Dépôt de plaintes UDRP après le RGPD : guide pour les propriétaires de marques

Par le passé, les titulaires de marques et leurs représentants ont largement eu recours à cet accès massif aux données des titulaires pour recueillir des informations sur les titulaires et les cybersquatteurs abusant du DNS. Les nouvelles limites imposées par le RGPD à l'accès aux données des titulaires risquent de contraindre les titulaires de marques à recourir à de nouveaux critères pour démontrer l'absence d'intérêt légitime ou la présence de mauvaise foi, au nom de leurs défendeurs UDRP.

Si les conditions de dépôt d’une plainte UDRP restent inchangées après l’entrée en vigueur du RGPD, la capacité des plaignants à satisfaire aux critères décisionnels des commissions administratives risque d’être considérablement réduite après l’entrée en vigueur du RGPD. Dans un effort visant à clarifier le processus UDRP après l’entrée en vigueur du RGPD pour les parties concernées, l’Organisation mondiale de la propriété intellectuelle (OMPI) a abordé les questions les plus pertinentes dans une séance de questions-réponses informelle sur le sujet.

Bien que les données WHOIS accessibles au public ne puissent plus inclure les identifiants du titulaire du domaine (tels que le nom du titulaire et les contacts administratifs, de facturation et techniques du domaine), l'OMPI a indiqué qu'il serait toujours possible pour les propriétaires de marques de lancer la procédure UDRP contre le défendeur pour le domaine litigieux en indiquant comme détails du titulaire les résultats de l'ensemble de données fournis dans le WHOIS accessible au public ; par exemple, « PRIVACY REDACTED ». Cela ne diffère pas de ce qui était auparavant requis dans les cas où les données du titulaire étaient protégées par des services proxy et de confidentialité (conformément à Tencent Technology (Shenzhen) Co.Ltd c. Super Privacy Service, affaire OMPI n° D2018-0391 ).

L'approche d'application n'était pas encore harmonisée au moment de la séance de questions-réponses : certains bureaux d'enregistrement ont indiqué qu'ils pourraient appliquer un accès restreint également en relation avec le champ de données « organisation », en tenant compte de la question éventuelle des entreprises individuelles, c'est-à-dire des opérations commerciales portant le nom d'une personne physique. De même, les bureaux d'enregistrement n'ayant pas d'établissement dans l'Union européenne (UE) pourraient ne pas nécessairement appliquer la suppression des données WHOIS pour tous leurs enregistrements. Au lieu de cela, ces bureaux d'enregistrement pourraient supprimer les données WHOIS uniquement en relation avec les personnes physiques situées dans l'UE.

Comme c'est le cas lorsque l'identité du défendeur est protégée par des services de confidentialité, une fois la plainte UDRP déposée, les bureaux d'enregistrement accrédités par l'ICANN sont théoriquement tenus de fournir les données d'enregistrement complètes au fournisseur UDRP intéressé. Conformément à plusieurs commentaires sur le RGPD, la divulgation de données au nom du bureau d'enregistrement serait dans ce contexte légitimée à la fois par l'article 6.1(f) - intérêt légitime et par l'article 6.1(b) - exécution d'un contrat.

Lorsqu'un fournisseur UDRP reçoit les informations du défendeur de la part du bureau d'enregistrement, il les transmet au plaignant, ce qui permet de modifier la plainte initiale avec les informations nouvellement reçues sur le défendeur. Cependant, en raison des lacunes de l'accord d'accréditation des bureaux d'enregistrement (RAA) de l'ICANN par rapport au RGPD, il existe un risque particulier que les bureaux d'enregistrement refusent de fournir l'ensemble de données requis au fournisseur UDRP, ou demandent des informations supplémentaires concernant l'affaire en question avant d'accepter la divulgation des données.

D'un point de vue juridique, prouver l'absence d'intérêt légitime de la part du défendeur peut s'avérer particulièrement difficile pour le titulaire de la marque [1]. Une telle charge de la preuve pourrait difficilement être remplie sans la connaissance de l'identité du titulaire.

Dans ces cas, l'OMPI ne fournit pas de réponse générale mais préconise plutôt de trouver des solutions au cas par cas , ainsi que la possibilité de recourir à l'ICANN pour obtenir de l'aide afin de garantir la conformité du registrar avec le RAA. Cette dernière solution ne garantit toutefois pas le succès, comme le suggère la décision prise par les tribunaux allemands dans l'affaire ICANN c. EPAG Domainservices, GmbH (demande préjudicielle pendante devant la Cour de justice de l'UE).

En l'absence d'un centre d'échange centralisé et en attendant la mise en œuvre par l'ICANN de son modèle de conformité, les propriétaires de marques peuvent contacter directement les bureaux d'enregistrement de noms de domaine pour demander la divulgation partielle des données d'enregistrement des personnes portant atteinte à leur propriété intellectuelle. La divulgation de données par le bureau d'enregistrement ne peut dans ce contexte être légitimée en vertu de l'article 6.1(f) du RGPD qu'en procédant à un exercice d'équilibre approprié entre l'intérêt légitime du plaignant à obtenir les données d'enregistrement d'une part, et le droit et l'intérêt fondamentaux de la personne concernée à voir ses données protégées d'autre part.

