Les réseaux sociaux connaissent un développement exponentiel sur la toile. Mais à mesure que les réseaux sociaux ont pris de l’ampleur, le phénomène d’usurpation d’identité s’est développé sur l’Internet . Il est donc devenu essentiel que les internautes sachent maîtriser leur identité dans l’espace numérique. Pour ce faire les autorités ont tenté de créer un encadrement adapté à la réalité numérique, en participant à l’élaboration d’un délit d’usurpation d’identité sur l’Internet .
Le phénomène d’usurpation d’identité sur Internet
À mesure que les nouvelles technologies de la communication se sont développées, diverses techniques d’usurpation d’identité ont vu le jour sur Internet et constituent des moyens d’atteinte aux intérêts de la personne.
Les techniques d’usurpation d’identité
Le nombre d’escroqueries, d’abus de confiance d’autrui ou de collecte de données personnelles, ne cesse d’augmenter. C’est la raison pour laquelle, dans le cadre de la protection de l’identité des internautes, se met petit à petit en place un arsenal de mesures visant à prévenir et réprimer de tels agissements. La protection de l’identité des personnes dans le numérique est devenue un enjeu majeur.
Initialement, aucun texte n’était prévu pour réprimer le délit d’usurpation d’identité ou pour lutter contre les techniques de fraudes. La lacune n’était pas due à l’absence de définition de l’identité dans le numérique ou à l’absence d’incrimination d’un délit d’usurpation en ligne, mais en raison de l’interprétation stricte de la loi pénale. L’usurpation d’identité était réprimée à l’alinéa premier de l’article 434-23 du Code pénal selon les termes que : « Le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75 000 € d’amende ». Mais en application de ces dispositions, l’infraction d’usurpation d’identité ne permettait pas de sanctionner le fraudeur lorsqu’il usurpait autre chose que le nom de sa victime. Puis, grâce à l’Internet de nombreuses techniques d’usurpation d’identité ont vu le jour. Il a donc semblé nécessaire de consolider l’encadrement juridique.
De surcroît, jusqu’à présent en France, l’usurpation d’identité n’était pas considérée comme une infraction spécifique, mais comme un « délit préparatoire dans la perpétration d’autres atteintes ou délits ». Étaient sanctionnées les conséquences de l’usurpation d’identité lorsque celle-ci faisait peser, sur la personne dont l’identité a été usurpée, un risque pénal. L’usurpateur était condamné lorsque la finalité qu’il poursuivait était de nuire directement à la personne dont il avait usurpé l’identité. De cette façon, la Cour de cassation a jugé que le fait d’usurper l’identité d’une personne et de lui faire tenir des propos diffamatoires envers elle-même n’entrait pas dans le cadre de la prévention de l’article 434-23 du Code pénal. Donc pour pouvoir envisager la voie de la condamnation, il aurait fallu que les propos diffamatoires tenus par l’identité usurpée visent une tierce personne. Or, aucune législation ne permettait de combattre les procédés de fraude sur Internet, c’est pourquoi il a fallu reconsidérer la multiplicité et le développement incessants et évolutifs de ces nouveaux procédés.
C’est dans ce contexte que le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI) adopté en 1re lecture le 16 février 2011 dernier par l’Assemblée nationale, a tenté de remédier à cet état de fait. En pratique, le projet de loi a fait l’objet d’une révision, dans le cadre du projet de loi LOPPSI 2. Puis a été votée la loi n°2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure. Cette loi met en place la notion de délit d’usurpation d’identité sur Internet, basé sur le fait qu’usurper l’identité d’une personne c’est prendre délibérément l’identité de cette personne, généralement avec l’intention de réaliser une action frauduleuse, telle que d’accéder aux finances de cette personne ou de commettre en son nom un délit ou un crime, ou bien encore accéder à des droits de façon indue
Dans le monde réel, si la détermination des composantes de l’identité ne pose aucune difficulté, il en va tout autrement dans la sphère numérique. En effet, il n’existe pas de véritable autorité intervenant dans l’attribution de l’identité. Néanmoins, il est possible d’en délimiter les contours afin de mieux encadrer la notion d’identité personnelle dans le numérique et plus particulièrement dans les réseaux sociaux.
En principe, l’identité dans le numérique peut-être composée de l’adresse électronique, d’identifiants et de mots de passe, mais aussi d’adresse IP, de code PIN, d’avatar, adresse URL et divers codes. Cette identité, c’est celle qui est composée d’éléments choisis par l’utilisateur lui-même.
En réalité, il n’existe pas de définition de l’identité personnelle dans le numérique et il n’existe pas véritablement d’usurpation d’identité en ligne. Mais des limites ont été fixées afin de réduire les atteintes à l’identité des internautes, via diverses mesures juridiques efficaces, visant à prévenir et réprimer ce type d’agissements ; des campagnes de prévention ont également été élaborées et menées par les autorités, afin de mettre en garde les consommateurs sur les risques que peuvent représenter leurs navigations sur l’Internet pour la sécurité de leur identité. Cependant, ces campagnes sont en réalité insuffisantes. Alors l’usage de pseudonyme est proposé aux internautes pour défendre leur identité contre les risques d’usurpation. Mais d’autres utilisateurs préfèrent quant à eux se créer plusieurs identités sur Internet en fonction de leurs utilisations, afin de brouiller les pistes et ne pas être facilement identifiables.
