|
UNIVERSITE PANTHEON- ASSAS PARIS II
DROIT- ECONOMIE-SCIENCES SOCIALES
L' USURPATION D'IDENTITÉ
SUR INTERNET
Année universitaire 2008 - 2009 Melle FAGET Marie
SOMMAIRE
SOMMAIRE 2
INTRODUCTION 3
I LES DIFFERENTS MODES D'USURPATION D'IDENTITE
5
A L'USURPATION D'IDENTITE, MOYEN D'ATTEINTE AUX INTERETS
EXTRAPTARIMONIAUX DE LA PERSONNE 5
B L'USURPATION D'IDENTITE, MOYEN D'ATTEINTE AUX INTERETS
PATRIMONIAUX DE LA PERSONNE 6
II LES SOLUTIONS JURIDIQUES ET TECHNIQUES CONTRE
L'USURPATION D'IDENTITE 8
A LA SOLUTION JURIDIQUE : LA SANCTION DE L'USURPATION
D'IDENTITE 8
1)
L'USURPATION D'IDENTITE SANCTIONENE COMME MOYEN DE
COMMETRE D'AUTRES INFRACTIONS 8
2)
L'ABSENCE DE DELIT SPECIQUE DE L'USURPATION D'IDENTITE
SUR INTERNET 11
B LA SOLUTION TECHNIQUE : LA PREVENTION CONTRE
L'USURPATION D'IDENTITE 12
1) LES MOYENS TECHNIQUES SUECTPTIBLES D'ETRE MIS EN
OEUVRE PAR LES ENTREPRISES 12
2) LES MOYENS SUSCEPTIBLES D'ETRE MIOS EN OEUVRE PAR LES
PARTICULIERS 13
CONCLUSION 16
BIBLIOGRAPHIE 17
INTRODUCTION
« Si dans le monde réel, nul ne peut s'attribuer
une identité qui ne soit pas reconnue par les autorités
publiques, dans le monde virtuel il en va tout autrement. «
L'identité
numérique » échappe à toute
attribution par une autorité publique, c'est à dire que
les
éléments qui la composent ne relèvent pas de
l'identité juridique de la personne »1.
Le terme identité vient du latin identitas qui
découle lui même du mot idem qui signifie « le
même ». Le terme identité peut être défini comme
« ce qui fait qu'une personne est elle-même et non une autre
» 2. L'identité permet donc de distinguer une
personne d'une autre. L'identité est un concept complexe car les
éléments qui concourent à identifier et à
individualiser chaque personne sont non seulement constants et stables (nom,
prénom, sexe de la personne) mais aussi variables (comportement,
personnalité, physiologie de la personne), l'être humain
évoluant tout au long de son existence. Les éléments de
l'identité d'une personne saisis par le droit sont les attributs
traditionnels émis par les autorités publiques (carte
d'identité, passeport, état civil, permis de conduire,
numéro de sécurité social). Il s'agit donc des
éléments stables de la personne: nom, prénom,
domicile....
Sur Internet, les éléments qui
définissent une personne ne se résument pas à son
état civil. D'autres éléments, inconnus dans le monde dit
« réel », tels que le mot de passe, le pseudonyme, l'adresse
IP, et l'adresse électronique identifient une personne.
L'usurpation d'identité peut être définie
comme « la pratique par laquelle une personne utilise
ou exploite sciemment les informations personnelles d'une
autre personne à des fins illégales »3
L'usurpateur d'identité emprunte donc de façon définitive
ou temporaire l'un des éléments identifiants de la personne.
L'usurpation d'identité n'est pas une pratique
nouvelle, le droit protégeant depuis longtemps les atteintes au nom s'il
en découle un risque pénal pour la personne. Pour que cette
usurpation soit sanctionnée, il est nécessaire de prouver que des
éléments identifiants de l'état
1 J. Panis, Exposé des motifs de la proposition de loi
relative à la pénalisation de l'usurpation d'identité
présenté au Sénat le 6 novembre 2008.
2 Vocabulaire juridique de l'Association Henri Capitant,
édition PUF, 7e édition.
3 O. Itéanu, L'identité
numérique p. 139, édition Eyrolles.
civil de la personne, entrainant un risque de confusion,
d'assimilation entre l'usurpateur et le titulaire, ont été
utilisés4.
Dans l'univers numérique, l'usurpation
d'identité ne concerne pas seulement le nom de la personne. La captation
et l'utilisation frauduleuse de tout élément qui concourent
à identifier la personne peuvent permettre de se faire passer pour
quelqu'un d'autre. L'usurpation d'identité connaît un regain
d'intérêt avec Internet, les auteurs d'usurpation
d'identité disposant d'outils techniques sophistiqués pour
usurper les identifiants des internautes. Ces usurpations sont non seulement
plus fréquentes mais causent également des dommages d'une ampleur
potentiellement supérieure.
Or, on constate que les différents identifiants
numériques ne sont pas tous juridiquement protégés. Ainsi
l'usurpation d'un pseudonyme ou d'un mot de passe n'est pas sanctionnée
en tant que telle car ces identifiants ne sont pas reconnus par le droit comme
des signes d'identité.
