I – Les différentes hypothèses d’usurpation de l'identité numérique
E-commerce, e-administration, banque en ligne, boite mails, jeux en ligne, réseaux sociaux, forum, blog, etc … suppose systématiquement une identification, des vérifications ou encore une authentification.
Or, dans le monde numérique, l’identité de chacun se distingue de l’identité que chacun possède dans la vie civile et apparait sous forme d’« identifiants » d’essence numérique et donc par nature davantage vulnérables aux captations frauduleuses de tout type : nom d’utilisateur, psdeudo, avatar, mot de passe, adresse url, adresse IP, numéro de carte bancaire, codes, etc …
De plus, dans l’univers numérique les éléments d’identification ou d’authentification répondent parfois à une volonté d’anonymat qui rend impérative la protection de ces éléments pour garantir la vie privée des personnes.
Cependant, si l’identité numérique de chacun permet de nombreuses actions sur Internet elle permet aussi à des personnes mal intentionnées de les usurper au détriment de leur titulaire.
Ainsi, il n’existe pas un cas d’usurpation d'identité numérique qui serait unique, précis ou identifiable en tant que tel.
En réalité il y a plusieurs situations dans lesquelles une personne cherche à obtenir, détient ou utilise des informations personnelles d'une autre personne sur Internet, sans autorisation et dans un but frauduleux.
La technique d'usurpation la plus courante sur internet, appelée "phishing" ou "hameçonnage".
L’origine du terme provient de l’association de fishing (pêche) et de phreaking qui est la contraction de phone et freak (piratage téléphonique).
Cette ruse consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance - banque, administration - dans le but de lui soutirer des renseignements personnels tel qu'un un numéro de carte de crédit ou un mot de passe.
Le "hameçonnage" se fait généralement par l'envoi d’email réclamant la confirmation de certaines données personnelles, ou par la création de faux sites web destinés à récolter des informations personnelles.
Une fois que la victime a révélé ses identifiants personnels, le fraudeur peut accéder à ses comptes en banque, à sa boîte mails pour opérer des virements, envoyer des spams ou commettre tout autre délit.
La plupart du temps, les vols de données concernent les codes de carte bleue donnant lieu à des transactions d’argent mais l’usurpation peut concerner un compte de messagerie, celui d’une boutique en ligne, un profil facebook, skyblog ou autre réseau social, un compte sur un site marchand tel que e-bay.
Concrètement, les victimes sont confrontées à des messages ou des commentaires désobligeants diffusés sous leur nom, des petites annonces sur des sites particuliers et qui se retrouvent sur des réseaux, des forums, puis et surtout sur Google.
Ainsi, ces usurpations d’identité numérique portent préjudice à la réputation à la victime qui souvent ne s’en rend pas compte immédiatement.
II – Les sanctions de l’usurpation de l'identité numérique
Aussi incroyable que cela puisse paraître, jusqu’à l'adoption du projet de loi sur la sécurité intérieure, dit Loppsi 2, aucune définition ni sanction spécifique du délit d'usurpation d'identité numérique n’est légalement prévue.
Selon l’article 434-23 du code pénal, le fait de prendre le nom d’un tiers, dans des circonstances frauduleuses et sans l’accord du tiers, est puni de 5 ans de prison et de 75.000 euros d’amende. De plus, le faux et l’usage de faux sont punis de trois ans d’emprisonnement et de 45.000 euros d’amende.
Une personne qui se dit victime d’une usurpation d’identité dispose d’un délai de trois ans pour agir en justice à compter du moment où l’identité est usurpée dans des circonstances de nature à déterminer des poursuites pénales.
Ce ne sera que dans l’hypothèse où le comportement de l’usurpateur est tel qu’il commet une infraction pénale que le délit d’usurpation d’identité est constitué.
Par le passé, les juges ont su s’adapter au vide juridique relatif à l’absence de sanctions légales de l'usurpation d'identité numérique.
En matière de phishing, aux termes d’un jugement du 21 septembre 2005, le Tribunal de grande instance de Paris a condamné Robin B pour avoir réalisé sur un site personnel une imitation de la page d’enregistrement à Microsoft MSN Messenger afin de recueillir, des personnes susceptibles de s’enregistrer, des données personnelles et confidentielles sur le fondement de la contrefaçon de marque et la contrefaçon d’un site web.
Par ailleurs, il convient de rappeler que tant le nom que le pseudonyme sont civilement protégé contre les usurpations par les dispositions de l’article 1382 du code civil et que l’article 9 du code civil permettra de mettre en jeu la responsabilité civile de l’usurpateur qui dévoilerait des aspects de la vie privée de la personne dont il a pris l’identité.
Pour conclure, l’article 2 du projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure précité prévoit des dispositions concernant l’usurpation d’identité en ligne en créant une nouvelle infraction.
Cependant, il reste à savoir comment les juges utiliseront cette disposition notamment concernant les moyens de techniques à mettre en œuvre pour constituer la preuve des usurpations de l’identité numérique qui leurs sont soumises et qui n’auront de cesse que d’évoluer au gré des développements de l’Internet.
Je suis à votre disposition pour toute information ou action.
PS : Pour une recherche facile et rapide des articles rédigés sur ces thèmes, vous pouvez taper vos "mots clés" dans la barre de recherche du blog en haut à droite, au dessus de la photographie.
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
Tel : 01 40 26 25 01
Email : abem@cabinetbem.com