Actualités Grandes Entreprises Corporate news Le lab des experts

Au cœur des litiges sur les noms de domaine : ce que voient les bureaux d’enregistrement que les autres ne voient pas.

par Gandi News Publié le

Des chiffres récents de l’OMPI (Organisation Mondiale de la Propriété Intellectuelle) révèlent une évolution nette des litiges liés aux noms de domaine. Aujourd’hui, il ne s’agit plus principalement de détournement de trafic, mais d’usurpation d’identité. Faux sites officiels, pages de connexion clonées et campagnes de phishing illustrent la manière dont les noms de domaine sont devenus une arme centrale de l’ingénierie sociale.

« L’OMPI a franchi un nouveau cap en 2025, en traitant plus de 6 200 litiges relatifs aux noms de domaine, soit le volume le plus élevé jamais enregistré. »

Cette tendance est renforcée par l’essor des nouvelles technologies et la professionnalisation croissante de la cybercriminalité. Comme le souligne notre partenaire en cybersécurité, Group-IB, dans son rapport High-Tech Crime Trends Report 2026 .

Ces évolutions mettent en évidence la complexité croissante de la gestion des menaces liées aux noms de domaine. Faire face à ces risques impose aux entreprises d’adopter des stratégies éclairées, tout en posant des défis importants aux professionnels chargés de les gérer.

C’est un sujet qu’Emilie Ogez, Digital Brand Protection & Security Strategist, rencontre fréquemment dans ses échanges avec des professionnels du secteur. Afin d’apporter un éclairage plus concret, elle partage des enseignements tirés de sa propre expérience ainsi que de discussions avec des experts du secteur. Elle s’est entretenue avec son collègue, Directeur Juridique chez Gandi, pour explorer les réalités opérationnelles, les défis auxquels font face les registrars, ainsi que notre approche quotidienne de ces situations.

Cette discussion vise à apporter des éclairages pratiques et directement exploitables pour les personnes confrontées à ces problématiques.

Quel est le rôle d’un bureau d’enregistrement/registrar ?

Un registrar est une entreprise qui propose des services d’enregistrement de noms de domaine (TLD) à des particuliers et/ou des organisations. Pour offrir ces services, il doit obtenir une accréditation. L’une des étapes consiste à signer un RAA avec l’ICANN pour les gTLD et/ou un RRA avec un registre selon le TLD concerné.

À noter que, dans la plupart des cas, l’attribution des noms de domaine repose sur le principe du « premier arrivé, premier servi ».

Ce principe connaît toutefois certaines exceptions, parmi lesquelles : certains TLD réservés et soumis à des conditions spécifiques ; l’activation de services de blocage (tels que Global Block) ; ou encore l’existence d’une marque enregistrée auprès de la TMCH, et pouvant faire l’objet d’un enregistrement prioritaire lors des phases de lancement.

Quelles sont les responsabilités, obligations et limites d’un registrar ?

Le RAA et/ou le RRA constituent le socle contractuel définissant les obligations des parties. Le registrar doit s’y conformer, ainsi qu’au droit local applicable, notamment en matière de responsabilité des intermédiaires en ligne.

Ce cadre comprend notamment des obligations relatives à :

➝ La validation des données de contact (le cas échéant)

➝ Le transfert des noms de domaine

➝ La conservation de certaines données sur le titulaire,

➝ Le respect des procédures de résolution des litiges

➝ Le dépôt de certaines données auprès d’un agent d’entiercement (escrow)

Selon le TLD, les obligations peuvent varier, mais le registrar est généralement chargé :

➝ Permettre l’enregistrement, le renouvellement, le transfert ou la suppression d’un nom de domaine

➝ Collecter, maintenir et protéger les données des titulaires

➝ Informer sur les prix, les procédures de litige et les échéances

➝ Alimenter les données WHOIS

➝ Traiter les signalements d’abus

Concernant ces signalements, le registrar a l’obligation de recevoir et de traiter les abus DNS (section 3.18 du RAA). Ceux-ci incluent les malwares, botnets, phishing, pharming et certains types de spam. Il existe ici une distinction entre le rôle du registrar et celui de l’hébergeur, impliquant des régimes de responsabilité différents.

Le registrar est lié aux politiques des registres et ne « possède » pas les noms de domaine. Il peut être audité par les registres ou l’ICANN. Bien qu’il puisse agir en cas d’abus, il n’est généralement pas responsable du contenu des sites associés.

Il ne peut pas empêcher un transfert de domaine ni refuser de fournir le code d’authentification sauf exceptions.

Parmi ces exceptions figurent :

➝ Litiges en cours (UDRP, décision judiciaire, etc.)

➝ Activation d’un Registry Lock

➝ Suspicion de fraude (compte compromis, tentative de détournement, usurpation d’identité, deepfake, etc.)

➝ Violation des conditions contractuelles (contenus illicites, phishing, escroqueries, etc.).

Quelles sont les conséquences du non-respect de ces limitations ?