Bien que diverses mesures de protection soient prises en faveur des internautes, le risque d’usurpation d’identité reste fort présent. En fait, les techniques utilisées par les internautes présentent souvent le risque de les conduire sans le savoir, à usurper l’identité d’autres personnes ou créer des confusions. Aussi la mise en place d’un dispositif en matière de protection de l’identité contre l’usurpation en ligne s’est faite progressivement. Mais face à l’innovation des fraudeurs, les lacunes se sont faites de plus en plus ressentir et les atteintes aux intérêts de la personne se sont multipliées.
Les moyens d’atteintes aux intérêts de la personne
Les techniques d’usurpation d’identité se sont au fur et à mesure des usages, diversifiées et sont devenues de plus en plus avancées. C’est notamment le cas avec le « phishing », qui consiste à envoyer un courrier électronique à un internaute en se faisant passer pour une entreprise ou une autorité publique en reproduisant le logo ou l’en-tête caractérisant la personne morale. Il en est de même pour le courrier électronique qui peut contenir un lien hypertexte renvoyant vers une page Web qui ressemble à celle de l’entreprise, telle une copie conforme. L’internaute est ici invité à cliquer vers le lien hypertexte pour saisir des informations confidentielles le concernant, telles que le mot de passe et l’identifiant. L’auteur du phishing accède ainsi directement et aisément aux contenus confidentiels de la personne visée.
En principe, le phishing se base sur la crédulité de l’internaute qui pense naïvement révéler ses informations à la personne morale, à l’entreprise de confiance. Jusqu’à récemment, le phishing était utilisé avec un intéressement économique. Par la suite, il a pu devenir un outil d’espionnage industrie, pour finalement toucher le système de nommage d’un site Internet via le « pharming ». Le fraudeur pirate un nom de domaine. Pour réaliser ce piratage, les auteurs de pharming utilisent un virus qui s’installe sur le disque dur de l’internaute. Généralement, le virus sera un cheval de Troie qui est un « logiciel malveillant dissimulé derrière l’apparence d’un logiciel légitime conçu pour exécuter discrètement des actions à l’insu de l’utilisateur ». Via ce virus, l’internaute sera redirigé vers un faux site web imitant celui de l’entreprise ou de l’institution lorsqu’il saisira l’adresse Internet. Au moment de la saisie des informations confidentielles sur le faux site, ces informations lui seront dérobées. Cette technique, difficile à détecter, concerne même un internaute vigilant, par conséquent chaque internaute est susceptible d’en être victime.
En ce qui concerne les réseaux sociaux, jusqu’à présent, aucun système ne permet de contrôler l’exactitude des données fournies par les utilisateurs au moment de leur inscription. Dès lors, les utilisateurs de réseaux sont libres de ne pas fournir leur vraie identité et de prendre celle d’une autre personne dans le but de se faire passer pour elle (username squatting). En adoptant cette démarche, l’usurpateur peut copier l’identité numérique préexistante d’une personne ou bien créer une identité numérique d’une personne qui n’en disposait pas à la base pour l’usurper.
On insistera sur le fait que l’usurpation de l’identité en ligne peut porter atteinte aux sentiments, à l’honneur, à la réputation, aux droits de la personnalité, engendrant des conséquences préjudiciables importantes. Elle peut aussi être pratiquée dans le but d’obtenir un intéressement ou un avantage financier. En effet, l’usurpation d’identité s’est étendue à d’autres considérations que le nom d’une personne, et s’est étoffée d’intérêts patrimoniaux non-négligeables.
L’usurpation d’identité peut également constituer une infraction au Code de la propriété intellectuelle, notamment lorsqu’une marque est contrefaite (utilisation du nom d’une marque existante sur un compte faussement créé dont les produits et services sont similaires à ceux de la marque déjà déposée) ou lorsqu’il y a atteinte à un droit d’auteur (utilisation d’un nom d’artiste original et protégé par le droit d’auteur).
Jusqu’à récemment, le droit et la technique se sont montrés inefficaces ou inadaptés face au développement constant de ces pratiques malveillantes. C’est la raison pour laquelle de nombreuses dispositions ont été adoptées en faveur de l’infraction d’usurpation d’identité sur Internet.
Sources :
– O.C.D.E., Document exploratoire sur le vol d’identité en ligne, Réunion ministérielle de l’OCDE sur le futur de l’économie Internet, 2008 ;
– Cass. crim., 29 mars 2006, no 05-85857 ;
– BENSOUSSAN (A.), Informatique, Télécoms, Internet, Éditions Francis Lefebvre, Paris, 5e éd., 2012, § 2570 et s. ;
– Encyclopédie Wikipédia, article « Usurpation d’identité »;
– O.C.D.E., Online Identity Theft, mars 2009, définition de l’identité numérique ;
– CORNU (G.), Vocabulaire juridique, PUF, coll. Quadrige, 9e édition, Paris, 2011 ;
– ITEANU (O.), L’identité numérique, Eyrolles, Paris, 2008, p. 143.