Après avoir envisagé les différents modes
d'usurpation d'identité (I), nous verrons les solutions juridiques et
techniques possibles contre l'usurpation d'identité numérique
(II)
4 CA Paris 8 mars 1966, JCP G 1967, II, 14934 note P. Nepveu.
I Les différents modes d'usurpation
d'identité
Dans ce paragraphe, une typologie des principales usurpations
d'identité susceptibles de se produire sur Internet sera
réalisée. Nous allons subdiviser nos parties en fonction de la
finalité de l'usurpation d'identité : d'un coté l'atteinte
aux intérêts extra-patrimoniaux5 de la personne (A), de
l'autre, l'atteinte aux intéréts patrimoniaux de la personne
(B).
A L'usurpation d'identité, moyen d'atteinte aux
intérêts extra-patrimoniaux de la personne
Les blogs, forums, réseaux sociaux, messageries
électroniques ne proposent aucun système permettant de
contrôler l'exactitude des données fournies par l'internaute lors
de son inscription. Dès lors, toute personne a la possibilité de
ne pas donner sa véritable identité, voire d'utiliser le nom
d'une autre personne dans le but de se faire passer pour elle. L'usurpateur
peut soit copier l'identité numérique préexistante d'une
personne, soit créer l'identité numérique d'une personne
qui n'en disposait pas à l'origine pour l'usurper.
En 2007, un individu a voulu montrer la facilité de
créer des faux profils sur les réseaux sociaux. Il a
créé sur le réseau social Facebook un profil sous le nom
d'Alain Juppé et ce profil est resté actif pendant près de
3 semaines6. Si la plupart des faux profils sur les réseaux
sociaux sont seulement des plaisanteries7, voire des mises en garde
contre ce genre de pratique (cas de l'usurpation d'identité d'Alain
Juppé), ces usurpations peuvent être un moyen d'attenter à
la réputation de la personne.
Dans un arrêt rendu par la Chambre criminelle de la Cour
de cassation datant du 29 mars 2006, un certain Jean X avait envoyé un
message électronique diffamatoire à plusieurs personnes sous la
signature d'André Y dans le but de lui nuire8.
Dans un jugement datant du 16 juin 2006, le tribunal
correctionnel de Carcassonne a jugé une affaire dans laquelle un tiers
fréquentait un site de rencontres sous le nom d'une autre
personne9. L'auteur de cette usurpation d'identité faisait
passer la personne pour une femme facile et communiquait ses coordonnées
à tous les membres du site de sorte que la victime de cette usurpation
recevait un nombre important d'appels.
5 Par intérêt extra-patrimonial on entend la
catégorie hétérogène de préjudice qui
regroupe l'atteinte aux sentiments, à l'honneur, à la
réputation, aux droits de la personnalité.
6Reuters:
http://www.01net.com/editorial/365566/un-faux-alain-juppe-sur-facebook/
7 On dénombre une quinzaine de Nicolas Sarkozy,
Ségolène Royal sur facebook mais aussi des Jules Cesar, Elvis
Presley.
8 Cass. Crim. 29 mars 2006, E. Caprioli De l'usurpation
d'identité en matière pénale, CCE juillet-août
2006 p.39-40. Nous reviendrons sur cet arrêt dans d'autres
développements de ce mémoire.
9 Tribunal correctionnel Carcassonne 16 juin 2006.
L'usurpation d'identité portant atteintes aux
intéréts extra-patrimoniaux d'une personne est donc
aisément effectuée dans l'univers numérique et est
susceptible d'avoir des conséquences préjudiciables importantes.
L'usurpation d'identité est également et le plus souvent surtout
pratiquée dans le but d'attenter aux intéréts patrimoniaux
(B).
B L'usurpation d'identité, moyen d'atteinte aux
intérêts patrimoniaux de la personne
L'usurpation d'identité sur Internet est
essentiellement un moyen de retirer un avantage économique. Les
techniques d'usurpation d'identité sont diverses et de plus en plus
sophistiquées. Nous allons présenter les trois principales
d'entre elles.
Tout d'abord, le phishing (hameçonnage en
français), est un terme dérivé du mot anglais <
fishing », qui signifie pêcher à la ligne et du mot
< phreaking » qui désigne l'utilisation frauduleuse des
lignes téléphoniques10. En règle
générale, la personne à l'origine du phishing envoie un
courrier électronique à un internaute en se faisant passer pour
une entreprise (généralement une banque) ou une autorité
publique en reproduisant le logo ou l'en-tête de la personne morale. Le
courrier électronique contient un lien hypertexte renvoyant vers une
page web qui est la copie conforme de celle de l'institution ou de l'entreprise
(< site miroir »). Sous des motifs de panne informatique ou de mise
à jour, le courrier électronique invite l'internaute à
cliquer vers le lien hypertexte afin qu'il saisisse des informations
confidentielles le concernant telles que des mots de passe ou des
numéros de son compte bancaire, de sa sécurité sociale.
