Nul ne peut nier que la dématérialisation des processus et des modes opératoires physiques, constitue aujourd’hui un pilier de croissance indispensable. Certes, ce passage à l’informatique est l’une des préoccupations des États pour renforcer leurs places sur la scène internationale. Cependant, l’itinéraire vers ce monde binaire suppose une meilleure protection des données mises en circulation.
Comme on a pu le démontrer dans nos précédents écrits, ce sujet vieillissant reste toujours en vogue, et le risque cyber gagne en ampleur. Il rentre de plus en plus dans les stratégies de gouvernance des entreprises. En revanche, ce risque étant souvent indétectable et imprévisible, pouvant même vivre dans nos systèmes informatiques, se nourrissant de nos données, sans trace ni bruit.
L’arnaque au président ou l’hameçonnage, par exemple, constituent des techniques d’une problématique plus globale. C’est l’usurpation d’identité numérique. Force alors de constater que si l’humain, a une identité dans le monde des vivants, il a aussi une « identité numérique » dans le monde de sa création : le monde numérique. Il doit alors bénéficier d’une protection de ses données dans ce nouveau monde.
C’est alors qu’un régime spécial s’est instauré pour protéger les victimes de l’usurpation de leurs identités numériques. En ce sens, ces entreprises qui subissent le vol de leurs identités, avatars, mots de passes etc. peuvent invoquer directement le délit d’usurpation d’une identité numérique.
Qu'est-ce que l'usurpation d'une identité numérique ?
L'usurpation d'une identité numérique est une notion nouvelle, introduite en droit français suite à l'adoption de la loi LOPPSI II du 114 mars 2011. Cela consiste à utiliser des données personnelles propres à vous identifier sans votre accord. Une fois volées, ces informations peuvent servir aux usurpateurs pour nuire à votre réputation, réaliser des opérations financières ou commettre des actes répréhensibles en votre nom.
Avant cette loi, il existait des dispositifs réprimant l'usurpation d'identité et la fausse déclaration relative à l'état civil d'une personne. Néanmoins, ces dispositifs n'étaient pas spécifiques à notre cas précis.
Suite aux réactions internationales, notamment par nos homologues américains et anglais, deux sénateurs Français ont proposé en 2005 puis en 2008 la pénalisation du l’usurpation d’identité numérique. Ce n’est qu’en 2009 que le législateur Français s’est emparé du sujet. Dans la même année, on comptait déjà 210 000 cas d’usurpation d’identité en France, selon le Centre de recherche pour l'étude et l'observation des conditions de vie. Le projet de loi a été présenté par la ministre de l'Intérieur Michèle Alliot-Marie le 19 janvier 2009 puis lors du Forum International Cybercriminalité.
Entrée en vigueur le 14 mars 2011, l’incrimination a pris siège au sein de l’article 226-4-1 du Code Pénal.
Il est rédigé dans ces termes "le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 ¤ d'amende."
Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne.’
On remarque que les termes sont larges permettant ainsi d’élargir le champ d’application du texte.
De cet article, découle deux éléments constitutifs :
-
Un élément moral : la volonté de se faire passer pour autrui, ou le fait de vouloir troubler la tranquillité de ce tiers ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération.
-
Et un élément matériel : l'usage de données permettant d'identifier un tiers.
Deux techniques sont adoptées par les arnaqueurs :
-
Soit, ils dérobent les données via les techniques de l’ingénierie sociale et du phishing soit en créant un faux site web ou un faux profil.
Pour commencer, en première application de ce texte le TJ (Tribunal Judiciaire) de Paris a rendu un jugement datant du 18 décembre 2014. En l’espèce, un informaticien a calqué le site officiel d’une personne politique (députée maire) permettant aux internautes de commenter en son nom et sous forme de communiqués de presse des propos dégradants et sexistes. La cour a qualifié cet acte d’usurpation d’identité numérique. Elle a considéré qu’il y avait une volonté de troubler la tranquillité de la victime en ce que l’informaticien, en sa qualité de modérateur du site, aurait pu mettre fin à ce trouble.
Un autre exemple encore plus récent : un arrêt du 11 avril 2019 a condamné une salariée qui a créé une chaine YouTube au nom de la société dans laquelle elle travaille et où elle critique ladite société en dénonçant les conditions de travail. La société invoqua alors le délit d’usurpation d’identité numérique.
Ces arrêts peuvent aussi s’appliquer dans le cas où la victime serait une personne morale. Car l’article s’applique aussi aux personnes morales.
Comment les entreprises peuvent-elles se défendre face à ce type d’acte ?
-
La victime peut déposer une plainte auprès de la CNIL (Commission nationale de l'informatique et des libertés), auprès des forces de l’ordre ou directement auprès du procureur de la République. Le problème c’est qu’il est difficile d’identifier l’auteur du dommage, sauf que beaucoup d’organismes aident l’entreprise dans son enquête. En effet, dans l’arrêt susmentionné du 18 décembre 2004, l’enquête a été menée par la BEFTI (Brigade d'enquêtes sur les fraudes aux technologies de l'information), ce qui a permis de détecter l’informaticien fautif.
-
La preuve devant aussi être apportée, la victime peut demander le fournisseur d’accès à internet ou le fournisseur d’hébergement afin d’obtenir la communication des données permettant d’identifier l’auteur de l’infraction. En effet, c’est la loi LCEN (loi pour la confiance dans l’économie numérique du 21 juin 2004) qui oblige ces derniers à conserver les données “de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles (ces personnes) sont prestataires”.
« Par ailleurs, il peut être utile de faire établir un constat d’huissier afin de conserver la preuve des écrans, pages web et autres éléments à l’appui des poursuites. »
De même, le fait de commettre l’usurpation d’identité doit être prouvé. Pour cela, la preuve de l’élément moral précité est exigée. C’est cohérent car cela répond au besoin de qualifier l’acte. Sauf que l’élément matériel n’a pas à être prouvé (l’usage des données). Il suffira par exemple de rapporter la preuve qu’une personne vous a envoyé un mail de phishing sans devoir prouver que la personne a effectivement eu accès ou a utilisé vos données.
Pour prétendre qu’il y a eu diffamation, injure ou atteinte à la réputation, l’entreprise doit obligatoirement faire dresser un constat par un huissier de justice, dans des formes particulières et un délai déterminé.
-
De même, le délai de prescription pour diffamation et injure est de 3 mois, non pas de 6 ans (délai de prescription pour tous les délits en droit pénal).
-
D’un autre point de vue, la victime peut engager la responsabilité de l’auteur de l’usurpation sur le fondement de l’article 1240 du code civil. Le préjudice étant la nuisance à la réputation de la victime ou juste le fait de nuire à sa tranquillité etc. En ce sens, deux arrêts ont prononcé, à côté de l’amende pénale, des dommages et intérêts en réparation de ce préjudice. On peut alors remarquer qu’un cumul des sanctions est possible dans ce cas de figure.
Dossier complet répondant à mes questions