L’usurpation d’identité, au sens de l’article 434-32 du Code pénal, est le « fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales ».
Ainsi, l’utilisation du nom d’un tiers n’est pénalement répréhensible que si cette utilisation fait peser un risque pénal sur la personne dont l’identité a été usurpée (escroquerie, diffamation, par exemple).
La technique d’usurpation d’identité la plus répandue sur internet est le phishing. Le phishing est une technique de fraude visant à obtenir des informations confidentielles telles que des mots de passe ou des numéros de carte de crédit au moyen de messages ou de sites usurpant l’identité d’institutions financières ou d’entreprises commerciales.
Les pirates informatiques créent de faux courriers électroniques imitant ceux d’entreprises ou d’organismes (en reprenant le logo de ces organismes, par exemple) qu’ils adressent à des internautes et/ou créent de faux sites internet (reprenant la signalétique des vrais sites) vers lesquels ils redirigent les internautes. Les internautes non vigilants répondent à ces courriers électroniques frauduleux ou se rendent sur les faux sites internet et communiquent des informations personnelles et confidentielles directement aux fraudeurs.
En l’absence d’infraction spécifique d’usurpation d’identité en ligne, les tribunaux ont recours à d’autres qualifications pénales pour sanctionner ces types de fraudes. Le phishing a pu recevoir la qualification d’escroquerie et d’accès frauduleux à un système de traitement automatisé de données dans une affaire où les fraudeurs avaient contrefait les pages d’accueil des sites internet de plusieurs banques, afin que les titulaires de compte effectuent à leur profit des virements bancaires (délit d’escroquerie) et ajouté des relevés d’identité bancaire dans le système d’une des banques, modifié les plafonds de certaines opérations et effectué des virements (en accédant frauduleusement au système informatique de la banque). D’autre part, un internaute, qui avait réalisé sur son site personnel une imitation de la page d’enregistrement au service MSN Messenger de Microsoft afin de recueillir des données personnelles des utilisateurs, a été condamné pour contrefaçon.
Le projet de loi d’orientation et de programmation pour la sécurité intérieure, adopté par le Sénat le 10 septembre 2010, prévoit deux nouvelles incriminations relatives à l’usurpation d’identité sur internet :
- le fait d’usurper, sur un réseau de communication électronique ouvert au public, l’identité d’un tiers ou une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler la tranquillité de cette personne ou d’autrui ;
- le fait d’usurper, sur un réseau de communication électronique ouvert au public, l’identité d’un tiers ou une ou plusieurs données de toute nature permettant de l’identifier en vue de porter atteinte à son honneur ou à sa considération.
Ces délits seraient punis d’un an d’emprisonnement et de 15 000 euros d’amende. La notion de « tranquillité » n’est pas définie par le texte. En revanche, les termes « atteinte à l’honneur ou à la considération » de la personne dont l’identité a été usurpée renvoient à l’infraction de diffamation publique envers un particulier prévue par l’article 29, alinéa 1er, de la loi du 29 juillet 1881 sur la liberté de la presse. Le projet de loi devrait être débattu prochainement devant l’Assemblée nationale.
Texte n°159 (2009-2010) adopté avec modifications par le Sénat le 10 septembre 2010