L'auteur du phishing obtient de cette manière directement et facilement
des informations confidentielles d'une personne11.
Le phishing combine ainsi une technique informatique complexe,
qui permet la mise en scène d'une entité réelle et connue
en se faisant passer pour elle, avec la crédulité de
l'internaute, dont la confiance a été trompée et qui pense
naïvement révéler ses informations à la personne
morale dont le logo ou l'en-tête a été copié. Ce
système de fraude aurait touché 2 millions de personne aux
Etats-Unis et couté 1,2 milliards de dollars en 2003 aux banques
américaines12. Si à l'heure actuelle, le phishing est
essentiellement utilisé pour attenter aux intérêts
financiers des personnes physiques ou morales, il est possible que cette
technique se développe par la
10 F. Duflot «Phishing » : les dessous de la
contrefaçon, RLDI janvier 2006 p.54.
11 N. Martin Phishing: What's happening? Quelles solutions
juridiques pour lutter contre le phishing?, Expertises février 2006
p. 65.
12 Etude du cabinet Gartner, juin 2004.
suite pour devenir un outil d'espionnage industriel. En effet,
l'auteur du phishing pourrait, grâce aux mots de passe des
salariés, accéder aux serveurs d'une entreprise13.
Ensuite, le pharming est une forme de phishing plus
perfectionnée, qui consiste à pirater le système de
nommage d'un site Internet14. L'auteur du pharming pirate un nom de
domaine (le plus souvent le nom de domaine d'une banque). Pour mettre en oeuvre
ce piratage, les auteurs de pharming utilisent un virus de type « cheval
de Troie » qui s'installe sur le disque dur de l'internaute. Le cheval de
Troie est un « logiciel malveillant dissimulé derrière
l'apparence d'un logiciel légitime conçu pour exécuter
discrètement des actions à l'insu de l'utilisateur
»15. Tout internaute dont l'ordinateur a été
infecté par ce cheval de Troie, sera redirigé vers un faux site
web imitant celui de l'entreprise ou de l'institution lorsqu'il saisira leur
adresse Internet. S'il saisit des informations confidentielles sur le faux
site, ces informations lui seront dérobées. Cette technique,
difficile à détecter, est encore plus pernicieuse que le phishing
car même un internaute vigilant est susceptible d'être victime de
cette atteinte.
En juillet 2007, les banques CIC et Crédit Mutuel ont
alerté leurs clients des risques de pharming susceptibles de se produire
sur leur page Internet16.
Enfin, le spoofing est une variante du pharming consistant
à pirater l'adresse IP d'un
ordinateur dans le but de se
l'approprier17. L'adresse IP (Internet Protocol) est une
«Série de
Internet»18. Cette technique permet
de masquer l'adresse IP réelle de l'ordinateur avec lequel il se
connecte sur Internet. Le pirate aura ainsi la possibilité de faire
passer des paquets sur un réseau sans que ceux-ci ne soient
interceptés par le système de filtrage du pare-feu19.
En effet, comme les systèmes pare-feu fonctionnent
généralement grâce à des règles de
filtrage,
13 B. Amaudric du Chaffaut et T. Limouzin-Lamothe,
Une nouvelle forme de criminalité informatique à
l'épreuve de la loi : le phishing, Expertises avril 2005 p.
140& s.
14 O. Itéanu, L'identité
numérique p. 143, édition Eyrolles.
15 Cybercriminalité : morceaux choisis, AJ
Pénal n° 3/2009 de mars 2009 p. 120.
16 K. Solovieff,
http://www.01net.com/editorial/355464/les-clients-de-banques-francaises-sont-la-cible-dunvirus-tres-vicieux/
17 O. Itéanu, L'identité
numérique p. 143, édition Eyrolles.
18 Dossier Cybercriminalité : morceaux choisis,
AJ Pénal n° 3/2009 de mars 2009 p. 120.
19
Le pare-feu (firewall en anglais) est un logiciel
permettant de protéger un ordinateur des intrusions provenant notamment
du réseau Internet.
indiquant les adresses IP autorisées à communiquer
avec les machines internes au réseau, le pirate qui usurpe une adresse
IP autorisée pourra accéder au réseau en toute
liberté20.
L'usurpation d'identité, moyen d'atteindre les
intérêts extra-patrimoniaux de la personne est
réalisée avec une étonnante facilité sur Internet
car tout individu peut s'enregistrer sous le nom d'un tiers sur les services de
communication électronique. L'usurpation d'identité, pour
atteindre les intérêts patrimoniaux de la personne ne cesse
d'évoluer grace aux moyens techniques offerts par Internet. Ce type
d'usurpation d'identité s'éloigne de plus en plus des usurpations
d'identités « classiques », reposant dans l'usurpation du nom
d'une personne.
Face au constat du développement de ces pratiques
malveillantes, le droit et la technique offrent des solutions qui ne sont pas
toujours pleinement satisfaisantes (II).
