Escroqueries au moyen de noms de domaine trompeurs : Partie III – Stratégies d’intervention et de règlement des différends

Le nom de domaine est devenu un des éléments clés d’une marque, permettant au public d’identifier facilement le site Web et l’adresse courriel d’une entreprise. Les escroqueries au moyen de noms de domaine trompeurs, et les problèmes qu’elles engendrent, ne sont donc pas un nouveau phénomène. Il est essentiel que votre organisation fasse preuve de la plus grande vigilance pour éviter que des tentatives d’escroquerie soient commises au moyen d’un nom de domaine similaire au sien. En redoublant sa vigilance à cet égard, votre organisation réduit ainsi au minimum le risque d’être visée par une telle escroquerie, que ses clients soient induits en erreur ou encore que sa marque soit endommagée en raison d’un tel stratagème de fraude. Le fait d’agir promptement peut souvent atténuer ces risques.

Cette série de bulletins en trois parties vise à donner une vue d’ensemble de ce stratagème frauduleux, notamment en donnant un aperçu :

Partie I : Le portrait actuel des escroqueries au moyen de noms de domaine trompeurs et des méthodes utiles pour les repérer;

Partie II : Les pratiques exemplaires pour prévenir de telles tentatives d’escroquerie et mieux s’y préparer ;

Partie III : Les moyens d’intervention efficaces lorsqu’une telle escroquerie a été repérée.

Intervention

Une fois qu’un nom de domaine trompeur a été repéré, il est important de réagir rapidement afin de réduire les risques supplémentaires pour votre organisation.

1. Comprendre la structure

Au sommet du système d’attribution des noms de domaine (en anglais, domain name system ou « DNS ») se trouve la Société pour l’attribution des noms de domaine et des numéros sur Internet (Internet Corporation for Assigned Names and Numbers ou l’« ICANN »), laquelle supervise la coordination mondiale des noms de domaine et délègue l’autorité relative à chaque nom de domaine de premier niveau (comme « .ca », « .com », « .net ») à un registre des noms de domaines de premier niveau (un « registre »). Ces registres, tels que l’Autorité canadienne pour les enregistrements Internet (« CIRA ») pour le nom de domaine « .ca », maintiennent la base de données officielle de tous les noms de domaine se terminant par le domaine de premier niveau pour lequel ils sont responsables et veillent à ce que chacun soit unique et correctement configuré. Les registraires de noms de domaine, lesquels sont des entreprises qui vendent des noms de domaine à des entreprises et à des particuliers, puis les gèrent pour eux, doivent être agréés par un registre pour exercer leurs activités.

Une entreprise fait enregistrer son nom de domaine par le biais d’un registraire qui, lui, fournit les renseignements sur le nom de domaine au registre compétent. Ensuite, par l’entremise du registraire, l’entreprise configure les paramètres DNS afin que le trafic soit acheminé de manière appropriée. La structure de ce système permet de coordonner les noms de domaine à l’échelle mondiale, d’assurer leur bon fonctionnement et de les gérer de manière sécuritaire, ce qui permet aux entreprises de contrôler leur présence en ligne.

Tous les paliers de cette structure sont impliqués dans le processus de plainte liée aux noms de domaine.

2. Communiquer avec le registraire

La première mesure à prendre en cas d’escroqueries au moyen de noms de domaine trompeurs consiste à communiquer avec le registraire compétent et à demander que le nom de domaine trompeur soit rendu inactif et non transférable. La plupart des registraires fournissent des formulaires en ligne ou des procédures par courriel pour signaler l’utilisation abusive d’un nom de domaine. Il est possible d’identifier le registraire avec lequel communiquer en consultant le répertoire WHOIS, qui est accessible au public et qui contient l’information sur les noms de domaine enregistrés.

Or, avant même de communiquer avec le registraire, il est préférable de consulter un spécialiste en matière d’atteinte à la protection des données ou un conseiller juridique afin d’être bien guidé dans le cadre du processus de plainte et de veiller au respect des procédures du registraire compétent. Ces professionnels peuvent notamment :

• aider à rédiger une mise en demeure qui énonce clairement le fondement de la plainte, renvoyant par ailleurs aux lois sur la propriété intellectuelle applicables et aux politiques du registraire;
• recueillir les preuves nécessaires, telles que la preuve de propriété de la marque de commerce, les cas de confusion chez les consommateurs ou les activités frauduleuses liées au nom de domaine concerné;
• faciliter la communication avec le registraire, dont la réactivité et les politiques d’application peuvent varier;
• consigner les détails de l’incident et des mesures prises par l’organisation pour empêcher de nouvelles activités illégales.

