II Les solutions juridiques et techniques contre l'usurpation d'identité

L'usurpateur d'identité doit pouvoir etre sanctionné pour les actions qu'il a commises (A). Toutefois, une politique exclusivement répressive n'est pas pleinement satisfaisante. Des moyens de prévention techniques doivent également être mis en place pour endiguer les usurpations d'identités numériques (B).

A IIa solution juridique : la sanction de l'usurpation d'identité

L'usurpation d'identité n'est à l'heure actuelle sanctionnée que lorsqu'elle « entraine un risque pénal pour la victime de l'usurpation »²¹(1). En effet, il n'existe pas d'infraction spécifique sanctionnant l'usurpation d'identité de manière autonome à l'heure actuelle (2).

1) L'usurpation d'identité sanctionnée comme moyen de commettre d'autres infractions

Même si la personne, victime de l'usurpation de son nom a la possibilité d'engager une action civile contre l'auteur de l'usurpation, nous n'envisagerons dans cette partie que les règles du droit pénal permettant de sanctionner l'usurpation d'identité.

Les appréhensions pénales possibles de l'usurpation d'identité sont multiples mais leur champ d'application est restrictif.

20 Usurpation d'adresse IP http://www.commentcamarche.net/contents/attaques/usurpation-ip-spoofing.php3

²¹ C. Manara Conditions de la sanction de l'usurpation de nom sur Internet, D. 2006 p. 1443&s.

L'article 434-23 du code pénal²² sanctionne la personne qui prend le nom d'un tiers dans des circonstances qui ont déterminé ou auraient pu déterminer contre le tiers usurpé des poursuites pénales. Il est donc nécessaire de prouver que non seulement l'auteur de l'usurpation a pris le nom d'un tiers (première condition), mais encore que cet usage a été fait dans l'intention de rendre ce tiers passible d'une sanction pénale (deuxième condition)²³. Le pseudonyme, l'adresse électronique, le mot de passe ou encore l'adresse IP d'une personne ne peuvent etre assimilés à un nom, le droit pénal étant d'interprétation stricte. En outre, si l'auteur de l'usurpation se contente de naviguer sur Internet, il ne peut faire l'objet de sanction pénale. Ce fondement peut etre retenu dans des hypothèses d'usurpation du nom d'une personne. La Cour d'appel de Colmar, dans l'affaire évoquée supra avait retenu ce fondement pour sanctionner un message électronique diffamatoire envoyée sous le nom d'un tiers. La Chambre criminelle de la Cour de cassation a cassé l'arret au motif que la diffamation n'était pas constituée et donc a fortiori la prise du nom d'un tiers non plus²⁴.

La diffamation de l'article 29 alinéa 1 de la loi du 29 juillet 1881²⁵ permet de sanctionner les usurpations d'identité qui portent atteinte à la réputation de la personne. Pour que cette infraction soit constituée, il est nécessaire de prouver que les propos, écrits portent atteinte à la considération d'une personne déterminée et qu'ils soient suffisamment précis. Dans l'arr~t du 29 mars 2006, la Cour de cassation a considéré que la diffamation n'était pas suffisamment caractérisée et a cassé l'arr~t de la Cour d'appel²⁶.

L'autre qualification juridique pénale possible est l'escroquerie ou la tentative
d'escroquerie²⁷. L'escroquerie parait être le fondement le plus évident pour sanctionner le
phishing. En effet, l'auteur du phishing utilise une fausse identité en se faisant passer pour une

²² Article 434-23 du code pénal : « Le fait de prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende ».

²³ J-S Mariez Un premier pas vers la mise en place d'un dispositif pertinent de lutte contre l'usurpation d'identité sur Internet ?, RLDI novembre 2008 p. 65 &s.

²⁴ Cass. Crim. 29 mars 2006, E. Caprioli De l'usurpation d'identité en matière pénale, CCE juillet-août 2006 p.39-40.

25 Article 29 alinéa 1de la loi du 29 juillet 1881 « toute allégation ou imputation d'un fait qui porte atteinte à lihonne_-uThwIMEcfonsidIADIioCAde la personne ou du corps auquel le fait est imputé, est une diffamation ».

2 Cass. Crim. 29 mars 2006, A. Cousin L'usurpation d'identité sur internet : une lacune à combler ?, Expertises août-septembre 2006 p.322-323.