Ce n'est que lorsque ces derniers ne prévalent pas sur les intérêts légitimes du plaignant que le registraire est en droit d'autoriser la divulgation des données. Pour être qualifié de légitime, l'intérêt du plaignant doit nécessairement être légal, représenter un intérêt défini et actuel, et être suffisamment spécifique et articulé pour permettre son équilibre effectif avec le droit de la personne concernée à la protection des données. Les éléments à prendre en considération par le registraire individuel lors de la conduite de l'évaluation ne sont pas harmonisés, mais l'OMPI a indiqué que les propriétaires de marques ou leurs représentants devraient être en mesure de fournir (à titre indicatif) : le nom de domaine concerné ; les coordonnées du propriétaire de la marque ; les informations demandées (c'est-à-dire le nom du titulaire) ; une déclaration décrivant l'intérêt légitime revendiqué à accéder aux informations (dans ce cas, l'application d'un droit de propriété intellectuelle) ; des informations sur la marque concernée ; une certification selon laquelle les données personnelles demandées ne seraient conservées et utilisées pour l'intérêt légitime revendiqué que dans le cadre autorisé du RGPD.

Les processus ad hoc nécessaires à la réalisation de l'exercice d'équilibrage, ainsi que le niveau d'expertise requis et le nombre de requêtes, ont conduit plusieurs bureaux d'enregistrement à exiger le paiement d'une redevance lors de la demande de divulgation des données des titulaires de noms de domaine. La légitimité d'une telle charge économique pour l'accès aux informations d'enregistrement pourrait certainement également être remise en question à la lumière des objectifs du RGPD, car elle entrave considérablement la libre circulation des données personnelles au sein de l'UE.

Le lancement d'une procédure UDRP contre un défendeur dont la vie privée est protégée par le RGPD peut entraîner des coûts supplémentaires pour le titulaire de la marque dès la phase préliminaire du litige. Comme mentionné précédemment, le dépôt d'une procédure UDRP contre un défendeur inconnu limiterait considérablement la capacité du plaignant à évaluer et à démontrer l'absence de droit ou d'intérêt légitime du défendeur concernant le nom de domaine litigieux, conformément à ce qui est prescrit par le paragraphe 4(a) de l'UDRP.

Dans les cas où les informations fournies par un registraire conforme à la RAA conduiraient au retrait de la plainte UDRP (par exemple, lorsque le titulaire s'avère être le licencié autorisé du propriétaire de la marque), l'OMPI (et aucun autre fournisseur UDRP) offre la possibilité d'un remboursement.

En ce qui concerne la consolidation, l'OMPI a suggéré qu'en l'absence d'informations sur le titulaire, les commissions administratives pourraient se concentrer de plus en plus sur d'autres indicateurs de contrôle commun. L'absence de données sur le titulaire a fait de l'identification d'autres identifiants non ambigus, tels que l'utilisation de modèles de dénomination, de modèles et de textes similaires, une exigence fondamentale pour les propriétaires de marques afin de démontrer un contrôle commun sur plusieurs domaines abusifs.

L'inaccessibilité de l'identité du titulaire du domaine litigieux risquait également de compromettre les possibilités du plaignant de démontrer la mauvaise foi du défendeur conformément au paragraphe 4(a) de l'UDRP (conformément à Carlsberg A/S c. Xu Guo Xing , affaire OMPI n° D2017-0301 ).

Conformément au paragraphe 4(b) de l’UDRP, qui contient une liste non exhaustive de conditions susceptibles de démontrer la mauvaise foi dans l’enregistrement ou l’utilisation de noms de domaine, une série d’enregistrements abusifs de noms de domaine de la part du défendeur constitue une preuve de mauvaise foi. Dans son « Aperçu jurisprudentiel 3.0 » de 2017, l’OMPI a souligné comment les commissions administratives de l’UDRP ont établi qu’au moins deux enregistrements de domaine abusifs antérieurs par un défendeur constituent : « une série de comportements empêchant le titulaire d’une marque de refléter sa marque dans un nom de domaine ».

La mise en œuvre du RGPD et la suppression conséquente des données des titulaires de noms de domaine de l'ensemble de données affiché en réponse aux requêtes WHOIS ne permettent plus aux propriétaires de marques de vérifier les schémas de comportement abusifs par le biais de recherches basées sur les noms dans les archives des commissions administratives avant de déposer une UDRP lorsque le bureau d'enregistrement n'accepterait pas une telle divulgation préventive, mais uniquement pour d'éventuelles modifications de leurs plaintes initiales une fois que le bureau d'enregistrement concerné accepte de fournir les données du titulaire au fournisseur UDRP. De son côté, l'OMPI a assuré la publication des noms des parties au litige conformément au paragraphe 4(J) de l'UDRP, comme cela est nécessaire au fonctionnement global des procédures UDRP (et donc à l'exécution du contrat RAA, conformément à l'article 6.1(b) du RGPD).

Il serait néanmoins toujours possible pour toute partie impliquée dans une procédure UDRP de soumettre une demande motivée de suppression de ses informations personnelles, ce qui contrecarrerait potentiellement les efforts de l'OMPI pour garantir l'opérabilité du système après le RGPD. Les critères définis par le RGPD et dans les directives du Groupe de travail de l'article 29 sur la question de la suppression des données personnelles, en particulier le critère de la pertinence pour le public, ne justifient guère de telles suppressions, en particulier lorsque les titulaires de noms de domaine sont reconnus coupables d'enregistrements abusifs.

En tant que membre du groupe d'action IP de l'ICANN, Thomsen Trampedach, notre centre d'excellence pour la gestion des noms de domaine , suit l'évolution des discussions en cours sur les réglementations de confidentialité pour l'annuaire de services WHOIS sous tous ses aspects, y compris ses effets sur le processus UDRP, la responsabilité des bureaux d'enregistrement et l'efficacité des enquêtes et de la mise en œuvre des violations de propriété intellectuelle en ligne. Pour plus d'informations et une assistance supplémentaire, contactez notre équipe.

[1] Questel ne fournit aucun service juridique. Les services Juridique sont fournis par des avocats en propriété intellectuelle indépendants sur la base d'un contrat d'engagement distinct entre vous et, si vous le souhaitez, un cabinet d'avocats en propriété intellectuelle partenaire.