Il est important de noter qu’un registraire peut ne pas donner suite à une demande visant à rendre inactif un nom de domaine prétendument trompeur. Par ailleurs, le fait de désactiver un nom de domaine trompeur n’est pas une solution permanente, car les fraudeurs peuvent utiliser plusieurs variantes d’un nom de domaine pour poursuivre leurs activités frauduleuses. Par exemple, les fraudeurs peuvent enregistrer de nouvelles variantes du nom de domaine, changer le domaine de premier niveau (p. ex., passer de « .com » à « .net ») ou réenregistrer le même nom de domaine, mais auprès d’un autre registraire dont les mécanismes d’application de la loi sont moins efficaces, comme il a été mentionné dans la partie I de cette série de bulletins. Il est donc essentiel de demeurer vigilant lorsque survient un incident.

3. Règlement des différends liés aux noms de domaine

L’enregistrement et l’utilisation des noms de domaine sont régis par des politiques en matière de règlement des différends, ce qui signifie que les titulaires de noms de domaine peuvent être visés par une procédure d’arbitrage en cas de conflit. L’arbitrage est généralement plus avantageux sur le plan des coûts et plus rapide; il peut par ailleurs aboutir au transfert du nom de domaine trompeur au requérant en question, ou l’annulation de ce nom de domaine. Le dépôt d’une plainte peut être efficace lorsqu’un registraire omet de retirer un nom de domaine trompeur. La plainte permet de créer un dossier documenté de l’incident, de prouver l’intérêt légitime du requérant à l’égard du nom de domaine et de démontrer que le requérant a agi avec diligence lorsqu’il a pris connaissance de l’activité frauduleuse.

Il convient de noter qu’un requérant peut choisir d’engager des procédures devant un tribunal judiciaire, surtout si d’autres causes d’action peuvent être invoquées ou d’autres mesures correctives sont souhaitées. Cela dit, les litiges sont plus coûteux et chronophages qu’une procédure d’arbitrage.

Le dépôt d’une plainte est régi par la politique en matière de règlement des différends applicable, laquelle varie selon le domaine de premier niveau du nom de domaine concerné. En règle générale, la plainte est réglée au moyen d’un arbitrage. Le cadre de règlement des différends le plus largement reconnu est la Politique de règlement uniforme des litiges relatifs aux noms de domaine (l’« URDP »). Cette politique a notamment été adoptée pour certains domaines de premier niveau génériques (generic top-level domain ou les « gTLD »), comme « .com », « .org », « .net», ainsi que certains domaines de premier niveau nationaux (country-code top-level domain ou les « ccTLD »).

Certains domaines de premier niveau ont adopté leurs propres politiques et mis en place leur propre entité relativement au règlement des différends; soit la Politique de CIRA en matière de règlement des différends relatifs aux noms de domaine (la « Politique de CIRA ») qui gère les différends concernant les noms de domaine « .ca »; la procédure de règlement extrajudiciaire des litiges (« REL ») de l’EURid pour les noms de domaine « .eu »; et le DRS (Dispute Resolution Service) de Nominet pour les noms de domaine « .uk ».

Bien que chaque politique ait ses propres règles de procédure, elles s’alignent généralement sur le cadre de l’UDRP. Avant de déposer une plainte, il est important de déterminer la ou les politiques qui s’appliquent au nom de domaine trompeur et de décider du service de résolution des différends à utiliser.

Déposer une plainte

Lorsqu’il dépose une plainte en vertu de l’UDRP, le requérant doit établir ce qui suit :

1. il existe une parfaite similitude ou une ressemblance prêtant à confusion entre le nom de domaine et une marque déposée ou de service sur laquelle le requérant possède des droits;
2. le titulaire du nom de domaine contesté ne dispose d’aucun droit ou intérêt légitime sur le nom de domaine;
3. le titulaire du nom de domaine contesté a enregistré ce nom de domaine de mauvaise foi.

Une fois la plainte déposée, le défendeur peut présenter une défense. Dans la plupart des cas, toutefois, le fraudeur ne présente pas de défense. Le requérant est néanmoins tenu d’étayer sa plainte par des faits détaillés et convaincants pour le panel arbitral, afin de favoriser une issue favorable. La plainte est ensuite examinée par le panel arbitral en se fondant sur les preuves soumises et les arguments juridiques évoqués. Si le panel arbitral rend une décision en faveur du requérant, ce dernier demande souvent que le nom de domaine trompeur lui soit transféré.

Compte tenu des exigences relatives à la procédure et à la preuve, il est recommandé que les requérants consultent un conseiller juridique pour s’assurer du respect de la politique de règlement des différends applicable et faciliter le processus de règlement. 

Pour en savoir davantage sur le règlement de différends liés aux noms de domaine et sur la procédure que doit suivre votre organisation pour déposer une plainte, communiquez avec l’un des auteurs du présent bulletin ou un autre membre de notre groupe Cybersécurité.