L’affaire D2024-0424[1] opposait l’État français, représenté par la bienvenue Mission d’Appui au Patrimoine Immatériel de l’État (APIE), à un usurpateur qui s’était approprié le nom de domaine <policenationale.net>, dont la configuration suspecte du serveur MX et du SPF soulevait de légitimes inquiétudes.
La marque « POLICE NATIONALE »
Rappelons que, dans le cadre d’une procédure UDRP (pour Uniform Domain Name Dispute Resolution Policy), le requérant doit démontrer que le nom de domaine litigieux est identique ou similaire au point de prêter à confusion à une marque sur laquelle il détient des droits. Ici, l’État français fit preuve de sagacité en faisant enregistrer la marque « POLICE NATIONALE »[2]. En l’espèce, l’incorporation intégrale de la marque dans le nom de domaine suffisait à retenir le caractère identique du nom de domaine.
Une forte présomption de phishing
Il ressort de la décision D2024-0424 que le défendeur avait configuré le nom de domaine <policenationale.net> de façon pour le moins suspecte puisque le serveur MX et le SPF étaient activés. Un enregistrement MX (pour « mail exchange ») est un type de ressource DNS (pour Domain Name System) utilisé pour spécifier les serveurs de messagerie responsables de la réception des emails. Quant au SPF (pour « Sender Policy Framework »), il s’agit d’un mécanisme de validation du courrier électronique conçu pour détecter et empêcher l’usurpation d’adresses électroniques (une pratique connue sous le nom de spoofing). Au vu des circonstances, la commission a, sans grande surprise, adopté le raisonnement suivant :
« Il est admis que la configuration d’un serveur MX sur un nom de domaine comporte le risque de création d’une adresse e-mail utilisant le nom de domaine à des fins frauduleuses par le titulaire dudit nom, en particulier lorsque le nom de domaine a été réservé sous anonymat, plus particulièrement aux fins de hameçonner les données et d’identifier des internautes en leur envoyant un courriel apparemment officiel les incitant à une telle communication (voir notamment : État Français, représenté par le Ministre de l’Intérieur et des Outre-Mer contre Brigade Mineur Protection des Enfants, Litige OMPI No. D2022-4666; Groupe Industriel Marcel Dassault contre Maxence Censier, Litige OMPI No. D2019-1994). Cette présomption de mauvaise foi est renforcée par la configuration SPF, qui en vue des circonstances actuelles, présuppose un risque d’utilisation à des fins de hameçonnage. La mauvaise foi est en outre démontrée par la fourniture de données d’identification fantaisistes lors de l’enregistrement et, de surcroît, trompeuses, suggérant un lien avec INTERPOL, service coopérant avec la Police nationale » (OMPI, D2024-0424, État français, représenté par le ministre de l’Intérieur et des Outre-Mer contre POLICE INTERPOL, policenationale.net, 15 mars 2024 : ompi.int).
Les autorités gouvernementales, en France comme ailleurs, sont régulièrement contraintes d’alerter leurs citoyens et les personnes résidant sur leur territoire des cybermenaces qui pèsent sur eux[3]. La surveillance des noms de domaine et, comme nous le verrons, la célérité de la procédure UDRP, permettent de limiter l’ampleur de ces pratiques frauduleuses.
L’ordre public en question
La question de l’ordre public est centrale dans cette affaire, compte tenu de l’implication directe de l’État français et de l’utilisation frauduleuse d’une marque associée à une institution publique régalienne. Au demeurant, en reprenant le contrôle sur le nom de domaine litigieux, ce n’est pas tant la marque « POLICE NATIONALE » que l’État français entend défendre mais le monopole qu’il détient sur un pouvoir régalien, celui de l’autorité et de la sécurité publique. En effet, le maintien de la confiance des citoyens et des résidents dans ces institutions justifie qu’aucune usurpation de cette nature ne soit tolérée. A cet égard, il paraît opportun de rappeler que la Charte de Nommage de l’Association Française pour le Nommage Internet en Corporation (AFNIC, registre du ccTLD .FR, entre autres) soumet l’enregistrement de tout nom de domaine comportant les mots « police », « polices », « policier » ou « policiers » à un examen préalable[4].
Cependant, de telles restrictions n’existent pas dans les règles régissant les domaines de premier niveau génériques (dont le .net). Le mécanisme UDRP peut donc jouer un rôle essentiel dans la protection de l’ordre public en permettant une résolution rapide et efficace des litiges relatifs aux noms de domaine qui portent atteinte à des marques liées à des institutions régaliennes (en l’occurrence, un transfert ordonné six semaines après le dépôt de la plainte).
L’État français lutte pour ses noms de domaine
Un précédent : le cas « gendarmerienationnale.info »
Dans l’affaire OMPI D2022-4666[5], l’État français avait déjà été contraint d’engager une procédure UDRP contre le titulaire du nom de domaine <gendarmerienationnale.info>. Ce dernier avait été créé par un individu qui, de manière similaire, avait usurpé l’appellation « Brigade Mineur Protection des Enfants ». En outre, le défendeur avait également configuré un serveur de messagerie, suggérant ainsi une utilisation frauduleuse du nom de domaine pour commettre des actes de phishing. Ce nom de domaine fut transféré à l’État français.
Le cas « France.com »
L’action de l’État français contre les noms de domaine relevant du cybersquatting s’inscrit dans une stratégie plus large de protection de ses intérêts contre les utilisations abusives de noms de domaine. La saga « France.com » en constitue un exemple remarquable. En effet, l’État français avait poursuivi en justice la société de droit étatsunien France.com, Inc., titulaire du nom de domaine éponyme. Dans un arrêt du 22 septembre 2017, la cour d’appel de Paris avait ordonné le transfert de ce nom de domaine au profit de l’État en adoptant la motivation suivante « l’appellation « France » constitue pour l’État français un élément d’identité assimilable au nom patronymique d’une personne physique [ce terme désignant] le territoire national dans son identité économique, géographique, historique, politique et culturelle, laquelle a notamment vocation à promouvoir l’ensemble des produits et services visés aux dépôts des marques considérées »[6]. S’estimant illégitimement dépossédée, la société France.com, Inc. avait alors engagé une procédure aux États-Unis qui fut un coup d’épée dans l’eau puisque, le 25 mars 2021, la cour d’appel pour le quatrième circuit reconnut à l’État français une présomption d’immunité que la société France.com, Inc. avait tenté de renverser, en vain, en visant deux des exceptions prévues par le Foreign Sovereign Immunities Act, à savoir d’une part, l’activité commerciale et, d’autre part, l’expropriation[7]. Le recours de la société France.com, Inc. devant la Cour suprême des États-Unis fut jugé irrecevable[8]. Quant à la Cour de cassation française, cette dernière fit sienne la motivation de la cour d’appel de Paris dans un arrêt du 6 avril 2022[9]. Insatisfaite, la société France.com, Inc. saisit la Cour Européenne des Droits de l’Homme (CEDH) sur le fondement de l’article 1er du Protocole n° 1 à la Convention, lequel garantit le droit de propriété, notamment contre l’expropriation. Finalement, par une décision du 19 octobre 2023, la CEDH adopta, entre autres, le motif suivant :
« Alors que la société requérante soutient que l’État « n’avait pas besoin » du nom de domaine en question, la Cour reconnaît que la mesure litigieuse visait à mettre fin à la violation du droit de l’État sur son nom et son identité, ainsi qu’à éviter de créer une confusion dans l’esprit des usagers d’Internet qui pouvaient identifier ce site comme émanant de l’État français ou d’un service officiel bénéficiant de sa caution. Aux yeux de la Cour, il ne fait pas de doute que l’ingérence poursuivait un but d’intérêt général » (para. 15)[10].
Au demeurant, la question de la protection des noms de pays se développe au-delà de l’affaire « France.com ». En effet, des voix se font entendre, notamment dans les sphères de l’Organisation Mondiale de la Propriété Intellectuelle, pour « Protéger les noms de pays et les noms géographiques d’importance nationale contre leur attribution en tant que noms de domaine de premier niveau dans le DNS »[11].
Le rôle de la Mission d’Appui au Patrimoine Immatériel de l’État (APIE)
La mission Appui au Patrimoine Immatériel de l’État (APIE) joue un rôle central dans la gestion et la protection du patrimoine immatériel de l’État français, notamment en ce qui concerne les noms de domaine. En tant qu’entité dédiée à la valorisation et à la défense des actifs immatériels de l’État, l’APIE assure une surveillance active des marques et noms de domaine liés à des institutions publiques : ce qui constitue une nécessité pour bon nombre d’entreprises victimes du cybersquatting et de la contrefaçon devient une obligation pour l’État. Son intervention proactive dans des litiges tels que celui de <policenationale.net> témoigne de son engagement à protéger les symboles de l’autorité de l’État contre les abus et les usages frauduleux.
[1] OMPI, D2024-0424, État français, représenté par le ministre de l’Intérieur et des Outre-Mer contre POLICE INTERPOL, policenationale.net, 15 mars 2024 : ompi.int.
[2] V., en particulier, la marque semi-figurative No. 4825467 enregistrée le 13 décembre 2021 par l’Institut National (français) de la Propriété Intellectuelle, étant précisé que cette marque n’est pas la première du genre.
[3] V., par ex. : Cybermalveillance.gouv.fr, « Campagne de messages frauduleux réclamant le paiement d’une contravention », 7 mars 2023 et Antai.gouv.fr, « Attention aux SMS et aux sites frauduleux ! », 17 juillet 2023.
[4] AFNIC, Charte de nommage, Liste des termes soumis à examen préalable : afnic.fr.
[5] OMPI, D2022-4666, État Français, représenté par le Ministre de l’Intérieur et des Outre-Mer contre Brigade Mineur Protection des Enfants, 25 janvier 2023 : ompi.int.
[6] Paris, Pôle 5, 2ème ch., 22 sept. 2017.
[7] France.com, Inc. v. The French Republic, No. 20-1016 (4th Cir. 2021) et « Affaire « france.com » : immunité souveraine de l’État français et rejet des prétentions de la société France.com, Inc. », iptwins.com, 2021-04-28.
[8] France.com, Inc. v. French Republic, No. 20-1016, cert. denied, 593 U.S. (2021) et « L’affaire “France.com” portée devant la Cour suprême des États-Unis » : iptwins.com, 2021-09-30.
[9] Cass., com., 6 avr. 2022, No. 17-28.116 : Légifrance.gouv.fr et « « France.com » : « le territoire national dans son identité économique, géographique, historique, politique et culturelle » : iptwins.com, 2022-04-08v.
[10] CEDH, 5ème sect., Requête no 35983/22, FRANCE.COM INC. contre la France, 19 oct. 2023 : echr.coe.int.
[11] SCT/41/6 REV. : (ompi.int). V. aussi : « Le nom géographique d’importance nationale : bien commun ou monopole privé ? », iptwins.com, 2022-10-22.
