L’élaboration d’un délit d’usurpation d’identité sur Internet
Les techniques d’usurpation d’identité numérique sont nombreuses et le vide juridique qui persistait jusqu’à l’adoption de la loi LOPPSI 2 ne permettait pas de les appréhender. En effet, jusqu’à présent, l’usurpation d’identité n’était pas sanctionnée en tant que telle, mais par des textes plus généraux. Désormais, le délit d’usurpation d’identité sur internet préconise une solution juridique destinée à encadrer plus largement les atteintes à l’identité des personnes et à améliorer la sécurité des réseaux via la sanction . Néanmoins, cette politique exclusivement répressive n’est pas réellement satisfaisante. C’est la raison pour laquelle une solution technique basée sur la prévention a été mise en place afin réduire les usurpations d’identité.
La solution juridique via la sanction
La nécessité d’une répression de l’usurpation d’identité en ligne s’est fait progressivement ressentir, mais plusieurs propositions, restées sans suite, ont été suggérées avant que le gouvernement ne fasse de l’usurpation d’identité l’une de ses priorités dans le cadre évolutif du numérique.
Face à l’absence de délit spécifique de l’usurpation d’identité sur Internet, le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI) a proposé d’incriminer de façon spécifique l’usurpation d’identité numérique. Mais le projet de loi était incomplet dans la mesure où les nouveaux délits ne permettaient pas de sanctionner les comportements d’usurpation d’identité qui échappaient au droit. Par ailleurs, il ne déterminait pas ce que représentait l’identité numérique d’une personne sur Internet.
Le projet de loi, bien qu’ayant fait l’objet de nombreux débats, a fini par aboutir à l’adoption de la loi n° 2011-267, du 14 mars 2011, dite d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI 2), établissant une disposition plus protectrice du citoyen et qui vise à définir et à sanctionner pénalement l’usurpation d’identité. De cette façon, le nouveau délit établi sanctionne l’usurpation d’identité de façon générale, qu’elle se produise dans le monde réel ou bien sur un réseau de communication au public en ligne. Cette nouvelle mesure tient compte des évolutions technologiques et de l’importance des réseaux pour les internautes.
Aussi la nouvelle mesure a tenu compte du fait que l’usurpation d’identité en ligne pouvait consister à utiliser sur Internet des informations confidentielles et personnelles telles que le nom, le prénom, le pseudo, des adresses, des photographies et l’ensemble des données personnelles. Elle a également pris en considération le fait que l’usurpation pouvait se réaliser sur n’importe quel type de site Internet, et pour de nombreuses raisons : commettre des actes répréhensibles, nuire à une identité en créant un faux profil, récupérer à partir d’un faux site des informations personnelles dans le but de pirater des boîtes mail ou des comptes tels que Facebook, accéder à des comptes sécurisés, ou bien encore envoyer un message en se faisant passer pour un organisme public ou une entité privée à des fins essentiellement commerciales, économiques et financières.
Désormais au titre des dispositions de l’article 226-4-1 dans le code pénal « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne».
Ce nouveau délit visant expressément en son alinéa 2 les réseaux de communication au public en ligne est susceptible de s’appliquer quand les conditions suivantes sont réunies : il faut qu’il soit fait usage d’une ou plusieurs données de toute nature permettant d’identifier une personne en vue de troubler sa tranquillité ou de porter atteinte à son honneur ou à sa considération. Et elle peut continuer à être sanctionné selon les dispositions de la loi Informatique, fichiers et libertés puisqu’elle donne lieu à un traitement de données à caractère personnel d’un individu sans son accord. Cela constitue un délit sanctionné pénalement par 5 ans de prison et 300 000 € d’amende.
Aussi, il importe de prendre les mesures nécessaires pour limiter le risque d’atteinte.
Pour ce faire chaque internaute doit se montrer prudent au moment de saisir ses données personnelles sur Internet ou à la réception de messages lui demandant de fournir ou de mettre à jour ses identifiants. Il ne doit pas répondre aux messages suspects ou cliquer sur des liens contenus dans les messages dont la provenance est incertaine.
Par ailleurs, la victime peut demander le retrait de tous contenus susceptibles d’être mis en ligne par un usurpateur. Dans ce cas, il devra prendre contact avec le site diffusant ces contenus. En l’absence de réaction de la part du site pour retirer les contenus qui ont été portés à sa connaissance, il conviendra d’entamer une procédure afin d’engager la responsabilité de celui-ci en tant qu’hébergeur et obtenir le retrait des contenus litigieux.
En principe, les notifications de retrait de contenus illicites donnent lieu à exécution de la part des sites Internet tels que Facebook ou Google, de manière automatique. En effet, à partir du moment où l’usurpation d’identité va à l’encontre à la fois des textes de loi et des conditions générales d’utilisation, le réseau doit procéder à la fermeture de ce compte ou demander au créateur de la page de modifier le nom de celle-ci.
Notons qu’il n’est pas toujours facile de s’adresser directement au créateur de la page litigieuse et d’engager sa responsabilité, parce que son identification est difficile à établir. Aussi, à défaut de connaître l’identité de l’usurpateur, la victime peut espérer voir sanctionner l’usurpateur en déposant une plainte pénale auprès du procureur de la République basée sur un constat des faits et propos litigieux. Celui-ci rédigera la plainte justifiée en fait et en droit afin de permettre une poursuite pénale rapide et efficace.
Ainsi, comme nous venons de le constater, il existe divers modes d’usurpation d’identité pouvant être sanctionnés pénalement. Toutefois, le recours à la sanction n’est pas l’unique solution.