II Les solutions juridiques et techniques contre
l'usurpation d'identité
L'usurpateur d'identité doit pouvoir etre
sanctionné pour les actions qu'il a commises (A). Toutefois, une
politique exclusivement répressive n'est pas pleinement satisfaisante.
Des moyens de prévention techniques doivent également être
mis en place pour endiguer les usurpations d'identités numériques
(B).
A IIa solution juridique : la sanction de l'usurpation
d'identité
L'usurpation d'identité n'est à l'heure actuelle
sanctionnée que lorsqu'elle « entraine un risque pénal
pour la victime de l'usurpation »21(1). En effet, il
n'existe pas d'infraction spécifique sanctionnant l'usurpation
d'identité de manière autonome à l'heure actuelle (2).
1) L'usurpation d'identité sanctionnée comme
moyen de commettre d'autres infractions
Même si la personne, victime de l'usurpation de son nom
a la possibilité d'engager une action civile contre l'auteur de
l'usurpation, nous n'envisagerons dans cette partie que les règles du
droit pénal permettant de sanctionner l'usurpation d'identité.
Les appréhensions pénales possibles de l'usurpation
d'identité sont multiples mais leur champ d'application est
restrictif.
20 Usurpation d'adresse IP
http://www.commentcamarche.net/contents/attaques/usurpation-ip-spoofing.php3
21 C. Manara Conditions de la sanction de
l'usurpation de nom sur Internet, D. 2006 p. 1443&s.
L'article 434-23 du code pénal22 sanctionne
la personne qui prend le nom d'un tiers dans des circonstances qui ont
déterminé ou auraient pu déterminer contre le tiers
usurpé des poursuites pénales. Il est donc nécessaire de
prouver que non seulement l'auteur de l'usurpation a pris le nom d'un tiers
(première condition), mais encore que cet usage a été fait
dans l'intention de rendre ce tiers passible d'une sanction pénale
(deuxième condition)23. Le pseudonyme, l'adresse
électronique, le mot de passe ou encore l'adresse IP d'une personne ne
peuvent etre assimilés à un nom, le droit pénal
étant d'interprétation stricte. En outre, si l'auteur de
l'usurpation se contente de naviguer sur Internet, il ne peut faire l'objet de
sanction pénale. Ce fondement peut etre retenu dans des
hypothèses d'usurpation du nom d'une personne. La Cour d'appel de
Colmar, dans l'affaire évoquée supra avait retenu ce
fondement pour sanctionner un message électronique diffamatoire
envoyée sous le nom d'un tiers. La Chambre criminelle de la Cour de
cassation a cassé l'arret au motif que la diffamation n'était pas
constituée et donc a fortiori la prise du nom d'un tiers non
plus24.
La diffamation de l'article 29 alinéa 1 de la loi du 29
juillet 188125 permet de sanctionner les usurpations
d'identité qui portent atteinte à la réputation de la
personne. Pour que cette infraction soit constituée, il est
nécessaire de prouver que les propos, écrits portent atteinte
à la considération d'une personne déterminée et
qu'ils soient suffisamment précis. Dans l'arr~t du 29 mars 2006, la Cour
de cassation a considéré que la diffamation n'était pas
suffisamment caractérisée et a cassé l'arr~t de la Cour
d'appel26.
L'autre qualification juridique pénale possible est
l'escroquerie ou la tentative
d'escroquerie27. L'escroquerie
parait être le fondement le plus évident pour sanctionner
le
phishing. En effet, l'auteur du phishing utilise une fausse
identité en se faisant passer pour une
22 Article 434-23 du code pénal : «
Le fait de prendre le nom d'un tiers, dans des circonstances qui ont
déterminé ou auraient pu déterminer contre celui-ci des
poursuites pénales, est puni de cinq ans d'emprisonnement et de 75 000
euros d'amende ».
23 J-S Mariez Un premier pas vers la mise en place
d'un dispositif pertinent de lutte contre l'usurpation d'identité sur
Internet ?, RLDI novembre 2008 p. 65 &s.
24 Cass. Crim. 29 mars 2006, E. Caprioli De
l'usurpation d'identité en matière pénale, CCE
juillet-août 2006 p.39-40.
25 Article 29 alinéa 1de la loi du 29 juillet 1881 «
toute allégation ou imputation d'un fait qui porte atteinte à
lihonne-uThwIMEcfonsidIADIioCAde la personne ou du corps auquel le
fait est imputé, est une diffamation ».
2 Cass. Crim. 29 mars 2006, A. Cousin L'usurpation
d'identité sur internet : une lacune à combler ?, Expertises
août-septembre 2006 p.322-323.