Un registrar n’a pas autorité pour régler un conflit entre justiciables. Il n’est ni juge de la contrefaçon, ni juge du tribunal des activités économiques, ni juge du tribunal judiciaire.

Il est en premier lieu tenu à l’enregistrement d’un nom de domaine par une personne (physique ou morale) qui en fait la demande en suivant la règle rappelée ci-dessus « premier arrivé, premier servi ». Un registrar qui agit en dehors de ses responsabilités ou des règles édictées ci-dessus engage sa responsabilité et s’expose à diverses sanctions notamment la perte de son accréditation par le registre (ou de l’ICANN) et/ou voir sa responsabilité civile engagée.

A noter toutefois que lorsque le bureau d’enregistrement est aussi hébergeur, le régime de responsabilité applicables aux hébergeurs techniques s’applique à lui (notamment les dispositions liées à la transposition en droit nationale de la directive européenne*). Il a alors l’obligation d’intervenir promptement suite à une notification de contenu illicite. Le régime de responsabilité qui lui est applicable est alors élargi, on considère en quelque sorte qu’il a d’avantage de moyen pour intervenir au niveau du contenu.

Pour autant, il n’a toujours pas d’obligation générale de surveillance des contenus. Ce régime de responsabilité élargie dans le cas de l’hébergeur est aussi confirmé par le régime spécifique détaillé par la section 512 du Digital Milenium Copyright Act (Safe Harbor). Ainsi le registrar est considéré comme « étranger » au contenu dit contrefaisant et par voie de conséquence, il n’est pas le bon interlocuteur pour recevoir les demandes de suspension d’un contenu présumé contrefaisant.

Le registre quant à lui a autorité sur le TLD et un régime de responsabilité qui est complété par les dispositions de l’article L.45-6 du Code des postes et des communications électroniques notamment. Cet article précise les cas dans lesquels l’office d’enregistrement peut être saisi de la suppression ou du transfert d’un nom de domaine au profit d’un tiers.

Aujourd’hui comment Gandi travaille pour répondre au mieux à ces enjeux?  

À l’heure de la directive européenne**et du règlement Digital Operational Resilience Act (DORA)***, dans un contexte marqué par la hausse des risques cyber et des tentatives de piratage (+107 % de vols de données, +173 % de fraudes au virement, +70 % d’hameçonnage entre 2024 et 2025, ainsi qu’une augmentation de 33 % des pertes liées au cybercrime entre 2023 et 2024, atteignant 16 000 milliards de dollars aux États-Unis (sources)), Gandi affirme son engagement en faveur d’un Internet plus sûr, pour ses clients comme pour l’ensemble des utilisateurs.

Nos programmes de recherche et de développement ainsi que notre politique de Trust & Safety s’inscrivent dans une logique d’anticipation des menaces et des différents abus. Cependant Gandi reste tenu par l’ensemble normatif présenté précédemment et si Gandi décide d’outre passer la responsabilité légale qui lui incombe, nous le ferons dans le cadre du respect de nos obligations contractuelles en se basant principalement sur nos conditions de prestation. 

La direction a également donné aux équipes la possibilité de définir des critères permettant d’identifier des comportements potentiellement abusifs en amont. Les demandes d’enregistrement de noms de domaine sont ainsi analysées à partir de plusieurs indicateurs avant validation ou rejet.

Enfin, notre projet de R&D « Themis », mené avec le Centre National de la Recherche Scientifique (laboratoire LIb6) et Anemod, vise à détecter des schémas d’abus liés aux noms de domaine (typosquatting, phishing), ainsi que les fake news et contenus générés par IA.

Au cours de 2025 Gandi a reçu 25.390 notifications pour un portfolio de plus de 2.300.000 noms de domaine, 200 000 sites, plus de 300 000 boites mails (rapport de transparence 2025 – Gandi), ce qui atteste de la qualité des services de Gandi et de son engagement à lutter contre les abus. Nous sommes aussi intervenus pour empêcher plus de 60.000.000 de courriels d’hameçonnage et de courriers indésirables. 

*Droit national de la directive européenne 8 juin 2000
(https://eur-lex.europa.eu/TodayOJ/index.html?uri=CELEX:32000L0031)

**Directive Européenne NIS2
(https://eur-lex.europa.eu/legal-content/FR/LSU/?uri=oj:JOL_2022_333_R_0002)

***Digital Operational Resilience Act (DORA)
(https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng)

Sources:
Rapport Cybermalveillance 2025:
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2025

FBI Internet Cyber Crime Report 2024:
https://www.ic3.gov/AnnualReport/Reports/2024_IC3Report.pdf

Rapport de Transparence 2025
https://www.gandi.net/fr/digital-service-act-transparency-report

Ces articles pourraient vous intéresser

Abonnez-vous à notre newsletter

Rejoignez plus de 175 000 inscrits pour être tenu(e) informé(e) de nos récentes publications et meilleures offres