Une proposition tente de punir l'usurpation d'identité numérique

Moi c'est toi, toi tais-toi 38
Marc Rees
https sécurisé navigation Une nouvelle proposition de loi a été déposée afin de sanctionner par une peine spéciale, les cas d’usurpation d’identité numérique.

L’idée, on le sait, a connu des hauts et des bas. Le sénateur du Territoire de Belfort, Michel Dreyfus-Schmidt, avait fait une telle proposition pour punir d'une année d'emprisonnement et de 15 000 euros d'amende, le fait « d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une autorité publique ».

Mais le texte était resté dans les tiroirs : interrogé en 2006, le gouvernement d’alors avait estimé que l’article 434-23 punit déjà « le fait de prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales ». La peine est lourde (75 000 euros d’amende, 5 ans de prison). De plus, le délit d’escroquerie permet de sanctionner des mêmes peines les usurpations qui ont des conséquences financières. Ainsi, « il n'apparaît pas nécessaire de modifier la législation pour réprimer ces comportements » répondait-on à l’époque, très satisfait de la trousse à outils pénale disponible. Le décès du sénateur Michel Dreyfus-Schmidt concluait un peu plus ce dossier, en annulant la proposition de loi…

Le plan Besson et la sécurité numérique

La sénatrice Jacqueline Panis a donc déposé un nouveau texte. Elle s’appuie sur le plan de développement de l'économie numérique, dit « France numérique 2012 » présenté à l’Élysée voilà peu et qui a revigoré le thème. Ce « plan Besson » estime justement « nécessaire de renforcer la qualité et la sécurisation des titres d'identité, mais également d'offrir de nouveaux services aux citoyens en leur donnant les moyens de prouver leur identité sur Internet et de signer électroniquement ». Pour la sénatrice, pas de doute : « si dans le monde réel, nul ne peut s'attribuer une identité qui ne soit pas reconnue par les autorités publiques, dans le monde du virtuel il en va tout autrement. ‘L'identité numérique’ échappe à toute attribution par une autorité publique, c'est-à-dire que les éléments qui la composent ne relèvent pas de l'identité juridique de la personne ».

Multiplication des risques

Or, vu le nombre d’atteintes en « ing », les dangers sont multiples pour la protection de l’identité sur les réseaux : « Phishing », « pharming » (technique de l'hameçonnage qui en plus redirige les utilisateurs d'un site Internet authentique vers un site frauduleux semblable au site original), « SMiShing » (un SMS, envoyé sur un téléphone mobile confirme un abonnement à l'un des services d'une entreprise, qui sera soi-disant facturé quotidiennement à défaut d'annulation de la commande sur le site Internet de l'entreprise), « spear-phishing » ou « harponnage » (technique consistant à se faire passer pour un collègue ou l'employeur du destinataire afin de récupérer les identifiants de membres du personnel pour pouvoir accéder au système informatique de l'entreprise).

Un droit pénal insuffisant ?

De fait, pour la sénatrice, le droit pénal n’embrasserait pas toutes les situations : il ne réprimerait actuellement que les cas d’utilisation de fausse identité dans un acte authentique ou un document administratif, le fait d’utiliser un faux nom pour se faire établir un extrait de casier judiciaire, ou dans les cas on tente de faire passer le volé pour un délinquant (434-23) voire les cas d’escroquerie ou de diffamation. Dans des cas plus rares, c’est l’utilisation de l’armada pénale réprimant les atteintes aux systèmes automatisés de données.

Or, « ce sont les conséquences de l'usurpation d'identité qui sont sanctionnées et non l'usurpation d'identité elle-même ». Un état qu’il convient donc de changer, toujours avec une peine de prison d'une année et de 15 000 euros d'amende, peines qui viendront s’ajouter « sans possibilité de confusion, avec celles qui auront été prononcées pour l'infraction à l'occasion de laquelle l'usurpation a été commise ». Par contre, il n'est pas certain que ce texte trouve toute sa force lorsque l'infraction a été commise depuis un pays asiatique ou en Europe de l'Est...