Françoise AVENARD, Author at L'actualité cybersécurité, propriété intellectuelle et noms de domaine

L’importance stratégique des noms de domaine du service Public

Vitrine de l’administration, le nom de domaine représente un enjeu considérable en termes de communication, de visibilité et de service rendu aux usagers.

Il est le point d’entrée de l’administration en ligne. Par exemple, le nom de domaine du portail de l’administration française « www.service-public.fr » est connu de tous, non pas comme une simple adresse mais comme la dénomination d’un service public.

Un actif stratégique essentiel pour l’administration

Le nom de domaine doit permettre une excellente lisibilité de l’action publique pour les usagers tout en protégeant et valorisant les noms et marques publiques.

À ce titre, le choix du nom de domaine doit être en cohérence avec la Charte de l’Internet de l’État qui encadre la politique de nommage des sites Internet des administrations centrales et des services déconcentrés.

La convoitise générée par les noms de domaine

Internet est le lieu de nombreuses pratiques abusives ou d’arnaques contre lesquelles le service public doit se prémunir et se défendre. On pourrait citer les « fake news », ces fausses informations qui circulent et ont l’air vraies, les arnaques liées à la rénovation énergétique, au Coronavirus, à l’immatriculation au RCS, les démarches frauduleuses en matière de médiation de la consommation… En cas de réservation abusive, l’administration peut recourir à des procédures spécifiques qui peuvent permettre de faire cesser ces abus.

Le nom de domaine du service public doit respecter La charte de l’Internet de l’Etat

Pour permettre aux citoyens d’identifier plus facilement les différents services de l’Etat sur Internet, l’Etat s’est doté d’une identité visuelle unifiée et cohérente à l’ensemble de la sphère gouvernementale.

Outre le nom du domaine, la reconnaissance du site sera assurée par un favicon, cet «icône favori» à gauche de l’url et porté sur l’onglet d’affichage du site. La plupart des services publics utilisent le logo associant le profil de Marianne imbriqué dans le drapeau français (« Le bloc Marianne »), ou la partie graphique du logo de la marque concernée.

« Là où l’Etat est présent, agit, finance, sa présence doit être clairement identifiée »

Le nom de domaine du service public doit privilégier certaines extensions

L’administration privilégie les extensions populaires ([.com], [.net]) et géographiques pertinentes ([.fr], [.eu], [.paris]).

L’extension [.gouv.fr] est strictement réservée à l’État français. C’est un sous-domaine du [.fr], à enregistrement restreint, placé sous la responsabilité de l’AFNIC (L’Association Française pour le Nommage Internet en Coopération.

Avant toute demande de création d’un nouveau nom de domaine, les administrations sont invitées à vérifier sa disponibilité auprès de l’APIE (Agence du Patrimoine Immatériel de l’Etat).

Les administrations centrales et les services déconcentrés de l’État sont soumis à une procédure d’agrément avant toute réservation de noms de domaine. Cet agrément est délivré par le Service d’Information du Gouvernement (SIG). L’utilisation de cette extension est obligatoire pour les sites créés par des services de l’État, sauf en cas de dérogation expresse du SIG.

Le nom de domaine du service public doit respecter l’identification du titulaire

Dans le cas d’un service de l’État, la réservation sera faite au nom de la personne morale, à savoir l’«État français, représenté par (…) » et non au nom du prestataire ni au nom d’une personne physique travaillant dans un service de l’administration.

Exemple : Whois* du nom de domaine agriculturegouv.fr :

Whois* : c’est la contraction de “who is”, qui signifie en français “qui est-ce”. C’est un outil destiné à trouver des informations sur un nom de domaine spécifique

A noter : La mise en place du RGPD (règlement général sur la protection des données) en 2018 a renforcé la protection des données à caractère personnel, c’est ainsi que les offices d’enregistrement tel que l’AFNIC, ont mis en place des procédures d’anonymisation des titulaires physiques, cette protection ne s’applique pas aux contacts représentant une personne morale.

Le nom de domaine : un actif stratégique à protéger

Internet, lieu de nombreuses pratiques abusives

Tout comme les entreprises privées, l’administration peut être la cible de réservations abusives de noms de domaine par des tiers.

De telles usurpations peuvent être particulièrement dommageables, pour la personne publique mais surtout pour l’usager qui peut être trompé sur la nature officielle d’un site Internet.

