée au terme “commerce” évoque le commerce électronique ;
    - l’adresse «“e-obseques.fr” signifie donc “commerce électronique d’obsèques”, ce qui est l’exacte activité du site internet exploité par la société Le Passage.

Selon le Tribunal, en choisissant des termes intégralement descriptifs, la société Le Passage s’exposait à retrouver les mêmes termes dans des sites concurrents et notamment sur les moteurs de recherches, qui prennent en compte la requête “obsèques” pour délivrer leurs réponses.

Compte tenu de ce choix de nom de domaine, qui lui a évité les investissements indispensables pour donner une notoriété propre à une adresse internet non descriptive, le Tribunal a jugé que la société Le Passage ne pouvait revendiquer une protection qui aboutirait à lui reconnaître un monopole d’utilisation d’un terme descriptif.

Enfin, le Tribunal a constaté que la société Le Passage n'était pas en mesure d’établir  l'existence d'une confusion entre le graphisme de leur site et celui du site web des SFVP. Le Tribunal a donc jugé que les SFVP n'avaient commis aucune faute et a débouté la société Le Passage de toutes ses demandes.


Cette décision est conforme à la jurisprudence actuelle en matière de noms de domaine. Ainsi, dans un arrêt récent de la Cour d’appel de Bastia, les juges ont rendu une décision similaire concernant les noms de domaines "mariagesencorse.com" et "mariageencorse". (2)

Dans cette affaire, le titulaire du nom de domaine "mariagesencorse.com" avait assigné en concurrence déloyale, le titulaire du nom de domaine "mariageencorse", enregistré postérieurement. Le demandeur réclamait que la société concurrente soit condamnée (i) à ne plus utiliser le nom de domaine litigieux, (ii) à procéder aux formalités de transfert du nom de domaine au profit du demandeur et (iii) à payer des dommages et intérêts pour préjudice commercial et moral. Le demandeur a été débouté de ses demandes au motif que le nom de domaine litigieux était générique et descriptif de l’activité de la société. Son titulaire ne pouvait donc valablement se prévaloir de la protection d'un tel nom de domaine.


                                                    * * * * * * * * * * *

(1) Tribunal de commerce de Paris, 15e ch., 24 mai 2013, C. Davril, Le Passage / SFVP. Voir décision sur Légalis : http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3764. A noter que dans cette affaire, les SFVP étaient représentés par le Cabinet Deleporte Wentz Avocat.


(2) CA Bastia, ch. civ. B, 20 mars 2013, Angela A. c/ Iris Média et autres.


Betty SFEZ
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2013

mardi 11 juin 2013

Accès frauduleux à un STAD : de la nécessité de sécuriser le système d'information de l’entreprise

1. Le contexte

La sécurité informatique doit être l'une des préoccupations majeures des entreprises. Et pour cause : la perte ou le vol d'informations ou l'indisponibilité du système d'information peuvent avoir de lourdes conséquences, telles l’atteinte à l'e-réputation de l'entreprise, la captation frauduleuse de clientèle, la perte de marchés et de compétitivité, la divulgation de secrets d’affaires et de savoir-faire.

Face à ces menaces, le système juridique français dispose d'un arsenal répressif issu, entre autres, de la loi Godfrain du 5 janvier 1988 (modifiée par la loi du 27 mars 2012). (1) Sont ainsi sanctionnées pénalement les atteintes aux systèmes de traitement automatisé de données (STAD), aux bases de données à caractère personnel, et au secret des correspondances, sans oublier l'usurpation d'identité numérique, l'escroquerie, la contrefaçon, etc. Mais la répression judiciaire n'est pas l'unique solution en réaction à une intrusion non autorisée. Il appartient aux entreprises d’être proactives et de définir et mettre en oeuvre une politique de sécurité de leurs réseaux et systèmes d'information, faute de quoi, celles-ci pourraient être considérées comme ayant commis une grave négligence.

Une décision récente rendue par le Tribunal de grande instance de Créteil illustre parfaitement ces obligations. Dans cette affaire, une personne avait accédé et récupéré des documents internes via l'extranet de l'Agence nationale de sécurité de l'alimentation, de l'environnement et du travail (l'Anses). L'auteur des faits a cependant été relaxé au motif que l'Anses n'avait pas sécurisé son système d'information. (2)


2. Le jugement du TGI de Créteil du 23 avril 2013

Dans cette affaire, la fraude avait été découverte par un salarié de l’Anses qui, en naviguant sur internet, avait retrouvé des documents internes à l'Agence et non divulgués au public. L'Anses a porté plainte auprès des services de police pour intrusion dans son système d'information et vol de données.

L’Anses étant considérée comme un opérateur d'importance vitale (ou OIV), l'enquête a été diligentée par la Direction centrale du renseignement intérieur (DCRI). (3) Les investigations ont permis de déceler une erreur de paramétrage du serveur hébergeant l'extranet de l'Agence, de découvrir depuis quelle adresse IP les documents de l'agence avaient été téléchargés et de remonter jusqu'à l'auteur de l'intrusion.

L'auteur des faits a ensuite été cité à comparaître pour d'une part, avoir accédé et s'être maintenu frauduleusement dans le STAD de l'Anses et d'autre part, avoir soustrait des documents sur l'extranet de l'Agence, via téléchargement. Pour mémoire, ces infractions sont punies d'un maximum de 5 ans d'emprisonnement et 75.000€ d'amende. (4)

Si le prévenu a reconnu avoir récupéré les documents de l'Anses via son VPN, il a néanmoins indiqué être arrivé par erreur au coeur de l'extranet de l'Anses et avoir eu librement accès aux documents litigieux, après une recherche complexe sur le moteur de recherche Google. En outre, le prévenu a précisé ne pas avoir récupéré de documents via la page d'accueil du site de l'Agence, dont l'accès était sécurisé (identifiant et mot de passe).

