Usurpation d’identité numérique d’une personne morale

Utiliser le nom de domaine Groupe-Chantelle.com comme adresse de messagerie usurpe l’identité du titulaire de la marque. La commission d’arbitrage et de médiation de l’OMPI en a ainsi décidé le 5 décembre 2016 (1).

Les faits sont les suivants. La société de lingerie féminine Chantelle fondée en 1876 est titulaire de plusieurs marques Chantelle ainsi que de noms de domaine composés du radical «GroupeChantelle» utilisés notamment pour ses adresses de messagerie.

Un tiers enregistre le 21 septembre 2016 le nom de domaine Groupe-Chantelle.com. Aucun site web n’est ouvert à partir de ce nom de domaine. En revanche, ce tiers réserve des adresses de messagerie à partir de ce nom de domaine et s’en sert pour adresser des courriers électroniques à des partenaires commerciaux de la société Chantelle en se faisant passer pour de vrais collaborateurs de celle-ci et tenter d’obtenir le paiement de factures sur un prétendu nouveau compte bancaire, prétextant un changement de coordonnées bancaires.

La société Chantelle dépose une plainte UDRP auprès du centre d’arbitrage et de médiation de l’OMPI (5) afin de faire cesser ces agissements d’usurpation d’identité en demandant le transfert du nom de domaine Groupe-Chantelle.com à son bénéfice.

Décision de la commission administrative du centre d’arbitrage de l’OMPI

La commission administrative du centre d’arbitrage de l’OMPI n’a pas directement statué sur l’usurpation d’identité numérique, qui n’est pas de son ressort dans le cadre de l’application des principes UDRP, mais elle a pris en compte ce délit, sanctionné par l’article 226-4-1 du Code pénal (7), pour caractériser un usage de mauvaise foi du nom de domaine au sens des principes UDRP.

Après avoir logiquement retenu le risque de confusion entre les marques antérieures Chantelle et le radical du nom de domaine contesté « groupe-chantelle.com », la commission relève également que ce nom de domaine est construit d’une manière quasi-identique aux noms de domaine « groupechantelle » de la société Chantelle et qu’ « il est légitime de penser que le défendeur s’est limité à l’adjonction d’un trait d’union dans le but d’induire en erreur, par fausse association avec le Requérant ».

Elle souligne également que « la forte similarité avec le nom de domaine du Requérant est de nature à générer un risque de confusion pour l’internaute étant légitimement susceptible de penser que le nom de domaine litigieux est la propriété du Requérant ». A fortiori, ses partenaires commerciaux étaient susceptibles de penser que les méls frauduleux émanaient bien du Groupe Chantelle.

La commission remarque ensuite que le défendeur, qui n’a présenté aucun argument pour se défendre, ne justifie d’aucun droit ou intérêt légitime lié au nom de domaine litigieux, qu’il n’est pas connu sous ce nom et que le site associé au nom de domaine en cause n’est pas actif.

Enfin, la commission se penchant sur la dernière condition de succès d’une plainte UDRP, rappelle que la détention passive d’un nom de domaine peut être qualifiée d’enregistrement et d’usage de mauvaise foi au sens des Principes UDRP si elle s’accompagne d’autres circonstances démontrant la mauvaise foi du défendeur. Au cas d’espèce, elle relève au vu des pièces produites que « le nom de domaine a été enregistré à des fins frauduleuses dès lors que le Défendeur a utilisé l’adresse de messagerie suivante « […]@groupe-chantelle.com » composée du nom de domaine litigieux afin de contacter des partenaires du Requérant en se faisant passer pour lui, espérant ainsi à raison de cette usurpation d’identité, détourner des versements bancaires destinés au Requérant ».

Elle souligne qu’ « il est incontestable que les actes d’usurpation d’identité auxquels s’est livré le Défendeur sont constitutifs de mauvaise foi. L’enregistrement du nom de domaine litigieux n’a pour seul objectif que de se faire passer pour le Requérant, tromper ainsi les partenaires du Requérant et plus généralement les consommateurs tout en créant une confusion avec les marques du Requérant ».

Le transfert du nom de domaine Groupe-Chantelle.com au profit de la société Chantelle est donc ordonné par la commission administrative, ayant pour effet de mettre fin aux agissements frauduleux du défendeur.

La commission évoque ici des « actes d’usurpation d’identité », sans parler d’usurpation d’identité numérique.

Usurpation d’identité numérique

Le dépôt d’une plainte UDRP auprès d’un centre d’arbitrage compétent, tel celui de l’OMPI, apparaît ainsi être un autre moyen pour agir dans le cadre d’une usurpation d’identité numérique. Pour mémoire, l’usurpation d’identité numérique est sanctionnée en tant que tel par l’article 226-4-1 du Code pénal (6).

L’article 226-4-1 du Code pénal dispose que « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 euros d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne ».

Le délit d’usurpation d’identité en ligne suppose pour l’auteur des faits de faire usage d’une ou plusieurs données de toute nature permettant d’identifier une personne physique ou morale (2).

La notion de « données de toute nature » s’entend non seulement du nom et du prénom, mais également de toute donnée susceptible de contenir des informations sur l’identité d’une personne.

Entrent dans cette catégorie des données telles que l’adresse de courrier électronique (3), ou tout autre élément d’identification.

Pour que le délit de l’article 226-4-1 du Code pénal soit constitué il faut, en outre, que l’usage qui soit fait des données d’identification d’une personne ait pour objectif de troubler sa tranquillité ou de porter atteinte à son honneur ou à sa considération.

Peuvent ainsi être réprimés au visa du délit d’usurpation d’identité en ligne des agissements divers tels que (4) :

• récupérer à partir d’un faux site des informations personnelles pour en faire une utilisation contraire à l’intérêt d’un tiers ;
• nuire à la réputation d’un tiers en utilisant indument son identité pour écrire des commentaires ou en créant un faux profil sur un réseau social ou une fausse signature sur un blog ;
• accéder à des comptes sécurisés grâce aux données personnelles d’un tiers.

A l’instar d’une plainte pénale, une plainte UDRP ne nécessite pas de connaître l’identité réelle du tiers ayant commis l’usurpation d’identité. A défaut de pouvoir identifier ce dernier, la récupération du nom de domaine permet a minima de mettre fin à la source des agissements frauduleux.

Pour éviter de tels désagréments, il est en tout état de cause important de sensibiliser ses salariés, prestataires et fournisseurs aux dangers de l’usurpation d’identité numérique, notamment en formalisant les bonnes pratiques par le biais d’une charte informatique et d’une politique de sécurité des systèmes d’information.

Polyanna Bigle
Lexing Droit Sécurité numérique
Anne-Sophie Cantreau
Lexing Droit des marques

(1) Décision OMPI du 5-12-2016, n° D2016-1961, Chantelle S.A. c./ Emmanuel V.
(2) Compte rendu intégral des débats, 1ère séance du 11-2-2010, projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure : « dans le silence de la loi, les dispositions que vous évoquez [article 2] s’appliquent aussi bien aux personnes morales qu’aux personnes physiques ».
(3) Circulaire du 28-7-2011
(4) Circulaire du 28-7-2011
(5) Procédure relative aux Principes directeurs UDRP pour les domaines génériques de premier niveau (TLD génériques)
(6) Post du 10-3-2011
(7) C. pén., art. 226-4-1