On appelle cybersquattage (ou cybersquatting) la pratique consistant en la réservation de noms de domaine correspondant à une marque, une dénomination sociale, un nom connu afin de négocier sa rétrocession auprès de son véritable titulaire, d’altérer son image ou de capter son trafic.

Les pratiques courantes :

Typosquatting : réservation de noms de domaine à la syntaxe très proche de celle d’une marque ou d’un nom de domaine connu, afin de profiter des erreurs de frappe ou d’orthographe des internautes (ex : www.economie.gcuv.fr avec un c à la place du o qui a été récupéré par le Ministère de l’Economie et des Finances).

Dotsquatting : réservation de noms de domaine profitant de l’oubli par l’internaute du point séparant les éléments du nom de domaine, par exemple entre [www] et le radical ou entre le radical et [.gouv.fr] (financegouvfr.com ou france-gouv.fr).

Phishing : pratique visant à tromper les internautes sur l’origine d’un site Internet via un nom de domaine très proche et la copie des pages du site original, afin d’obtenir des informations confidentielles, telles que des données personnelles et/ou bancaires.

Qu’est-ce qu’un nom de domaine litigieux ?

Si le contenu du site qui lui est associé cause un préjudice à une entité publique.

Le nom de domaine reproduit-il une marque ? Le nom de domaine est-il similaire à la dénomination d’un service public ? Le contenu du site internet porte-t-il atteinte à la marque ou à la dénomination publique ?
Le nom de domaine est-il générique (par exemple : economie.fr) ?
La marque ou la dénomination publique n’est pas reproduite dans le nom de domaine mais en tant qu’onglet du site ou dans le contenu du site internet ?

Si l’administration doit démontrer la mauvaise foi du titulaire du nom de domaine litigieux pour :

Avoir obtenu ou demandé l’enregistrement de ce nom de domaine en vue de le vendre, de le louer ou de le transférer de quelque manière que ce soit à un organisme public, à une collectivité locale ou au titulaire d’un nom identique ou apparenté sur lequel un droit est reconnu et non pour l’exploiter effectivement ;
Avoir obtenu ou demandé l’enregistrement d’un nom de domaine principalement dans le but de nuire à la réputation du titulaire d’un intérêt légitime ou d’un droit reconnu sur ce nom ou sur un nom apparenté, ou à celle d’un produit ou service assimilé à ce nom dans l’esprit du consommateur ;
Avoir obtenu ou demandé l’enregistrement d’un nom de domaine principalement dans le but de profiter de la renommée du titulaire d’un intérêt légitime ou d’un droit reconnu sur ce nom ou sur un nom apparenté, ou de celle d’un produit ou service assimilé à ce nom, en créant une confusion dans l’esprit du consommateur

Dès le constat d’une réservation litigieuse de noms de domaine par un tiers, si le litige ne peut pas être réglé à l’amiable, l’administration pourra engager des procédures alternatives de résolution de litiges afin de faire cesser l’atteinte et éventuellement récupérer le nom de domaine.

Un nom de domaine où figure le mot « gouv » peut-il être illégitime ?

Nos boites mail sont souvent spammées d’offres alléchantes telles que :

Aide Panneau Solaire 2021 : à quoi vous avez droit ?
Changement de fenêtres : A quelles aides êtes-vous éligible ?
Salle de bain : de nouvelles aides financières pour la rénover, …

L’internaute est redirigé vers un site pouvant porter à confusion (présence du mot « gouv », du favicon de « Marianne », …), il peut tout de suite avoir l’impression qu’il est sur le site d’une organisation gouvernementale confirmée et se sentir en sécurité.
Il va alors remplir en toute confiance le formulaire en ligne et transmettre des données personnelles.

En observant les noms de domaine enregistrés le 5 février 2021, nous avons remarqué les enregistrements suivants :

aide-douche-gouv.org
aide-fenetre-gouv.org
douche-1-euro-gouv.org
fenetre-1-euro-gouv.org
panneau-solaire-gouv.org
ballon-eau-chaude-gouv.org

Aucun de ces noms de domaine n’est enregistré par un service de l’Etat. Ils ont été enregistrés dans le but de profiter de la notoriété du service public, leurrer l’internaute pour l’inciter à communiquer des données personnelles en se faisant passer pour un tiers de confiance.

Soyez vigilants sur les informations que vous communiquez !

