Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

La création d’un délit d’usurpation d’identité numérique

Publié le par

La création du délit d’identité numérique marque une avancée importante dans la prise en compte par le droit pénal de la spécificité des nouvelles technologies. Prévue par l’article 2 de la loi d’orientation et de programmation pour la performance de la sécurité intérieure, cette nouvelle incrimination vient combler un vide juridique au moment où le web participatif est en constante progression.

Il ne s’agit pourtant pas d’une idée totalement nouvelle puisqu’elle avait déjà été proposée dès 2006 par le sénateur Michel Dreyfus-Schmidt qui regrettait le vide juridique en la matière. A l’époque, le gouvernement n’avait pas retenu cette proposition en estimant que le droit pénal était complet. Plusieurs parlementaires estimaient en effet que le délit d’escroquerie, en raison de sa formulation neutre (voir article 313-1 du Code Pénal), permettait de répondre efficacement à l’usurpation d’identité sur Internet.

Il faut aussi noter que le Code pénal contient un article 434-23 selon lequel : « Le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75000 euros d’amende». Par une interprétation extensive de cette disposition, la Cour de cassation a considéré que le fait d’utiliser l’adresse électronique d’un tiers, lorsqu’il s’en est suivi un risque de poursuites pénales pour cette personne, constitue un délit d’usurpation d’identité (arrêt du 20 janvier 2009 de la chambre criminelle de la Cour de cassation).

Néanmoins, toutes les situations n’étaient pas prises en compte par la loi, notamment celles qui n’avaient pas de conséquences juridiques ou économiques. De même, certains comportements comme le « phishing » ou « hameçonnage » ne pouvaient pas être appréhendés par le droit pénal dans la mesure où l’usurpation d’identité en elle-même n’était pas sanctionnée.

L’idée d’un nouvel article incriminant spécifiquement l’usurpation d’identité sur Internet a donc fait son chemin jusqu’au dépôt d’un projet de loi le 29 mai 2009. La Loi d’orientation et de programmation pour la performance de la sécurité intérieure (ci-après LOPPSI II) a réintroduit le concept d’usurpation d’identité numérique qui pourrait bientôt figurer dans le Code pénal puisque le texte a été adopté par l’Assemblée Nationale en première lecture le 16 février 2010.

I) Disposition pertinente de la loi

Article 2 de la LOPPSI II (dans sa version du 16 février 2010) :

Le Code pénal est ainsi modifié :

1° Les articles 222-16-1 et 222-16-2 deviennent respectivement les articles 222-16-2 et 222-16-3 ;

2° L’article 222-16-1 est ainsi rétabli :

« Art. 222-16-1. – Le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende.

« Est puni de la même peine le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de porter atteinte à son honneur ou à sa considération. »

II) Les modifications apportées par les députés

Depuis le dépôt du projet de loi et l’adoption en première lecture, deux modifications importantes ont été apportées.

Dans sa rédaction initiale, le projet de loi prévoyait une condition de réitération : « le fait d’utiliser, de manière réitérée, sur un réseau de communication électronique l’identité d’un tiers ou des données qui lui sont personnelles, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende ».

Ainsi la formulation générale du texte semblait maladroite : lorsque le délit d’usurpation d’identité était réalisé en vue de troubler la tranquillité d’autrui, il devait être effectué « de manière réitérée » alors que s’il était réalisé en vue de porter atteinte à l’honneur ou à la réputation, un seul acte suffisait (l’alinéa 2 ne prévoyant pas cette condition). Finalement, les députés ont abandonné la notion de réitération pour caractériser le délit d’usurpation d’identité.

L’autre modification a consisté à remplacer la notion de données personnelles par la notion de « données de toute nature » permettant l’identification. Cette modification permet de détacher le délit d’usurpation d’identité numérique de la notion de donnée personnelle telle que définie par la loi informatique et libertés de 1978. Au sens de l’article 1er de cette loi, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Il faut désormais comprendre qu’une donnée de toute nature permettant l’identification est différente d’une donnée personnelle. Sur ce point, la jurisprudence apportera les interprétations et les clarifications nécessaires pour affiner cette notion, au besoin en se référant à l’interprétation de la notion de vie privée qui ressort de la jurisprudence de la Cour européenne des droits de l’homme. Dans un arrêt Amann contre Suisse du 16 février 2000, la Cour définit la vie privée de la façon suivante : « le terme « vie privée » ne doit pas être interprété de façon restrictive. En particulier, le respect de la vie privée englobe le droit pour l’individu de nouer et développer des relations avec ses semblables ; de surcroît, aucune raison de principe ne permet d’exclure les activités professionnelles ou commerciales de la notion de « vie privée ».

III) Les éléments constitutifs du délit d’usurpation d’identité numérique

Le délit d’usurpation d’identité sur Internet comprend deux caractéristiques:

  • L’élément matériel de l’infraction: l’utilisation de l’identité d’un tiers ou de données de toute nature permettant de l’identifier sur un réseau de communication électronique.
  • L’élément intentionnel de l’infraction: cette utilisation doit être faite dans le but de troubler la tranquillité d’un tiers ou en vue de porter atteinte à son honneur et à sa réputation.

