Parallèlement à l’essor d’Internet s’est développé un type d’escroquerie qui consiste à se faire passer pour quelqu’un d’autre pour obtenir des données personnelles et ainsi détourner des fonds ou porter atteinte à la réputation d’une personne physique ou d’une entreprise. Selon une étude du CREDOC, aujourd’hui le nombre d’usurpations d’identité en France s’élèverait à 210 000.
L’apport de la loi LOPPSI II
Selon la CNIL, l’usurpation d’identité consiste à utiliser, sans l’accord d’une personne, des informations permettant de l’identifier. Il peut s’agir, par exemple, des nom et prénom, d’une adresse électronique, ou encore de photographies. Ces informations peuvent ensuite être utilisées à son insu, notamment pour souscrire sous son identité un crédit, un abonnement, pour commettre des actes répréhensibles ou nuire à sa réputation.
La loi LOPSSI II de 2011 a crée une nouvelle infraction spécifique : l’usurpation d’identité numérique. Avec cette nouvelle loi, l’article 226-4-1 du Code pénal dispose que « le fait d’usurper l’identité d’un tiers ou faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende ».
Le délit d’usurpation d’identité numérique comprend deux caractéristiques:
L’élément matériel de l’infraction: l’utilisation de l’identité d’un tiers ou de données de toute nature permettant de l’identifier sur un réseau de communication électronique.
L’élément intentionnel de l’infraction: cette utilisation doit être faite dans le but de troubler la tranquillité d’un tiers ou en vue de porter atteinte à son honneur et à sa réputation.
De plus, cet article étend l’usurpation d’identité à l’usage « d’une ou plusieurs données de toute nature ». Il sera donc possible de réprimer les usurpations d’adresse mail, de pseudonymes, de mots de passe, voire d’adresse IP, qui sans être une usurpation d’identité, peut conduire aux mêmes dommages pour la victime.
L’usurpation d’identité numérique, telle que prévue par la loi LOPSSI II, est commise sur un réseau de communication au public en ligne, c’est-à-dire les courriers électroniques, les sites web, les messages publiés en ligne et les profils en ligne sur les réseaux sociaux comme Facebook et Twitter.
La forme d’une usurpation et la prévention des victimes
La plupart du temps l’usurpateur souhaite nuire à la réputation de la personne en créant un faux profil ou blog ou en laissant des commentaires sous l’identité de la personne. Mais il peut également utiliser la technique du phishing, c’est-à-dire se faire passer pour un organisme public ou privé et profiter de la confiance de la victime envers cette organisme pour récupérer des informations personnelles. Après avoir obtenu frauduleusement ces informations, l’usurpateur peut s’en servir pour accéder à des comptes sécurisés et effectuer des opérations sous l’identité de la victime.
Ainsi, il est conseillé aux internautes de rester prudent sur les informations personnelles qu’ils fournissent en réponse à des messages dont la provenance parait suspecte.
En cas de création de faux profil sur un réseau social, la victime peut directement s’adresser au site en signalant le compte d’un imposteur et demander à ce que cesse la diffusion d’informations personnelles. La victime pourra alors fournir des documents pour prouver son identité.
Quelques exemples jurisprudentiels
On a vu ces dernières années plusieurs affaires d’usurpation d’identité sur Internet, notamment avec la création d’un faux profil Facebook d’Alain Juppé. Le contrefacteur a justifié son action en arguant qu’il avait voulu montrer les limites de tels sites car « n’importe qui peut se cacher sous un faux profil ».
Ici, l’atteinte à la réputation peut se faire par la publication de propos qui, bien que licites, peuvent être contraires aux convictions et engagements de la victime. On peut mentionner à ce sujet, plusieurs autres jurisprudences concernant l’usurpation d’identité :
En 2008, la High Court de Londres a condamné une personne à 22 000 £ de dommages et intérêts pour avoir crée un faux profil Facebook contenant des informations fausses et diffamatoire sur la vie privée et l’honnêteté de la victime.
Le 10 octobre 2014, sur la base de l’article 226-4-1 du Code pénal, la cour d’appel de Paris a condamné à dix mois de prison avec sursis et 30 000 euros de dommages et intérêts, une personne qui, par vengeance, avait usurpé l’identité d’un de ses anciens associés pour créer des adresses électroniques et des comptes Facebook contenant des messages diffamatoires et insultants.
Le 18 décembre 2014, le tribunal de grande instance de Paris a condamné sur la même base à 3 000 euros d’amende une personne qui avait piraté pour s’amuser le site web de Rachida Dati. L’ informaticien a mis en ligne un faux site officiel de la députée-maire du VIIème arrondissement de Paris, reproduisant la photo ainsi que la charte graphique du véritable site. Il était possible aux internautes d’y publier du texte sous la forme de faux communiqués de presse.
Le 8 janvier 2015, le tribunal de correctionnel de Montbéliard a condamné à quatre mois de prison avec sursis et 1 000 euros d’amende une homme qui, pour se venger d’avoir été éconduit par une femme, avait crée au nom de celle-ci une page Facebook contenant des messages sexuellement explicites.
Enfin, l’affaire Omar Sy où un internaute avait créé une page web comportant les nom et prénom de l’acteur, sa date de naissance ainsi que des photos : l’usurpateur a été condamné en 2010 pour atteinte à la vie privée et au droit à l’image.
Mehdi Taieb,
Etudiant en master 2 Droit de l’économie numérique à l’Université de Strasbourg