Souvenez-vous,
le tiret (-) et le point (.) ont une réelle importance

Quelques exemples de sites non-officiels :

L’importance stratégique des noms de domaine du service Public - exemples de sites non-officiels — certificat-nongage-gouv.fr

DSA et DMA, pour une meilleure protection des consommateurs et des marchés numériques plus équitables

Le projet européen de régulation des géants du numérique

Le 15 décembre 2020, la Commission européenne a rendu publique les deux projets de Règlement destinés à transformer significativement le cadre législatif applicable aux plateformes. Avec le Digital Services Act (DSA) et le Digital Market Act (DMA), la Commission concrétise une partie de sa stratégie « Shaping Europe’s Digital Future »présentée à son entrée en fonction, elle entend mieux protéger les consommateurs et leurs droits fondamentaux en ligne et rendre les marchés numériques plus équitables et plus ouverts pour chacun.

Thierry Breton, commissaire au Marché intérieur et Margrethe Vestager, vice-présidente de la Commission européenne, ont démontré l’avant-gardisme de l’Europe en présentant ces deux lois destinées à réguler les marchés numériques européens en sonnant le glas de l’irresponsabilité avérée des géants du numérique.

« Les feux de signalisation ont été inventés pour sécuriser le trafic automobile. Nous faisons la même chose. Alors que le trafic Internet ne cesse de croître, il nous faut des règles pour remettre de l’ordre dans le chaos » a déclaré Margrethe Vestager.

Un texte ambitieux qui veut à la fois s’attaquer à la domination des géants du numérique et à leurs politiques en matière de modération qui s’appliquera à tous les services numériques, notamment les médias sociaux, les places de marché et les plateformes en ligne actives dans l’Union européenne.

Les États-membres espèrent voir ces nouvelles réglementations adoptées d’ici 2022

Un cadre juridique moderne pour garantir la sécurité des utilisateurs établis dans l’Union Européenne et permettre aux entreprises numériques innovantes de se développer.

Deux volets, baptisés Digital Services Act (DSA) et Digital Market Act (DMA), visant à encadrer l’espace numérique de l’Europe et réguler un Internet devenu parfois une « zone de non-droit » pour les grandes plateformes se résumant ainsi « ce qui est autorisé off line doit l’être on line, ce qui est interdit off line doit l’être on line ».

Dans l’ensemble, la proposition de Règlement prévoit des obligations très contraignantes et des sanctions lourdes.

Le Digital Services Act (DSA)

Il responsabilisera les services numériques dans la diffusion de contenus ou produits illicites, dangereux ou contrefaits : discours de haine, harcèlement, contrefaçon, droits d’auteur, contenu terroriste, contenu discriminatoire, contenu pédophile, images privées…

À qui s’applique-t-il ?

Le Digital Services Act (DSA) a qualifié les différents acteurs en adoptant un système d’obligations graduées en fonction de la taille et de l’impact de ces services :

Les services intermédiaires (ex : FAI, bureaux d’enregistrement de noms de domaine).
Les services d’hébergement (ex : services de transport d’informations, services de caching, cloud).
Les plateformes en ligne mettant en lien vendeurs et consommateurs (ex : market places, boutiques d’applications, réseaux sociaux).
Les très grandes plateformes en ligne, détenant au moins 45 millions d’utilisateurs dans l’Union européenne.

Quelles sont les principales mesures contenues dans ce projet ?

Il est apparu nécessaire de revoir la législation encadrant ces acteurs, en établissant des règles plus strictes et plus adaptées aux enjeux contemporains. Un socle commun d’obligations est venu compléter la directive sur le commerce électronique de juin 2000 avec :

L’obligation de créer un point de contact unique à destination des autorités.
L’obligation de transparence en mentionnant dans leurs conditions générales d’utilisation les restrictions réglementaires qui leur sont imposées, notamment s’agissant de la modération des contenus.

S’agissant des prestataires de services intermédiaires, le Digital Services Act ne change pas sensiblement leur régime de responsabilité atténuée prévu par la directive 2000.

S’agissant des obligations applicables aux hébergeurs et aux plateformes en ligne, le règlement leur impose la mise en place d’un système de notification des contenus illicites, qui doit être facilement accessible.

Les hébergeurs et les plateformes devront également informer la personne concernée en cas de suppression d’un contenu ou de blocage d’accès, et en exposer les motifs.

Digital Services Act (DSA) - Les plateformes en ligne auront l’obligation d’agir rapidement et efficacement pour traiter les suppressions de contenu ou prouver leur méconnaissance des faits pour échapper aux sanctions.