27 Article 313-1 du code pénal « le
fait soit par l'usage d'un faux nom ou d'une fausse qualité soit par
l'abus d'une qualité vraie, soit par l'emploi de manoeuvres frauduleuses
de tromper une personne physique ou morale et de la déterminer ainsi
à son préjudice ou au préjudice d'un tiers à
remettre des fonds des valeurs ou un bien quelconque, à fournir un
service ou à consentir un acte opérant obligation ou
décharge », ce délit est puni de cinq ans
d'emprisonnement et de 375 000 euros d'amende.
entreprise titulaire d'un site Internet dans le but de
recueillir des fonds, des valeurs ou un bien quelconque que sont les
informations personnelles de la victime. Le tribunal de grande instance de
Paris, dans un jugement du 2 septembre 2004 a ainsi sanctionné sur ce
fondement l'auteur d'un phishing qui avait imité le site Internet de la
banque Crédit Lyonnais, puis récupéré les
identifiants et mots de passe de clients de la banque28.
Pour les cas de phishing ou de pharming, la contrefaçon
de marque29 ou de droit d'auteur est également une
qualification juridique envisageable. Dans une affaire où l'auteur d'un
phishing avait repris sur un site miroir les éléments
caractéristiques du site MSN Messenger, le tribunal de grande instance
de Paris en date du 21 septembre 2005 a retenu la contrefaçon de
marque30.
L'article 323-3-1 du code pénal31 est un
moyen de lutter de manière préventive aux risques d'usurpation
d'identité. Le tribunal correctionnel de Saverne, dans un jugement
datant du 12 juin 2008, a appliqué cet article pour sanctionner un
individu qui diffusait sur son blog un guide d'utilisation détaillant la
démarche à suivre pour s'approprier l'identifiant et le mot de
passe des utilisateurs de MSN32.
La collecte déloyale de données à
caractère personnel33 et le traitement de donnée
réalisé sans le respect des formalités
préalables34 pourraient être des moyens juridiques
permettant d'engager des poursuites à l'encontre de l'auteur d'une
usurpation d'identité. Une donnée à caractère
personnel est une information relative à une personne physique
identifiée ou qui
28 TGI Paris 2 septembre 2004.
29 Article L 122-4 du code de la
propriété intellectuelle « Toute représentation
ou reproduction intégrale ou SEUl1l1eE11111EGEQs l17RQs1Qt1PeQt de
l'aXteXr RX de ses ayaQtRMXTH114152FB1E JO1Q 114F111PrPHSRXWIL traduction,
EnDfESMIRQ RXECECITEQsfREPDEIRQ, EffiEUDQIeP1Qt RXalCUSER(XctIRQ SEUXQ aIHMERX
EXQ SERFpCp quelconque ».
30 TGI Paris 21 septembre 2005, disponible sur
www.legalis.net
31 Article 323-3-1 du code pénal « Le
fait, sans motif légitime, d'importer, de détenir, d'offrir, de
céder ou de mettre à disposition un équipement, un
instrument, un programme informatique ou toute donnée conçus ou
spécialement adaptés pour commettre une ou plusieurs des
infractions prévues par les articles 323-1 à 323-3 (
c'est-à-dire d'introduire frauduleusement des données dans un
système de traitement automatisé, d'entraver et fausser son
fonctionnement et de supprimer ou modifier frauduleusement des données)
est puni des peines prévues respectivement pour l'infraction
elle-même ou pour l'infraction la plus sévèrement
réprimée ».
32 TGI correctionnel Saverne 12 juin 2008, J-S Mariez 8 Q
SrePier Sas Y1rs la Pise eQ Slace d'XQ disSRsitif SHtiQ1Qt
allXtt1ilRQtMXsXrSEVERQ d'ideQtitp sXr JQteIQei ?, RLDI novembre 2008 p.
65 &s.
33 Article 226-18 du code pénal « Le
fait de collecter des données à caractère personnel par un
moyen frauduleux, déloyal ou illicite est puni de cinq ans
d'emprisonnement et de 300 000 Euros d'amende ».
34 Article 226-17 du code pénal «
Le fait de procéder ou de faire procéder à un
traitement de données à MLEFIgHSHIRQQHIPaQs,P1FFEHIQ
oeXYUDIWP1FXU2 STHRIF1TDI zumorm israHRE Q° III-17 du 6 janvier
1978 précitée est puni de cinq ans d'emprisonnement et de 300 000
Euros d'amende. »
peut être identifiée, directement ou
indirectement, par référence à un ou plusieurs
éléments qui lui sont propres35. Le phishing,
pharming ou même le spoofing36 sont susceptibles d'être
condamné sur ces fondements.
Si le droit existant permet à l'heure actuelle de
réprimer un nombre important de cas d'usurpation d'identité sur
Internet, les solutions juridiques proposées par les différentes
incriminations pénales ne sont pas pleinement satisfaisantes, la
sanction étant aléatoire. L'absence de délit sanctionnant
en tant que tel l'usurpation d'identité crée un vide juridique
(2).
2) L'absence de délit spécifique de
l'usurpation d'identité sur internet
En raison de l'insuffisance des délits
précités, le projet de la loi d'orientation et de programmation
pour la performance de la sécurité intérieure (dit LOPPSI
2) propose d'incriminer de manière spécifique l'usurpation
d'identité numérique. L'article 2 de la loi LOPPSI 2
prévoit d'insérer un article 226-16-1 dans le code pénal
qui réprimerait « Le fait d'utiliser, de manière
réitérée, sur un réseau de communication
électronique l'identité d'un tiers ou des données qui lui
sont personnelles, en vue de troubler la tranquillité de cette personne
ou d'autrui, est puni d'un an d'emprisonnement et de 15 000 €
d'amende.