La solution technique via la prévention
À défaut d’avoir des solutions juridiques répondant à toutes les problématiques liées à la sécurité et la préservation des identités sur Internet, il peut exister des moyens de lutter en amont contre l’usurpation d’identité en ligne comme par exemple les moyens pouvant être élaborés par les entreprises pour se protéger de l’usurpation d’identité dont elles peuvent faire l’objet. En effet, les entreprises peuvent établir des politiques de confidentialité relatives au contenu de leurs courriers électroniques et avertir leur client de l’existence de cette politique. Cette même politique pourrait prévoir de ne pas introduire de lien hypertexte dans les courriers électroniques qu’elles diffusent ou inclure dans les courriers électroniques des éléments permettant au client de s’assurer de l’authenticité du contenu et de la provenance.
Les entreprises peuvent aussi se servir d’éléments d’authentification leur permettant d’identifier le destinataire. Pour cela, il faudra avoir recours à un prestataire de nom de domaine fiable capable de garantir une sécurité maximale sur ses serveurs et attester de la véracité des informations collectées. À l’image des établissements bancaire, qui utilisent le système de sécurité «3DSecure » consistant à fournir un certain nombre d’informations complémentaires, que chaque banque choisit librement, et qui permettent d’identifier l’internaute, l’identification se fait en amont. Dans ce cas de figure, la banque émettrice authentifie le porteur de carte de paiement et confirme à la banque du commerçant l’identité de l’acheteur. Pour que le paiement soit effectué en mode 3DSecure, il est nécessaire que la carte de paiement soit une carte 3DSecure et que le commerçant en ligne accepte ce mode de paiement. Une généralisation de ce type d’outil à d’autres services nécessitant un processus d’identification serait un moyen de protection utile et intéressant.
Pour les réseaux sociaux, et notamment le site Twitter, qui est un outil de réseau social axé sur le micro-blogging il a été question de mettre en place des comptes certifiés, attestant de la véracité de l’identité du compte de la personne.
Ces comptes certifiés sont accompagnés d’un logo intitulé « Verified Account ». Cette mesure, a pour effet de réduire le nombre de personnes qui utilisent l’identité d’un autre individu dans le but de nuire à sa réputation. Ces mesures d’authentification de compte tendent à se généraliser à l’ensemble des réseaux. Dès lors, il appartient aux utilisateurs des réseaux sociaux de s’aligner sur ces nouvelles pratiques et de paramétrer leurs comptes.
Les internautes peuvent volontairement suivre des politiques de sensibilisation sur les risques d’usurpation d’identité numérique, leur permettant de s’informer sur les nouveaux usages de l’Internet et adopter un comportement plus responsable, en se dotant de diverses mesures de prévention. Ces mesures de prévention peuvent être proposées en matière d’atteintes à l’identité réalisées par la technique du phishing. En effet, au lieu de cliquer sur le lien hypertexte, il est préférable que l’internaute saisisse manuellement l’adresse du site Internet. Ainsi, il pourra vérifier dans la barre d’adresse du navigateur l’adresse du site Internet.
De même, au moment de la consultation des sites sécurisés, il est recommandé de vérifier que le chiffrement des données soit activé afin de protéger les données. Pour réaliser la vérification, l’internaute doit double-cliquer sur le « cadenas » qui apparaît en bas à droite de la page, il peut alors connaître le certificat de sécurité de la société et s’assurer que la société bénéficiaire est bien celle qui exploite le site. Mais sur les réseaux sociaux il n’existe pas, à proprement parlé de cadenas apparent. Donc, rien n’atteste des mesures de sécurisation effectuées par les responsables des sites. Les seules mentions relatives à la sécurisation du réseau sont prévues dans les conditions générales d’utilisation ou dans la politique de confidentialité. Mais cela nécessite que l’utilisateur puisse se référer à ces mentions avant même de procéder à son inscription.
Enfin, l’internaute peut se renseigner sur les responsables du site et vérifier que ce site est bien sécurisé. Il peut disposer de « barres d’outils informatiques » permettant de détecter les sites fiables. De cette façon avec une attitude vigilante, l’adoption d’outils techniques de sécurisation de la connexion Internet et d’authentification des sites Internet et des internautes, les risques d’atteintes à l’identité pourraient être limités, mais non neutralisés.
Sources:
– AMAUDRIC du CHAFFAUT (B.) et LIMOUZIN-LAMOTHE (T.), « Une nouvelle forme de criminalité informatique à l’épreuve de la loi : le phishing », Expertises, avril 2005, p. 14 ;
– TGI Paris, 3e ch., 24 juin 2009, Jean-Yves Lafesse et a. c/ Google et a, no 08/03317;
– MANARA (C.), « Conditions de la sanction de l’usurpation de nom sur Internet », D., 2006, p. 1443 ;
– MARIEZ (J.-S.), « Un premier pas vers la mise en place d’un dispositif pertinent de lutte contre l’usurpation d’identité sur Internet ? », RLDI, novembre 2008, p. 65 ;
– CAPRIOLI (E.), « De l’usurpation d’identité en matière pénale », CCE, juillet-août 2006 pp.39-40 ;
– COUSIN (A.), « L’usurpation d’identité sur internet : une lacune à combler ? », Expertises, août-septembre 2006, p.322-32 ;
– DÉTRAIGNE (Y.) et ESCOFFIER (A.-M.), La vie privée à l’heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société d’information, Rapport d’information fait au nom de la commission des lois, Doc. Parl. S., n°441, 2008-2009 ;
– « Dossier Cybercriminalité : morceaux choisis », AJ Pénal, revue de sciences criminelles, n° 3, mars 2009, p. 12 ;