Aspects juridiques
L’usurpation d’identité numérique a, évidement, des conséquences juridiques graves. Le vol d’informations personnelles et la leur utilisation implique des aspects liés au droit pénal et aussi au droit civil, dans le cas que la victime de cette usurpation a subi des préjudices financiers, morals, de réputation ou de possibilités.
Avant d’exposer tous ces aspects, il faut considérer comme la législation française est changée au début du 2011 avec l’introduction de la « LOPPSI » (Loi d'Orientation et de Programmation pour la Sécurité Intérieure). Ce code a rempli un vide législatif très important sur plusieurs problématiques de la lotte contre la cybercriminalité, mais aussi contient des important mesure dans le domaine de la sécurité routière, de la vidéosurveillance, de l’intelligence économique, du renseignement et beaucoup d’autres .
Nous allons introduire quel était la juridiction avant l’introduction de cette loi et, après, comme la LOPPSI a modifié le panorama juridique en France.
La situation avant le 2001
Avant l’introduction de l’article 226-4-1 du Code Pénal , crée par la loi n°2011-267 du 14 Mars 2011 (article2), le délit d’usurpation d’identité numérique n’existait pas. En effet, même l’usurpation d’identité n’était pas directement sanctionnée, mais était le fait de prendre le nom d’un tiers que pouvait impliquer l’application de l’article 434-23 du Code Pénal. Cet article punit : « le fait de prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d'emprisonnement et de 75000 euros d'amende ». L’application de cet article est donc subordonnée à l’existence de conséquences pénales à l’égard de la personne usurpée, circonstance qui ne se vérifie pas toujours.
L’usurpation d’identité n’était pas un délit pénal en elle-même, aussi si quelque cas particulier était pris en compte par la loi. L’article 433-19 du Code Pénal, pour exemple, punissait l’utilisation d’une fausse identité « dans un acte public ou authentique ou dans un document administratif destiné à l'autorité publique » de six mois d'emprisonnement et de 7500 euros d'amende, ainsi que par l’article 781 du Code de Procédure Pénal l’utilisation d’un « faux nom ou une fausse qualité, s'est fait délivrer un extrait du casier judiciaire d'un tiers est puni de 7 500 euros d'amende ».
Il faut rappeler aussi que l’article 434-23 est applicable seulement dans le cas que « le nom d’un tiers » a été pris. Le droit pénal est d’interprétation stricte et donc cette clause apparaissait encore plus restrictive et son application très limitée.
L’usurpation d’identité, numérique ou « réelle », était sanctionnée indirectement si elle avait comme conséquence de l’escroquerie, de l’atteinte à des données personnelles ou à un système de traitement de données, ou de la contrefaçon de marque. L’article 313-1 du Code Pénal définie l'escroquerie comme « le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge ». Ce délit était puni de cinq ans d'emprisonnement et de 375000 € d'amende, et il souligne encore un foie comme, avant les dernières modifications au Code Pénal, l’usurpation d’identité était une « composante » d’une infraction et non une infraction en elle-même.
L’absence d’un texte adressé directement à cette problématique et l’interprétation stricte qui dérive des textes répressifs donnait toujours la possibilité à la majorité des criminels d’échapper à toutes les sanctions. Dans l’autre côté, la présence de trois textes prévoyant et réprimant l’usurpation d’identité, la contrefaçon et l’escroquerie donnait au droit français au moins trois outils pour lutter efficacement contre une méthode très utilisée par la cybercriminalité : le phishing.
En plus, si la définition d’escroquerie n’était pas applicable, mais si l’usurpateur se faisait passer pour quelqu’un d’autre sur un espace publique, la loi de 1881 sur la presse était applicable.
Enfin, la découverte de données personnelles liées à une usurpation d’identité pouvait être lit comme une violation de la loi 78-17 du 6 Janvier 1978 .
Aspects pénales
Malgré la présence de nombreux dispositifs législatifs, l’absence d’une loi organique et précise a convaincu le gouvernement à étudier l’introduction d’un neuf code qui puisse remplir ce vide.
« Ces dispositions pénales se révèlent cependant insuffisantes au regard de la multiplication des utilisations malveillantes de l'identité de personnes physiques ou morales sur les réseaux de télécommunications » a déclaré la Ministre de l’Intérieur, de l’outre-mer et des collectivités territoriales en répondant en 2009 à une interrogation parlementaire. Elle a continué, en disant « Afin de mieux garantir le droit à la sécurité des internautes, […] le ministre proposera dans la future loi d'orientation et de programmation pour la performance de la sécurité intérieure une nouvelle incrimination pénale d'usurpation d'identité numérique »
Cette déclaration s’est concrétisé le 14 Mars 2011 avec l’introduction de l’article 226-4-1 du Code Pénal qui tracte explicitement l’argument de l’usurpation d’identité numérique : « Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération est puni d'un an d'emprisonnement et de 15 000 € d'amende » .