Est puni de la mme peine le fait d'utiliser, sur un
réseau de communication électronique, l'identité d'un
tiers ou des données qui lui sont personnelles, en vue de porter
atteinte à son honneur ou à sa
considération».
La possible incrimination de l'usurpation d'identité
numérique n'est pas une nouveauté. Dès juillet 2005, le
sénateur M. Dreyfus-Schmidt proposait d'insérer un article 323-8
dans le caractère personnel qui punirait « d'une année
d'emprisonnement et de 15 000 euros d'amende, le fait d'usurper sur tout
réseau informatique de communication l'identité d'un particulier,
d'une entreprise ou d'une autorité publique. Les peines
prononcées se cumulent, sans possibilité de confusion, avec
celles qui auront été prononcées pour l'infraction
à l'occasion de laquelle l'usurpation a été
commise.»
Ce projet de loi a un champ d'application plus large que la
proposition sénatoriale car il
réprime non seulement
l'usurpation d'identité mais aussi l'usurpation de données
35 L'article 2 alinéa 2 de la loi Informatique et
Libertés.
36 L'adresse IP étant considérée
par la CNIL et par la Cour de cassation (Cass. Crim. 4 avril 2007.) comme une
donnée personnelle.
personnelles. On peut se demander si la notion de
donnée personnelle doit titre interprétée comme renvoyant
à la notion de donnée personnelle de l'article alinéa 2 de
la loi Informatique et Libertés.
Son champ d'application est également plus
étroit que la proposition sénatoriale car le délit
d'usurpation d'identité est restreint à deux hypothèses :
il est nécessaire que l'auteur du délit ait l'intention, soit de
troubler la tranquillité d'une personne de manière
réitérée (il s'agit d'une infraction d'habitude), soit
d'attenter á son honneur ou á sa considération.
Au final, ce projet de loi est décevant car ces nouveaux
délits ne permettent pas de sanctionner des comportements d'usurpation
d'identité qui échappent actuellement au droit. De plus, il ne
détermine pas ce qu'est l'identité numérique d'une
personne sur Internet.
S'il est important que les différents modes
d'usurpation d'identité puissent etre appréhendés
pénalement, le recours à la sanction n'est pas l'unique
remède. Un environnement sécurisé est susceptible de
réduire les risques d'usurpation d'identité (B).
B La solution technique : la prévention contre
l'usurpation d'identité
Des moyens de lutte en amont de l'usurpation d'identité
permettraient de réduire considérablement le risque d'usurpation
d'identité. Ces moyens de prévention peuvent provenir des
entreprises (1) mais aussi des particuliers internautes(2).
1) Les moyens susceptibles d'être mis en oeuvre par
les entreprises
Les entreprises et institutions directement menacées
par l'usurpation d'identité peuvent mettre en place un certain nombre
d'outils pour se prémunir de l'usurpation d'identité dont elles
sont victimes mais dont sont également victimes leurs clients.
Tout d'abord, les entreprises pourraient établir une
politique de confidentialité relative au contenu de leurs courriers
électroniques et transmettre cette politique á leurs clients.
Cette politique pourrait notamment prévoir de ne pas introduire de liens
hypertexte dans les courriers électroniques qu'elles envoient ou, au
contraire, inclure dans ces courriers électroniques des
éléments permettant au client de s'assurer que l'entreprise est
bien à l'origine de ce courrier37 . Les
éléments d'authentification de l'entreprise pourraient etre
des
37 B. Amaudric du Chaffaut et T. Limouzin-Lamothe,
Une nouvelle forme de criminalité informatique à
InSUMIBdIBlaBloi : le phishing, Expertises avril 2005 p. 140& s.
éléments concernant le destinataire que seule
l'entreprise est susceptible de connaître, tel que le numéro de
client, le rappel de la date de son dernier achat,...
L'entreprise a également la possibilité recourir
à un prestataire de nom de domaine fiable capable de garantir une
sécurité maximale sur ses serveurs.
Les établissements bancaires disposent également
de la faculté de mettre en place un moyen d'authentifier leurs clients
porteurs de cartes bancaires lors d'achats effectués sur Internet
autrement que par le cryptogramme visuel (les trois chiffres au dos de la carte
bancaire). Le système 3DSecure permet de réduire les risques
d'usurpation d'identité par le biais de la carte bancaire38.
En effet, lors d'un achat sur Internet après que l'internaute ait saisi
le numéro de carte bancaire, la date d'expiration et le cryptogramme
visuel, il est redirigé vers le site de sa banque qui lui demande de
fournir des informations complémentaires. Ces informations
complémentaires, que chaque banque choisit librement, permettent
d'identifier l'internaute. La banque émettrice authentifie alors le
porteur de carte et confirme à la banque du commerçant
l'identité de l'acheteur. Pour que le paiement soit effectué en
mode 3DSecure, il est nécessaire que non seulement la carte de paiement
soit une carte 3DSecure mais également que le commerçant en ligne
accepte ce mode de paiement. A l'heure actuelle, plusieurs banques
françaises proposent cette solution notamment la Caisse d'Epargne avec
son produit ID Tronic (authentification par mot de passe envoyé par SMS)
et des émetteurs e-Carte Bleue/Verified by Visa (authentification par
les identifiant de connexion et mot de passe indiqués pour la
génération du numéro virtuel). Une
généralisation de ce type d'outil serait un moyen de protection
efficace.
De son coté, Twitter, outil de réseau social et
de micro-blogging, a décidé de mettre très prochainement
en place des comptes certifiés, attestant de la véracité
de l'identité du compte de la personne39. Les comptes
certifiés disposeront d'un logo intitulé « Verified Account
». Cette mesure, permettra d'éviter que des personnes utilisent
sciemment l'identité d'un autre individu dans le but de nuire à
sa réputation. Ces mesures d'authentification de compte seraient pour le
moment limitées aux agences publiques et aux personnes disposant d'une
certaine notoriété. Il est souhaitable que la certification de
compte s'étende à tous les
38 Observatoire de la cyber-consommation du forum des droits sur
l'internet du 27 janvier 2005
http://www.foruminternet.org/telechargement/documents/rapp-cyberconso-20050519.pdf
39
http://twitteradar.com/twitter-lance-la-certification-de-compte-en-beta/news
utilisateurs de ce réseau social et que d'autres services
de communication en ligne suivent la même démarche.
Les particuliers peuvent individuellement limiter les risques
d'usurpation d'identité (2).
2) Ies particuliers internautes
Des politiques de sensibilisation sur les risques d'usurpation
d'identité numérique délivrés aux particuliers leur
permettraient d'adopter une pratique d'utilisation d'Internet qui soit plus
responsable et de se doter d'outils techniques efficaces de
prévention.
L'observatoire de la cyber-consommation du forum des droits
sur l'internet du 27 janvier 2005 dispense des conseils pratiques aux
particuliers40. Ces conseils consistent surtout à se
prémunir contre les atteintes de phishing.
Tout d'abord, lorsqu'un internaute reçoit un courrier
électronique l'invitant à cliquer sur le lien hypertexte afin
qu'il délivre des données personnelles, il est
préférable qu'il saisisse manuellement l'adresse du site Internet
plutôt que de cliquer sur le lien hypertexte. Par ce moyen, l'internaute
pourra vérifier dans la barre d'adresse du navigateur l'adresse du site
Internet.
Ensuite, l'observatoire de la cyber-consommation
préconise de toujours partir de la page d'accueil d'un site pour
accéder aux autres pages, notamment celles où sont
demandées des identifiants.
De plus, lorsque l'internaute consulte des sites
sécurisés, il est recommandé de vérifier que le
chiffrement des données soit activé. Pour procéder
à cette vérification, l'internaute doit double-cliquer sur le
cadenas qui apparaît en bas à droite de la page. En cliquant sur
ce cadenas, l'internaute connaît le certificat de sécurité
dont bénéficie la société et peut s'assurer que la
société bénéficiaire est bien celle qui exploite le
site.
Enfin, en cas de doute sur l'authenticité de
l'expéditeur du courrier électronique, l'internaute doit appeler
l'organisme qui lui a apparemment envoyé le message afin de
vérifier que cet organisme est bien à l'origine du courrier
électronique.
Pour se prémunir d'une usurpation identité il est
également opportun de communiquer peu de renseignements personnels sur
les forums et les sites de réseaux sociaux.
40 Observatoire de la cyber-consommation du forum des droits sur
l'internet du 27 janvier 2005
http://www.foruminternet.org/telechargement/documents/rapp-cyberconso-20050519.pdf
L'internaute peut également se doter d'outils
informatiques de prévention. L'utilisation de logiciels antivirus,
antispam, antispyware et d'un pare-feu réduisent considérablement
les risques de pharming et de spoofing.
En outre, des acteurs du commerce électronique tels que
Netcraft et Core Street proposent des« barres d'outils informatiques
» qui permettent à l'internaute de détecter s'il se trouve
sur un site fiable et de bloquer des envois à des serveurs
répertoriés sur des listes noires41.
Une attitude vigilante, l'adoption d'outils techniques de
sécurisation de la connexion Internet et d'authentification de
l'entreprise et des internautes préviennent l'usurpation
d'identité. L'association de mesures techniques et juridiques
appropriées permet d'enrayer l'usurpation d'identité
numérique. Il est toutefois impossible de neutraliser totalement ce
phénomène, le risque zéro n'existant pas.
41 C. Guillemain Des barres d'outils pour Internet Explorer
et Firefox protègent du "phishing,
http://www.zdnet.fr/actualites/telecoms/0,39040748,39196431,00.htm
CONCLUSION
La répression de l'usurpation identité se heurte de
front avec le principe du droit à l'anonymat sur Internet qui est le
cheval de bataille de certaines personnes.
