L’analyse des décisions UDRP rendues à l’issue de procédures commencées pendant la pandémie de COVID-19 rappelle l’impossibilité de prévoir tous les cas de cybersquatting. Elle révèle également certaines failles dans la gestion de portefeuilles de noms de domaine.
Lors de la pandémie de grippe H1N1 en 2009, la société Hoffmann-La Roche avait dû faire face à une série de cybersquatting ciblant la marque Tamiflu :
Tableau 1
La marque « Tamiflu » avait été intégralement reprise dans ces noms de domaine. Toutefois, tous sont similaires et aucun n’est identique à la marque. À l’impossible, nul n’est tenu et l’on ne saurait envisager, à titre d’enregistrements préventifs, la réservation de tous les noms de domaine comportant la marque tant les variations sont infinies (typosquatting, adjonction d’identifiants géographiques, de mots génériques, etc.). Il faut ajouter qu’à l’époque, ce que l’on appelle communément les « nouveaux gTLDs » n’existaient pas. Par conséquent, la stratégie de défense de la marque face au cybersquatting impliquait essentiellement, d’une part, des enregistrements à l’identique partout où cela était possible (tous les gTLDs et ccTLDs dont les conditions permettaient cet enregistrement) et, d’autre part, une surveillance à l’identique et à l’approchant. À cet égard, il est très probable que c’est à l’occasion d’une telle surveillance que les noms de domaine mentionnés dans le Tableau 1 furent découverts.
En 2020, la situation est bien plus complexe. Il demeure impératif, du moins pour l’industrie pharmaceutique impliquée dans le traitement de maladies répandues à l’échelle de la pandémie, d’enregistrer autant de domaine.ccTLD et domaine.IccITLD (pour « Internationalized ccTLD ») que possible. Cependant, la stratégie concernant les gTLDs, désormais si nombreux, mérite d’être repensée. En effet, il n’est sans doute pas nécessaire de procéder à des enregistrements dits « préventifs » ou « défensifs » pour chaque gTLD. Premièrement, l’enregistrement d’un domaine.gTLD n’est pas toujours possible, en particulier lorsque des conditions sectorielles sont imposées. Deuxièmement, il ne paraît pas impératif de réserver des noms de domaine pour les extensions les plus chères (par ex., .INC et .WEB) car la part du risque financier serait trop grande pour un domainer ou pour un cybersquatteur. En revanche, de nombreux gTLDs peuvent être enregistrés à des prix relativement abordables, ce qui signifie qu’ils sont disponibles pour les fraudeurs. Dans ce cas, il est préconisé d’enregistrer le nom de domaine identique à la marque, a minima pour les extensions qui concernent le secteur d’activité de ladite marque et, dans la mesure du possible, pour d’autres extensions. Dans le domaine de la santé, les extensions se sont multipliées (Tableau 2). Certaines entreprises et institutions du secteur pharmaceutique ont également acquis leur propre brandTLD, ce qui permettra, sur le long terme, de réduire les risques de confusion et les cas de fraude (Tableau 2).
Tableau 2
Les procédures UDRP mentionnées dans le Tableau 3 ont été engagées pour le recouvrement de noms de domaine enregistrés durant les premières semaines de la pandémie, entre janvier 2020 et avril 2020.
Tableau 3
Focalisons notre attention sur les quatre exemples suivants.
1. Le nom de domaine gilead.health a été enregistré par une personne étrangère à la société Gilead le 19 mars 2020, à un moment où la société Gilead Sciences était en une des journaux (par ex. : Bloomberg.com, 2020-03-20; NYTimes.com, 2020-03-18). Dans la mesure où la nouvelle extension .HEALTH désigne le domaine de la santé, il aurait été opportun, pour la société Gilead, d’enregistrer le nom de domaine gilead.health dès la sunrise period afin d’écarter tout risque de cybersquatting, de phishing ou toute autre type de fraude. En effet, le nom de domaine est identique à la marque « Gilead » et l’extension « .HEALTH » invite le patient ou consommateur à penser que toute communication provenant d’un tel nom de domaine émane nécessairement de la société Gilead. D’ailleurs, en l’espèce, le nom de domaine renvoyait au site institutionnel de la société Gilead. Or une telle redirection implique souvent une activité de phishing (WIPO, D2020-0731, Gilead Sciences, Inc. v. WhoisGuard Protected, WhoisGuard, Inc. / Ling Ye, Shionogi Co. Ltd., May 19, 2020).