S’agissant des obligations applicables aux plateformes en ligne le règlement crée un concept de « signaleur de confiance », vers qui seront dirigées les notifications des contenus illicites. Le règlement impose également des obligations de transparence concernant la publicité en ligne.

S’agissant des très grandes plateformes en ligne le règlement contient un volet d’obligations contraignantes en les obligeant notamment à réaliser une analyse d’impact des risques systémiques engendrés par le fonctionnement de leurs services et leur utilisation, en particulier en matière de modération des contenus et de publicité.

S’agissant des obligations de transparence en matière de publicité en ligne, les très grandes plateformes devront délivrer une information sur les catégories de personnes visées par la publicité, ainsi que les principaux paramètres de sélection utilisés.

L’objectif est ainsi de clarifier les mécanismes utilisés dans la mise en place de la publicité ciblée.

Le Digital Market Act (DMA)

Le Digital Market Act (DMA) lui ne regardera pas les contenus mais le comportement des grandes plateformes sur le marché européen en instaurant des codes sur le comportement anticoncurrentiel et l’abus de position dominante. Il s’agit principalement de toutes les plateformes qui fournissent des services en ligne d’intermédiation et qui sont en mesure de contrôler l’accès au marché.

Qu’est-ce qu’un « gatekeeper » ?

La Commission européenne a pris le parti de créer un critère inédit à travers une nouvelle désignation : la notion de « gatekeepers » (ou « contrôleur d’accès » en français). L’ensemble des 3 critères ci-dessous permet de présumer de la qualité de « gatekeepers », il appartiendra à la société concernée de renverser cette présomption :

avoir au cœur de ses services une plateforme permettant aux utilisateurs commerciaux d’accéder aux consommateurs finaux : Ce critère est présumé rempli si la plateforme recueille plus de 45 millions d’utilisateurs actifs par mois en Europe (10% de la population) et plus de 10 000 utilisateurs commerciaux par an en Europe.
avoir un impact significatif sur le marché intérieur : Ce critère est présumé rempli si la plateforme a réalisé un CA annuel dans l’Espace économique européen (EEE) d’au moins 6,5 milliards d’€ lors de leur dernier exercice.
occuper une position ancrée et durable, laissant supposer que ce sera le cas dans un avenir proche : Ce critère est présumé rempli si les deux précédents sont validés au cours des trois derniers exercices.

Quelles sont les obligations attribuées aux « gatekeepers » ?

Le Digital Market Act pose certaines interdictions et obligations :

ne pas croiser les données utilisateurs recueillies sur un de leurs services avec celles recueillies sur un autre de leurs services sans le consentement de l’utilisateur,
ne pas bloquer l’accès à une plateforme à un utilisateur commercial ou final qui ne serait pas inscrit à cette même plateforme,
fournir des informations sur les prix payés pour la publication des annonces publicitaires,
permettre aux utilisateurs de promouvoir leurs offres et de conclure des contrats hors de la plateforme.

S’agissant des dispositions applicables en fonction des services proposés, les « gatekeepers » auront :

L’interdiction :
- d’opérer un classement plus favorable pour leurs propres produits et services au détriment de produits et services similaires.
- d’empêcher les utilisateurs de désinstaller des applications ou des logiciels pré-installés sur la plateforme, sauf si ceux-ci sont essentiels au bon fonctionnement du service.
L’obligation :
- de fournir l’accès à leurs outils de mesure de performance aux entreprises qui en font la demande.
- d’organiser l’interopérabilité de leurs services, et permettre une portabilité des données des utilisateurs.

Quelles sont les sanctions encourues par les « gate keepers » ?

La Commission Européenne prévoit des sanctions financières en cas de non-respect des dispositions, tout d’abord des amendes pouvant aller de 6% (pour le DSA) à 10% (pour le DMA) du chiffre d’affaires annuel mondial de l’entreprise.

En cas de récidive, la Commission européenne pourra également envisager des reprises structurelles, il sera possible d’aller jusqu’au démantèlement des entreprises qui ne respecteraient pas les règles de concurrence.

La mise en place de ce pack de lois est un édifice considérable affirmant la volonté européenne de s’armer dans la lutte contre la suprématie des géants du numérique pour construire un modèle de régulation ambitieux, durable où la concurrence est préservée et qui fasse référence dans le monde.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description