Cet article a été rédigé par Jérôme Giusti, avocat au barreau de Paris et spécialiste en Droit de la Propriété Intellectuelle. Il est le co-fondateur du cabinet 11-100-34, spécialisé dans le conseil et l’accompagnement d’entreprises innovantes dans les secteurs de la création, des nouvelles technologies, des télécommunications et des médias.
La sénatrice Jacqueline Panis a présenté une proposition de loi visant à incriminer l’usurpation d’identité numérique. Une telle proposition avait déjà été présentée en 2006, mais le gouvernement l’avait écarté car il estimait qu’il n’était pas nécessaire de modifier la législation.
Pourtant, l’usurpation d’identité sur Internet est un vrai fléau qui prend de plus en plus d’ampleur, les techniques utilisées pour récupérer les données concernant une personne étant de plus en plus sophistiquées. Il existe plusieurs méthodes, certaines simples d’autres plus complexes, permettant de se faire passer pour un autre. On peut très facilement trouver toutes sortes d’informations à caractère personnel sur les sites web, les blogs, les moteurs de recherche et les utiliser pour se faire passer pour un autre. On peut aussi accéder frauduleusement aux bases de données afin d’obtenir des informations relatives aux personnes, l’actualité étant souvent marquée par des hackers qui dérobent des numéros de cartes bancaires (1), ou par la perte ou la révélation de données personnelles de milliers voire de millions de personnes. D’autres techniques plus sophistiquées sont l’œuvre de « professionnels ». Le « phishing » est la plus célèbre. Cette technique consiste à adresser un courriel à un internaute, en se faisant passer pour une banque, une entreprise ou une administration, afin de lui soutirer des informations personnelles (mot de passe, numéro de carte de crédit, codes confidentiels, etc …). D’autres méthodes plus complexes consistent à pirater le nom de domaine d’un site pour attirer l’internaute sur un autre site sans qu’il ne s’en aperçoive (« pharming ») ou à usurper l’adresse IP d’une machine pour récupérer des données en se faisant passer pour celle-là (« spoofing »).
En l’état actuel du droit, il n’existe pas de texte spécifique (2) et les dispositions existantes ne sont pas satisfaisantes. En premier lieu, l’usurpation d’identité n’est un délit pénal que dans des cas très précis d’utilisation d’une fausse identité, c’est-à-dire dans un acte authentique ou un document administratif destiné à l’autorité publique (3) ou pour faire établir un extrait de casier judiciaire (4). De plus, l’article 434-23 du code pénal punit de 5 ans d’emprisonnement et de 75 000 € d’amende « le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou qui auraient pu déterminer contre celui-ci des poursuites pénales ». On constate que deux conditions doivent être remplies pour sanctionner le malfaiteur :
1/ que l’usurpation entraîne un risque pénal pour la victime
2/ qu’il y ait eu un usage frauduleux du nom de la victime. Ce sont donc les conséquences de l’usurpation et non pas l’usurpation elle-même qui est sanctionnée comme le constate Mme Jacqueline Panis. De plus, dans l’univers numérique, on peut usurper plus de données que le simple nom d’une personne comme par exemple, son adresse IP, son identifiant, son mot de passe, etc.
La proposition de loi a donc pour but de combler ce vide juridique. Elle propose donc d’insérer un nouvel article dans le code pénal (5) punissant « d’un an d’emprisonnement et de 15 000 € d’amende le fait d’usurper sur tout réseau informatique de communication l’identité d’un particulier, d’une entreprise ou d’une autorité publique ». D’autre part, il est précisé que « ces peines se cumulent avec celles qui auront été prononcées pour l’infraction à l’occasion de laquelle l’usurpation a été commise ».
Il reste maintenant à définir ce qu’il convient d’entendre par « identité » et quels sont les actes qui seront incriminés. On peut supposer que tous les actes de captation, transmission et utilisation de l’identité sont visés par la proposition de loi. Mais en ce qui concerne la définition de cette « identité », on peut se demander quelles données seront concernées, notamment si l’adresse IP doit être prise en compte alors que la jurisprudence et le gouvernement français (6) ne la considère pas comme une donnée à caractère personnelle, c’est-à-dire comme une donnée identifiant une personne. A suivre, donc …
(1) Le plus bel exemple est certainement le piratage du compte bancaire du Président de la République par des escrocs effectuant des prélèvements grâce à ces données « présidentielles ».
(2) Parmi les états de l’Union européenne, seul le droit britannique punit (lourdement, 10 ans de prison) le vol d’identité en ligne.
(3) Article 433-19 du code pénal.
(4) Article 781 du code pénal.
(5) Article 323-8 code pénal :
« Est puni d’un an d’emprisonnement et de 15 000 euros d’amende, le fait d’usurper sur tout réseau informatique de communication l’identité d’un particulier, d’une entreprise ou d’une autorité publique.
« Les peines prononcées se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l’infraction à l’occasion de laquelle l’usurpation a été commise ».
(6) Contrairement à la jurisprudence et aux institutions européennes.
Jeu de briques
Snake
Pacman
Bubble