Le Tribunal a relaxé le prévenu des deux chefs d'accusation, pour les motifs exposés ci-après.

    2.1 Pas d'atteinte à un STAD non sécurisé
Le Tribunal a rappelé que le délit d'accès frauduleux à un STAD était constitué dès lors qu’une personne non habilitée pénétrait dans un système de traitement automatisé de données en sachant qu’elle n’y était pas autorisée.

Or, en l’espèce, une défaillance technique existait dans le système de l'Anses. Le prévenu, qui n’était pas ingénieur informatique et n’avait pas utilisé de moyens très sophistiqués pour s’introduire dans le système de l’Anses, avait pu récupérer les documents sans aucun procédé frauduleux.

Aussi, le Tribunal a jugé que "même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par (le prévenu) aux seules personnes autorisées".

Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que, si l’accès à certaines données du site de l'Agence nécessitaient un code d’accès et un mot de passe, les données qu’il avait récupérées étaient en libre accès.

    2.2. Pas de vol de données sans soustraction matérielle

Le vol consiste en la soustraction frauduleuse de la chose d’autrui (art. 311-1 du Code pénal). Or, dans le cas présent, le prévenu avait simplement téléchargé et enregistré sur des supports des fichiers informatiques de l’Anses, cette dernière n’ayant jamais été dépossédée de ces données, puisque les documents demeuraient disponibles et accessibles à tous sur le serveur.

Aussi, le Tribunal a jugé qu'en l’absence de soustraction matérielle des documents appartenant à l’Anses, et donc en l'absence d’appréhension d’une chose, le délit de vol n'était pas constitué.

Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que les documents litigieux étaient librement téléchargeables, puisque non protégés par un quelconque système. Il n’y a pas eu de la part du prévenu une volonté d’appropriation frauduleuse de ces fichiers informatiques et donc pas d’élément intentionnel de l’infraction.


3. En conclusion : l’obligation de sécurisation du STAD


Ce jugement est dans la droite ligne de la jurisprudence relative aux accès frauduleux aux systèmes informatiques et permet de rappeler les obligations incombant aux entreprises en matière de sécurisation de leurs systèmes. (5)

Ainsi, pour que l’infraction soit constituée, les éléments suivants doivent être démontrés : intrusion  non autorisée dans le STAD (via phishing, hacking ou toute autre méthode permettant de s’introduire frauduleusement dans le système) et vol de données par soustraction matérielle. Ceci implique donc que le STAD doit être sécurisé.

La négligence en matière de sécurité est d'ailleurs expressément sanctionnée par la loi. Le Code pénal punit de 5 ans d'emprisonnement et 300.000€ d'amende, toutes entreprises qui traiteraient des données personnelles concernant leurs clients, par exemple, sans mettre en place des mesures de sécurité permettant d'en assurer l'intégrité et la confidentialité.

En outre, la tendance vers un renforcement de cette obligation de sécurité pesant sur les entreprises ressort de plusieurs projets et études, telle que la proposition de règlement européen  du 25 janvier 2012 relatif au traitement des données personnelles et les recommandations du livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013. (6)

Il est donc recommandé aux entreprises de s’assurer, via des audits juridique et de sécurité, de la protection de leurs réseaux et systèmes d'information et de la conformité de leur politique de sécurité à la loi. A défaut, il conviendra de prendre toutes mesures nécessaires de mise en conformité par la mise en oeuvre de procédés de sécurisation logique et physique de leurs systèmes d’information, la sensibilisation et la formation des salariés et utilisateurs via la publication de bonnes pratiques ou de codes de conduite en matière de sécurité et des audits réguliers.
                                                            * * * * * * * * * * *

(1) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité.

(2) TGI de Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. A noter que le Ministère public a interjeté appel de ce jugement

(3) Les opérateurs d'importance vitale - OIV - sont des organismes publics ou privés de production et de distribution de biens et de services indispensables à la satisfaction des besoins essentiels de la population, à l’exercice de l’autorité de l’État, au fonctionnement de l’économie, au maintien du potentiel de défense et à la sécurité de la nation. Un organisme est considéré comme OIV si l’arrêt ou la destruction de son activité peut avoir de graves incidences sur la santé, la sécurité, le bien-être économique des citoyens ou le fonctionnement de l’Etat. On trouve des OIV dans de nombreux secteurs de l'économie : banque et finance, transports et distribution, énergie, services de base, santé, approvisionnement alimentaire et communications, ainsi que certains services administratifs de base. Voir précisions aux articles R.1332-1 et suivants du Code de la défense

(4) Les atteintes aux systèmes de traitement automatisé de données (STAD) sont sanctionnées par les articles 323-1 et s. du Code pénal. Ces articles, issus de la loi Godfrain, ont été modifiés par la loi du 27 mars 2012 relative à la protection de l'identité. Cette loi a ajouté des pénalités majorées en cas d’atteinte à un STAD de l’Etat ; le vol est défini et sanctionné par les articles 311-1 et s. du Code pénal.

(5) Voir par exemple : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C.

(6) Voir : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013


Article publié sur le Journal du Net le 11/06/2013

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2013