²⁷ Article 313-1 du code pénal « le fait soit par l'usage d'un faux nom ou d'une fausse qualité soit par l'abus d'une qualité vraie, soit par l'emploi de manoeuvres frauduleuses de tromper une personne physique ou morale et de la déterminer ainsi à son préjudice ou au préjudice d'un tiers à remettre des fonds des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge », ce délit est puni de cinq ans d'emprisonnement et de 375 000 euros d'amende.

entreprise titulaire d'un site Internet dans le but de recueillir des fonds, des valeurs ou un bien quelconque que sont les informations personnelles de la victime. Le tribunal de grande instance de Paris, dans un jugement du 2 septembre 2004 a ainsi sanctionné sur ce fondement l'auteur d'un phishing qui avait imité le site Internet de la banque Crédit Lyonnais, puis récupéré les identifiants et mots de passe de clients de la banque²⁸.

Pour les cas de phishing ou de pharming, la contrefaçon de marque²⁹ ou de droit d'auteur est également une qualification juridique envisageable. Dans une affaire où l'auteur d'un phishing avait repris sur un site miroir les éléments caractéristiques du site MSN Messenger, le tribunal de grande instance de Paris en date du 21 septembre 2005 a retenu la contrefaçon de marque³⁰.

L'article 323-3-1 du code pénal³¹ est un moyen de lutter de manière préventive aux risques d'usurpation d'identité. Le tribunal correctionnel de Saverne, dans un jugement datant du 12 juin 2008, a appliqué cet article pour sanctionner un individu qui diffusait sur son blog un guide d'utilisation détaillant la démarche à suivre pour s'approprier l'identifiant et le mot de passe des utilisateurs de MSN³².

La collecte déloyale de données à caractère personnel³³ et le traitement de donnée réalisé sans le respect des formalités préalables³⁴ pourraient être des moyens juridiques permettant d'engager des poursuites à l'encontre de l'auteur d'une usurpation d'identité. Une donnée à caractère personnel est une information relative à une personne physique identifiée ou qui

²⁸ TGI Paris 2 septembre 2004.

²⁹ Article L 122-4 du code de la propriété intellectuelle « Toute représentation ou reproduction intégrale ou SEUl1l1eE11111EGEQs l17RQs1Qt1PeQt de l'aXteXr RX de ses ayaQtRMXTH114152FB1E JO1Q 114F111PrPHSRXWIL traduction, EnDfESMIRQ RXECECITEQsfREPDEIRQ, EffiEUDQIeP1Qt RXalCUSER(XctIRQ SEUXQ aIHMERX EXQ SERFpCp quelconque ».

30 TGI Paris 21 septembre 2005, disponible sur www.legalis.net

³¹ Article 323-3-1 du code pénal « Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ( c'est-à-dire d'introduire frauduleusement des données dans un système de traitement automatisé, d'entraver et fausser son fonctionnement et de supprimer ou modifier frauduleusement des données) est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée ».

32 TGI correctionnel Saverne 12 juin 2008, J-S Mariez 8 Q SrePier Sas Y1rs la Pise eQ Slace d'XQ disSRsitif SHtiQ1Qt allXtt1ilRQtMXsXrSEVERQ d'ideQtitp sXr JQteIQei ?, RLDI novembre 2008 p. 65 &s.

³³ Article 226-18 du code pénal « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende ».

³⁴ Article 226-17 du code pénal « Le fait de procéder ou de faire procéder à un traitement de données à MLEFIgHSHIRQQHIPaQs,P1FFEHIQ oeXYUDIWP1FXU2 STHRIF1TDI zumorm israHRE Q^° III-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. »

peut être identifiée, directement ou indirectement, par référence à un ou plusieurs éléments qui lui sont propres³⁵. Le phishing, pharming ou même le spoofing³⁶ sont susceptibles d'être condamné sur ces fondements.

Si le droit existant permet à l'heure actuelle de réprimer un nombre important de cas d'usurpation d'identité sur Internet, les solutions juridiques proposées par les différentes incriminations pénales ne sont pas pleinement satisfaisantes, la sanction étant aléatoire. L'absence de délit sanctionnant en tant que tel l'usurpation d'identité crée un vide juridique (2).