Le rapport La vie privée à l'heure des
mémoires numériques. Pour une confiance renforcée entre
citoyens et société de l'information42, fait au
nom de la commission des lois, et présenté le 27 mai 2009 propose
de reconnaître un droit à l'anonymat dans l'univers
numérique. L'identité numérique serait dissociée de
l'identité réelle de l'internaute par le biais d'un pseudonyme.
Grâce à ce pseudonyme, l'internaute pourrait préserver son
identité civile lorsqu'il publie une information sur un service de
communication en ligne. Le dévoilement délibéré de
la vie privée, qui est particulièrement important sur les sites
de réseaux sociaux où les individus sont encouragés
à délivrer un grand nombre d'informations les concernant, et les
risques personnels et professionnels qui découlent de cette exhibition
pourraient donc être amoindries avec l'utilisation d'un pseudonyme.
Toutefois, afin d'éviter que cet anonymat ne constitue un moyen
d'impunité, le rapport suggère que le pseudonyme de la personne
soit déposé auprès d'un organisme indépendant qui
pourrait le communiquer à la justice en cas d'infractions.
42 V Detraigne et A-M Escoffier, rapport La vie
privée à l'heure des mémoires numériques. Pour une
confiance renforcée entre citoyens et société de
l'information,
http://www.senat.fr/rap/r08-441/r08-441_mono.html
Bibliographie
Ouvrage
O. Itéanu L'identité numérique,
Eyrolles
Dictionnaire
Vocabulaire juridique de l'Association Henri Capitant,
édition PUF, 7e édition. Rapports
Observatoire de la cyber-consommation du forum des droits sur
l'internet les paiements sur Internet du 27 janvier 2005
Y Detraigne et A-M Escoffier, La vie privée à
l'heure des mémoires numériques. Pour une confiance
renforcée entre citoyens et société de
l'information
Etude
Etude du cabinet Gartner, juin 2004.
Revues juridiques
* Recueil Dalloz
C. Manara Conditions de la sanction de l'usurpation de nom
sur Internet, D. 2006 p. 1443&s. *Communication Commerce
Electronique
E. Caprioli De l'usurpation d'identité en
matière pénale, CCE juillet-août 2006 p.39-40
*Actualité juridique Pénal
Dossier Cybercriminalité : morceaux choisis AJ
Pénal n° 3/2009 de mars 2009p. 120. *5 HAe LEP \ 112111t
12IRIimmatériel
F. Duflot «Phishing » : les dessous de la
contrefaçon, RLDI janvier 2006 p.54.
J-S Mariez Un premier pas vers la mise en place d'un
dispositif pertinent de lutte contre l'usurpation d'identité sur
Internet ?, RLDI novembre 2008 p. 65 &s.
*Expertises
B. Amaudric du Chaffaut et T. Limouzin-Lamothe, Une nouvelle
forme de criminalité informatique à l'épreuve de la loi :
le phishing, Expertises avril 2005 p. 140& s.
N. Martin Phishing: What's happening? Q phishing?,
Expertises février 2006 p. 65.
A. Cousin L'usurpation d'identité sur internet : une
lacune à combler ?, Expertises aoûtseptembre 2006
p.322-323.
AIMMIIIIIMIt' (ML(et
Reuters
http://www.01net.com/editorial/365566/un-faux-alain-juppe-sur-facebook/
K. Solovieff,
http://www.01net.com/editorial/355464/les-clients-de-banques-francaises-sontla-cible-dun-virus-tres-vicieux/
C. Guillemain Des barres d'outils pour Internet Explorer et
Firefox protègent du "phishing,
Usurpation d'adresse IP
http://www.commentcamarche.net/contents/attaques/usurpation-ipspoofing.php3
Twitterman
http://twitteradar.com/twitter-lance-la-certification-de-compte-en-beta/news
Jurisprudence
Cass. Crim. 29 mars 2006
Cass. Crim. 4 avril 2007
CA Paris 8 mars 1966, JCP G 1967, II, 14934 note P. Nepveu. TGI
Paris 2 septembre 2004.
TGI Paris 21 septembre 2005
TGI correctionnel Saverne 12 juin 2008,
Tribunal correctionnel Carcassonne 16 juin 2006
Textes législatifs
Article 226-17 du code pénal Article 226-18 du code
pénal Article 313-1 du code pénal Article 323-3-1 du code
pénal Article 434-23 du code pénal
Article 29 alinéa 1de la loi du 29 juillet 1881
Article L 122-4 du code de la propriété
intellectuelle L'article 2 alinéa 2 de la loi Informatique et
Libertés
Projet et proposition de loi
Projet de la loi d'orientation et de programmation pour la
performance de la sécurité intérieure
J. Panis, Exposé des motifs de la proposition de loi
relative à la pénalisation de l'usurpation d'identité
présenté au Sénat le 6 novembre 2008.
| 