2. Le nom de domaine plaquenil.club a, quant à lui, été enregistré le 22 mars 2020, alors que la marque « Plaquenil » était fréquemment citée dans les médias (par ex. : france24.com, 2020-03-22; LeMonde.fr, 2020-03-21; NYPost.com, 2020-03-19). Contrairement au .HEALTH, le .CLUB n’a, de prime abord, rien à voir avec le domaine de la santé. L’enregistrement de plaquenil.club ne constituait donc pas une priorité pour le titulaire de la marque, la société Sanofi. Cependant, dans un tel cas d’espèce, lorsque l’enregistrement du nom du nom de domaine ne s’impose pas, il demeure néanmoins essentiel de mettre en place une stratégie de surveillance configurée de manière à avertir le propriétaire de la marque de l’enregistrement d’un tel nom de domaine, dans les meilleurs délais. Ainsi, l’entreprise propriétaire de la marque, dûment informée, pourra agir en conséquence pour obtenir le transfert du nom de domaine. En l’occurrence, nul doute que la société Sanofi s’est appuyée sur un tel mécanisme. Avertie, elle a choisi l’UDRP comme méthode de recouvrement du nom de domaine (WIPO, D2020-0797, Sanofi v. WhoisGuard, Inc. / James Plante, May 12, 2020). Le même commentaire pourrait être proposé pour le nom de domaine lexapro.space (CAC, 103060, H. Lundbeck A/S v. Ivan Ivanov, 2020-06-15).
3. Bayer, propriétaire d’une marque « RESOCHIN » (diphosphate de chloroquine) n’avait jamais enregistré les noms de domaine resochin.com et resochin.net. Ceux-ci furent donc happés, le premier le 19 février 2020 (WIPO, D2020-0910, Bayer Intellectual Property GmbH v. 刘金力(liujinli), June 1, 2020) et le second, le 24 mars 2020 (WIPO, D2020-0913, Bayer Intellectual Property GmbH v. Super Privacy Service LTD c/o Dynadot / Rose Irinco Mercado, June 15, 2020). À l’évidence, le principe selon lequel à une marque doit correspondre au moins un nom de domaine (idéalement le .COM) n’avait pas été suivi. Un évènement inattendu, comme la pandémie en cours, fournit l’occasion de procéder à des audits de portefeuilles de noms de domaine afin de s’assurer de la complétude de ces derniers.
4. L’entreprise française Projetclub, titulaire des droits sur la marque « Easy Breath » et sur le masque éponyme, a également été victime d’une vague de cybersquatting dès que le corps médical, devant faire face à une pénurie de respirateurs, s’est aperçu que ce masque de plongée pouvait être employé, moyennant quelques aménagements, comme matériel d’assistance respiratoire. Là aussi, le produit a bénéficié d’une forte couverture médiatique et de nombreux noms de domaine ont été enregistrés de manière abusive entre le 20 janvier 2020 et le 16 février 2020 (easybreath.fun, easybreathmask.shop, easybreathmask.space, easybreath.shop, easybreath.space, mask-easybreath.shop and snork-easybreath.shop) (WIPO, D2020-0275, PROJETCLUB v. Мікловші Андрій Олександрович / Miklovshiy Andrey, May 1, 2020). Dans le cas présent, il n’aurait pas été raisonnable, pour la société Projetclub, de réserver tous ces noms de domaine. Cependant, on peut penser que easybreath.fun et easybreath.shop auraient pu être enregistrés de manière préventive.
Les entreprises du secteur de la santé sont les premières ciblées par ce cybersquatting plus abject qu’à l’accoutumée (v. aussi : Covid-19 : quand la contrefaçon spécule sur la pandémie, la panique et la pénurie, iptwins.com, 2020-03-26 ; coronaprevention.org : saisi par les autorités américaines, iptwins.com, 2020-04-27 ; UDRP : googlecoronavirus.com, transféré 20 jours après son enregistrement, iptwins.com, 2020-04-06). Cependant, elles ne sont pas les seules. Comme les agendas sont chamboulés, l’évènementiel constitue une proie facile pour les cybersquatteurs. Ainsi, le 24 mars 2020, le Comité International Olympique a annoncé le report des Jeux Olympiques de Tokyo, au plus tard, à l’été 2021 (Olympic.org, 2020-03-24). Étant donné qu’un tel report était envisageable déjà quelques semaines auparavant, le nom de domaine tokyo2021.org fut enregistré dès le 3 février 2020. Il était mis en vente (WIPO, D2020-0808, International Olympic Committee and Tokyo Organising Committee of the Olympic and Paralympic Games v. Contact Privacy Inc. Customer 1246395316 / Daniel O’Hare, June 12, 2020). Il est vivement conseillé aux organisateurs d’évènements reportés en 2021 de réserver les noms de domaine « 2021 » au plus vite.
Ajoutons que dans une période de crise telle que celle provoquée par la pandémie actuelle, il paraît prudent, pour les entreprises fortement exposées médiatiquement, de prévoir un audit du portefeuille de noms de domaine et d’installer des surveillances. En outre, s’agissant des surveillances en cours, il paraît utile de les configurer de manière à ce que le titulaire des droits de marque soit averti, dans les meilleurs délais, de l’apparition d’un nouveau nom de domaine susceptible de tromper les consommateurs ou les patients.
Enfin, l’annonce d’un traitement efficace contre la COVID-19 sera très probablement suivie d’une vague de cybersquatting qui frappera à la fois le nom de la société et celui de la marque choisie. La stratégie des enregistrements préventifs, avant toute communication publique, réduira l’impact et le risque de fraudes vis-à-vis du consommateur ou du patient.