L’incrimination permettra de poursuivre les personnes qui utilisent, aussi sur un réseau de communication, l’identité d’un tiers, car la dernière partie de l’article dit : « Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne », en donnant de telle façon la possibilité d’égaliser l’identité « réel » et unique d’une personne juridique ou d’une entité à l’identité numérique.
La sanction regard le fait d’usurper l’identité d’un tiers aux fins de lui nuire ou de nuire à autrui, ou de le diffamer. C’est à noter que la tentative d’usurpation est punie au même titre que l’usurpation elle-même.
En effet, plusieurs articles de la LOPPSI ont été invalidés par le Conseil Constitutionnel mais ce dernier n’a pas été examiné. Ceci est apparu surprenant à plusieurs juristes parce que les éléments constitutifs de ce délit sont, au moins, imprécis. Soit la définition d’identité numérique est loin d’être univoque, soit les « données de toute nature permettant d’identifier » une personne peuvent être interprétées en différentes façonnes. En plus, aussi sur le « trouble de la tranquillité » subsistent des doutes.
Même la Commissions des Lois du Sénat, le 13 avril 2011, dénonce la largesse des définitions utilisées pour l’usurpation d’identité « puisqu'elle porte sur » un usage de données personnelles « et non pas exclusivement sur son identité civile. Elle est ainsi susceptible d'inclure l'usage frauduleux de titres de paiement, qu'il s'agisse de cartes bancaires qui ne correspondent pas directement à une usurpation d'identité. De la même manière, l'utilisation frauduleuse de codes d'accès personnels à des services électroniques n'est pas assimilable à une usurpation d'identité civile » .
En conclusion, il faudra attendre que soit la jurisprudence à délimiter les contours du délit d’usurpation d’identité. Au moment d’écrire ce document, nous ne sommes pas au courant de décisions judiciaires qui appliquent l’article 226-4-1 du Code Pénal. Ce fait est parfaitement normalà cause de la brève vie de cette loi.
La Commission des Lois du Sénat, ensable à la critique que nous avons cité juste au-dessus, à proposé de renfoncer le concept de l’identité numérique avec une proposition de loi relative à la « protection de l’identité » qui aurait dû être débattue le 27 avril au Sénat a été reportée en raison d'un ordre du jour trop chargé au lundi 30 mai prochain .
Cette proposition a comme principal apport la création d’une carte bancaire biométrique qui permettrait, entre autres plusieurs fonctions, à l’utilisateur de s’authentifier sur internet.
Aspects civiles
Au delà de l’aspect pénal, l’usurpation d’identité a également un aspect civil. Chaque personne peut faire sanctionner l'atteinte à son nom ou à d'autres éléments de sa personnalité, ou encore obtenir le remboursement des sommes dépensées par celui qui a utilisé sa carte bancaire frauduleusement.
Tant le nom que le pseudonyme sont civilement protégé contre les usurpations. L’article 1382 du Code Civil est applicable à ces cases. Cet article fonde la responsabilité civile, avec les mots : « Tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer ».
Pour obtenir l’application de cette loi, il faut que ils se vérifient trois conditions particulières :
-Il y a une faute (l’utilisation d’un pseudonyme de façon frauduleuse par exemple, en se faisant passer pour quelqu’un de connu) ;
-Il y a un préjudice (le titulaire de l’identité doit subir un préjudice du fait de la faute commise par l’usurpateur) ;
-Il y a un lien de causalité entre la faute et le préjudice.
L‘article 9 du Code Civil dit « Chacun a droit au respect de sa vie privée ». Il peut jouer également un rôle important si l’usurpateur dévoile des aspects de la vie privée de la personne dont il a pris l’identité, mais en général chaque conséquence personale liée à l’usurpation de l’identité numérique peut être prise en compte par un tribunal.
En cas d’absence de préjudice, l’article 544 du Code Civil pourrait être invoqué, comme la Jurisprudence rappelle: « le demandeur doit être protégé contre toute usurpation de son nom même s’il n’a subi de ce fait aucun préjudice»
| < Prec. | Succ. > |
|---|
