Le 22 novembre 2016, à 16h05 précises, le groupe Vinci est victime d’une usurpation d’identité. Plusieurs médias reçoivent un faux communiqué de presse faisant état d’une révision des comptes consolidés de Vinci pour l’exercice 2015 et le premier semestre 2016 suite à de supposées malversations comptables.

En 2019, l’agence de presse américaine [1] avait formé un recours contre une décision de la commission des sanctions de l’AMF [2].

L’audience devant la cour d’appel se tiendra ce jeudi 10 juin 2021. Bloomberg avait été condamné à 5 millions d’euros pour avoir relayé une information émanant d’un faux communiqué de presse Vinci.

La diffusion par Bloomberg d’un faux communiqué.

L’agence de presse américaine Bloomberg est accusée d’avoir diffusé, en 2016, une fausse information sur Vinci sans l’avoir vérifiée.

Le 22 novembre 2016, à 16h05 précises, le groupe Vinci est victime d’une usurpation d’identité. Plusieurs médias reçoivent un faux communiqué de presse faisant état d’une révision des comptes consolidés de Vinci pour l’exercice 2015 et le premier semestre 2016 suite à de supposées malversations comptables.

Le faux communiqué indique aussi que le directeur financier a été licencié. Moins d’une minute après, soit entre 16h06 et 16h07, Bloomberg reprend l’information et la divulgue sur son terminal. Le titre Vinci dévisse alors de 18%.

Ce communiqué avait même été signé du nom du véritable responsable des relations presse de Vinci, tout en renvoyant à un faux numéro de téléphone portable.

En défense, les mis en cause font observer devant la commission que le ton, l’absence de faute d’orthographe, la mise en page soignée, les références exactes à certains dirigeants de Vinci ou à ses commissaires aux comptes, la mention du véritable porte-parole de Vinci ainsi que la vraisemblance du pied du communiqué, qui contenait un lien permettant de se désinscrire de la liste de diffusion de Vinci et alertait le destinataire sur le traitement automatisé des données, en mentionnant les coordonnées du véritable correspondant Cnil de Vinci, ne différenciaient pas ce communiqué d’un véritable communiqué de presse établi par Vinci.

La problématique du nom de domaine dans le faux communiqué.

Seules inexactitudes dans le faux communiqué : le nom de domaine [3] du faux site Vinci vers lequel renvoyait le communiqué et le faux numéro de téléphone portable du « contact médias ».

Le communiqué frauduleux avait également été reçu par l’Agence France Presse, qui n’avait pas donné suite après s’être aperçue que ce document avait été mis en ligne sur un site internet miroir, très similaire du vrai site mais avec une adresse distincte (vinci.group et non vinci.com).

Comment protéger son nom de domaine ?

Les noms de domaines représentent un actif immatériel essentiel pour les entreprises puisqu’ils permettent d’accéder aux sites internet liés à leur activité.

Désormais, protéger les noms de domaine associés à la marque [4] ou à l’activité de l’entreprise est devenu presque aussi important pour celle-ci que la protection de ses marques.

Par ailleurs, les noms de domaine sont le support privilégié des cyberattaques exigeant une vigilance accrue de la part des titulaires et des internautes.

Phishing, fraude au président, usurpation d’identité, fausses offres d’emploi, vol de données personnelles ou bancaires, whaling… les fraudes sont multiples et s’adaptent continuellement aux avancées technologiques.

Les fraudes sont facilitées par les dispositions très protectrices du RGPD qui empêchent d’identifier directement le réservataire d’un nom de domaine ; les prestataires techniques s’abritent derrière les dispositions du RGPD et de la LCEN pour justifier leur inaction et laisser des fraudes perdurer.

Ces risques peuvent entraîner une atteinte à l’image et à la réputation. Il y a aussi un impact financier avec le risque détournement de fonds et de blanchiment d’argent.

Le Guide de l’Information périodique des sociétés cotées de l’AMF (du 17/06/2020) précise que les entreprises doivent pouvoir anticiper le risque et y répondre.

Pour protéger son nom de domaine des cybersquatteurs [5] ou des concurrents, il est recommandé d’enregistrer également le nom de domaine sous forme de marque en complément de la réservation du nom de domaine.

Il arrive donc fréquemment que l’entreprise, ses prestataires, ses fournisseurs ou ses clients soient victimes d’une fraude alors que le nom de domaine à l’origine de la fraude était connu.

Dans une telle situation, la responsabilité de l’entreprise et de ses dirigeants pourrait être engagée, autant par les consommateurs que par les organes de régulation, les actionnaires ou les employés.

Comment anticiper le risque pour être en conformité ?

 Procéder à un audit de la marque corporate et des marques phares de la société, parmi les noms de domaine, pour dresser une cartographie des risques ;
 Mettre en place une surveillance 7j/7 parmi les noms de domaine sur la marque corporate et une surveillance 7j/7 ou a minima hebdomadaire sur les marques des produits ou services de la société ;
 Mettre en place une surveillance sur les réseaux sociaux comme Facebook, Instagram, Twitter et LinkedIn ;
 Procéder à des enregistrements préventifs de noms de domaine dans les extensions à risque (en.COM, CO, CM, GROUP par exemple) ;
 Agir préventivement à l’encontre de noms de domaine potentiellement dangereux ;
 Définir des procédures et mettre en place une cellule de gestion de crise pour réagir aux atteintes en cas d’urgence ;
 Elaborer ou mettre à jour de la politique noms de domaine de l’entreprise (procédures d’enregistrement, respect des obligations légales, bonnes pratiques) et la diffuser en interne et auprès de ses prestataires et fournisseurs.

Les cybermenaces sont plus nombreuses et plus complexes et il est également de plus en plus compliqué de poursuivre les réservataires concernés. Plus que jamais, une surveillance s’impose avec la mise en place d’une cartographie des risques et une stratégie de défense.

Faites vous accompagner pour mettre en place une stratégie adaptée afin de limiter les risques liés aux noms de domaine et d’intégrer l’actif propriété industrielle dans vos plans de compliance.

Nathalie Dreyfus _ Conseil en Propriété Industrielle _https://www.dreyfus.fr/