Proposition de loi sur l'usurpation d’identité numérique 4 juillet 2005

Le sénateur Michel Drefus-Schmidt a déposé le 4 juillet une proposition de loi tendant à la pénalisation de l’usurpation d’identité numérique sur les réseaux informatiques. