Le cybersquatting des noms de domaine web3 : quelles actions ?
Dans son Digital Defense Report, Microsoft considère que les risques liés au cybersquatting des noms de domaines web3 constituent « une menace qui émerge en dehors de toute réglementation » et en l’absence de gouvernance par une autorité centralisée.
Qu’est-ce qu’un nom de domaine décentralisé ?
Les Blockchain Naming Services (BNS) sont des protocoles permettant de remplacer les adresses blockchain, lesquelles sont constituées d’une suite alphanumérique aléatoire peu lisible par un nom d’utilisateur choisi. Ces noms peuvent aussi être utilisés pour les adresses de sites web et constituer l’équivalent web3 d’une adresse de site internet.
Le protocole BNS le plus connu est l’Ethereum Name Service (ENS), basé sur Ethereum, mais il en existe beaucoup d’autres tels que Unstoppable Domains, PeerName, Diode, Solana name service, etc. Les noms de domaines peuvent être revendus sous forme de NFTs, lesquels se revendent sur les marketplaces et majoritairement sur Opensea qui représente 97 % des ventes de domaines ENS.
Contrairement aux noms de domaine traditionnels qui sont achetés par l’intermédiaire d’un bureau d’enregistrement opérant par un système DNS (Domaine Name Service) réglementé par l’ICANN (Internet Corporation for Assigned Names and Numbers), les domaines du web3 ne sont régis par aucun organisme centralisé ce qui limite les possibilités de signalement, suspension et cession forcée en cas d’infraction et notamment de cybersquatting.
Le cybersquatting d’un nom de domaine décentralisé : quelles qualifications juridiques ?
Le cybersquatting est couramment défini comme une pratique consistant à déposer, en contrevenant délibérément au droit de la marque, le nom de domaine correspondant au nom d’une entreprise ou de l’une de ses marques, afin de profiter du trafic qui se crée spontanément autour de celui-ci. Cette pratique répandue pouvant être sanctionnée par plusieurs fondements.
Le choix du nom de domaine, qu’il soit centralisé ou décentralisé, doit respecter les droits préexistants. L’usage d’une marque dans un nom de domaine sans autorisation des ayants droit, peut constituer une contrefaçon justifiant notamment le transfert du nom de domaine. Les juridictions ont plusieurs fois eu l’occasion de se prononcer sur ce sujet en estimant par exemple dans un jugement concernant la société Red Bull que « l’enregistrement du nom de domaine www.redbull.re constitue en effet une atteinte à la marque communautaire verbale renommée Red Bull » justifiant la cession forcée de ce nom de domaine à la marque.
La réservation et l’utilisation d’un nom de domaine reproduisant une marque peut également constituer un acte de parasitisme, de concurrence déloyale ou relever des infractions pénales de pratiques commerciales trompeuses et d’usurpation d’identité.
Le cybersquatting des noms de domaine web3 : que faire en pratique ?
Plusieurs méthodes peuvent être envisagées afin de limiter les dommages causés par le cybersquatting d’un nom de domaine décentralisé. Pour autant, des difficultés pratiques rendent difficilement envisageable la cession forcée du nom de domaine décentralisée à l’ayant droit.
Les difficultés liées à la décentralisation
- L’impossibilité de recourir aux organismes centralisés compétents en web 2
Pour les noms de domaine web2, les organismes d’enregistrement centralisés (i.e., l’Afnic et l’ICANN) mettent à disposition des ayants droit des procédures de résolution des litiges (levée d’anonymat, demande de récupération de nom de domaine, procédure extrajudiciaire).
Or, les noms de domaine web3 sont fondés sur la décentralisation, ils sont octroyés à l’acquéreur par l’intermédiaire d’un jeton non fongible distribué sur la blockchain de sorte qu’il n’est techniquement pas possible pour un organisme centralisé de procéder au retrait du nom de domaine octroyé pour le céder à un ayant droit légitime.
- Les difficultés pratique d’engagement de la responsabilité du protocole
À l’instar de Ethereum Name Service (ENS), une grande partie des protocoles de Blockchain Naming Services sont organisés par des entités décentralisées, le plus souvent sous forme de DAO (decentralized autonomous organisation). Or, ces entités ne sont pas toujours formalisées autour d’une personne morale et il peut être complexe d’identifier formellement leurs fondateurs.
En théorie l’absence de personnalité morale ne fait pas obstacle à l’engagement de la responsabilité des fondateurs ou développeurs notamment par le recours à la théorie de la société de fait si les participants agissent envers les tiers comme des associés. Si cette requalification permettrait alors de rechercher la responsabilité des associés pour les infractions commises par le protocole, notamment pour l’octroie de noms de domaines contrefaisants en pratique, ces démarches sont complexes et affectées d’un aléa important.
La responsabilité de l’utilisateur du nom de domaine
La réservation d’un nom de domaine web3 dans l’optique de réaliser un profit au détriment d’un titulaire de droit de marque peut justifier l’engagement de la responsabilité du réservataire.
En cas de contrefaçon ou de parasitisme, il est possible d’engager la responsabilité du créateur du NFT et de l’utilisateur du domaine décentralisé, à la condition de connaître son identité.
Toutefois, il peut être également complexe d’identifier formellement la personne physique ou morale réservataire du nom de domaine décentralisé dès lors que seule une adresse blockchain est nécessaire pour acquérir un nom de domaine blockchain et le revendre sans qu’il ne soit nécessaire de renseigner son identité et ses coordonnées.
À ce titre, seul un travail d’investigation de l’ayant droit ou des autorités dans le cadre d’une procédure civile ou pénale pourrait permettre d’identifier le détenteur du domaine. Pour cela, il est nécessaire de faire de l’analyse de chaîne (blockchain forensic) en retraçant les transactions provenant du portefeuille acquéreur du nom de domaine contesté vers une plateforme d’échange de crypto monnaies centralisée pour obtenir auprès de cette plateforme l’identité du client s’étant soumis à une procédure d’identification du client (Know Your Customer).
Pour autant, il s’agit d’un processus particulièrement exigeant justifiant l’intervention d’un professionnel en analyse de transactions blockchain et dont le résultat ne peut être garanti.
Une fois la personne identifiée, il est en revanche aisé d’engager sa responsabilité. Cela a été très récemment illustré dans l’affaire des « Metabirkin » à l’issue de laquelle un crypto-artiste ayant mis en vente des NFTs représentant le modèle de sac à main de la marque Hermès « Birkin » a été condamné pour contrefaçon par un tribunal new-yorkais.
La responsabilité des plateformes
Les intermédiaires numériques tels que les hébergeurs, les éditeurs et les fournisseurs de services de partage de contenus en ligne doivent participer à la lutte contre la contrefaçon et les contenus illicites y compris lorsque le support illicite est matérialisé par un NFT.
Deux axes d’engagement de la responsabilité peuvent être envisagés selon le rôle actif ou passif de la plateforme dans la réalisation de la vente de leurs clients.
- Engagement de la responsabilité de l’éditeur
Les éditeurs sont les plateformes qui jouent un rôle actif dans la réalisation de la transaction, notamment par la fourniture de moyens d’optimisation des ventes, d’aide à la description des objets, d’assistance aux vendeurs ou d’envoi spontané de messages aux acheteurs pour les inciter à acheter. Au titre de ce rôle actif, les éditeurs sont présumés avoir connaissance des contenus illicites qui se trouvent sur leurs plateformes et en sont donc responsables.
En pratique, les plateformes de vente de NFTs comme Opensea prennent entre 0% et 10% de commission sur chaque transaction réalisée. Par ailleurs, ces plateformes organisent et mettent à disposition les moyens de réaliser des enchères en assurant la transmission des ordres au titulaire.
À ce titre, ces plateformes pourraient ainsi être considérées comme ayant un rôle actif dans la fourniture de leur service et il ne peut être exclu que leur responsabilité puisse être engagée de plein droit en qualité d’éditeur dans le cas où elles offriraient l’infrastructure permettant le cybersquatting de noms de domaine web3.
- Engagement de la responsabilité de l’hébergeur
À l’inverse des éditeurs, les hébergeurs ont un rôle passif dans la gestion de leur plateforme et ne sont donc pas soumis à une obligation générale de surveillance des contenus publiés. Les hébergeurs doivent cependant agir promptement pour déréférencer les contenus illicites qui leurs sont notifiés.
L’ayant droit peut demander, par voie de notification, à la plateforme de retirer promptement le contenu litigieux.
La notification doit identifier précisément le contenu litigieux et contenir toutes les informations « pertinentes et nécessaires » et notamment démontrer la réalité de la titularité des droits.
Les dispositions de la loi pour la confiance en l’économie numérique (LCEN) prévoient encore que la plateforme doit conserver les données « de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ». L’ayant droit pourra, par conséquent, solliciter la plateforme afin qu’elle transmette les données en sa possession, qui sont malgré tout très limitées, le mode de connexion aux plateformes de vente de NFTs étant généralement anonymisé.
En cas de refus de la part de la plateforme de retirer le contenu contrefaisant, sa responsabilité pourrait être engagée.
C’est ainsi qu’Hermès a sollicité et obtenu la cessation des ventes des NFTs “Metabirkin” dans le metaverse, sur la plateforme OpenSea. Pour autant, le déréférencement sur l’une des plateformes n’est pas valable sur une autre plateforme, raison pour laquelle Mason Rothschild avait continué à émettre et vendre les NFTs MetaBirkin, sur Rarible.
- Les règles de territorialité
Les plateformes de contenus en ligne sont en grande majorité opérées par des sociétés étrangères. En matière de contrefaçon, l’ayant droit pourra toutefois faire appliquer la loi française en cas de litige au moyen du critère « d’accessibilité » consacré par la cour de cassation dans l’affaire Pinckney c/ Mediatech, selon lequel « l’accessibilité, dans le ressort de la juridiction saisie, d’un site internet argué de contrefaçon, est de nature à justifier la compétence de cette juridiction, prise comme celle du lieu de la matérialisation du dommage allégué ».
Le cabinet ORWL Avocats se tient à votre disposition pour échanger à ce sujet et vous assister dans la mise en place de mesures afin de lutter contre le cybersquatting des noms de domaine web3 de votre structure.
Article écrit avec la collaboration de Ségolène Kervazo et Louisa Auscher, avocates.