L’élément matériel du délit est réalisé à partir d’un réseau de communication électronique, ce qui vise notamment l’envoi de courriers électroniques mais aussi la publication d’un message sur un blog ou un réseau social. Il semble que le web 2.0 soit particulièrement visé par ce texte dans la mesure où la mise en ligne d’une photo ou d’un texte via un outil participatif peut facilement nuire à la tranquillité ou à la réputation d’un tiers. Certains sites Internet sont même clairement visés par le rapporteur du projet de loi, le député Eric Ciotti qui fait le constat suivant: « L’usurpation d’identité sur internet doit également être plus sévèrement sanctionnée. Jusqu’à présent, elle ne pouvait être poursuivie que s’il en avait résulté un préjudice financier. Or, cette usurpation peut avoir de très graves conséquences non financières, par exemple en matière de diffamation. La multiplication des forums de discussion et des réseaux sociaux de type Facebook en a accru les risques. Le projet rend désormais condamnable l’usurpation de l’identité d’autrui sur internet, même sans préjudice financier ».

La notion d’identité n’est pas définie dans le texte. On peut en déduire que ce terme, créée spécialement pour l’univers numérique, recouvre à la fois les identifiants électroniques d’une personne, mais aussi son véritable nom, son surnom ou son pseudonyme. L’identité numérique d’une personne peut apparaitre sous des formes dont la diversité n’aurait pas pu être prise en compte par une définition précise. Outre les noms d’utilisateurs, citons aussi les mots de passe, adresses URL, adresse IP, avatar etc. Il faut aussi noter que l’article 434-23 du Code pénal réprimant le délit d’usurpation d’identité ne définit pas non plus la notion d’identité.

L’élément intentionnel de l’infraction est susceptible de poser plus de difficultés pour le juge. Le texte prévoit que le délit est caractérisé dès lors qu’il est réalisé en vue de troubler la tranquillité d’autrui ou de porter atteinte à son honneur ou à sa réputation. Il faut noter que l’infraction d’usurpation d’identité numérique est insérée dans la section du Titre II du Livre II de la partie législative du Code pénal intitulée « atteintes volontaires à l’intégrité physique ou psychiques des personnes » à la suite de l’article 222-16 qui réprime les appels téléphoniques malveillants. A ce sujet, le rapporteur du projet de loi note « que l’objet même de l’infraction la rapproche du délit d’appels malveillants par son objet (trouble à la tranquillité publique) et son caractère réitéré ».

La condition de réitération ayant été retiré du texte, des doutes subsistent quant à l’interprétation de cet élément intentionnel. Par exemple, la publication d’une photo sur un réseau social constitue pour certaines personnes une atteinte à la tranquillité dans la mesure où elles ne veulent pas être identifiées sur Internet. Pour la personne qui met en ligne la photo litigieuse, il n’est pas certain que son intention soit de nuire à la tranquillité d’autrui. Dans ce contexte, il appartiendra au juge, par son interprétation, de définir les conditions d’application de l’élément intentionnel de cette nouvelle incrimination et d’en préciser les contours.

IV) Les hypothèses d’usurpation d’identité numérique

Le rapporteur du projet de loi, le député Eric Ciotti, donne plusieurs exemples d’actes qui pourront être qualifiés d’usurpation d’identité numérique en visant à la fois « la lutte contre l’usurpation d’identité et le harcèlement sur les réseaux de communications électroniques ». Toujours selon le député : « La nouvelle incrimination permettra de répondre à des actes malveillants tels que l’affiliation d’un tiers à un parti politique ou une association par l’utilisation frauduleuse de son adresse électronique ou l’envoi d’un faux message électronique par le détournement de l’adresse d’un tiers » (C’est nous qui soulignons).

Dans le monde numérique, la technique d’usurpation d’identité la plus courante bien connue des spécialistes est appelée phishing ou hameçonnage et consiste à faire croire à la victime qu’elle communique à un tiers de confiance, généralement par courrier électronique mais pouvant aussi prendre la forme d’un faux site Internet, comme par exemple une banque, un opérateur de téléphonie, une administration etc. L’objectif de cette technique est de soutirer des renseignements personnels, identifiant et mot de passe. Peu importante lorsqu’elle concerne des données liées à un profil quelconque, cette technique peut permettre d’obtenir des données bancaires et se révéler ainsi très dommageable.

V) Les sanctions

Le nouvel article 222-16-1 prévoit des peines identiques à celles prévues pour les appels téléphoniques malveillants : un an d’emprisonnement et 15 000 euros d’amende. Pour les personnes morales, ces peines sont aggravées :

  • une amende dont le montant est quintuplé par rapport à celui encouru par les personnes physiques, soit 75 000 euros ;
  • les peines mentionnées à l’article 131-39 du Code pénal, au titre desquelles figurent, notamment : la dissolution, lorsque la personne morale a été créée pour commettre l’infraction ; l’interdiction définitive ou temporaire d’exercer directement ou indirectement une activité professionnelle ou sociale à l’occasion de laquelle l’infraction a été commise ; le placement sous surveillance judiciaire ; l’exclusion temporaire ou définitive des marchés publics.
Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK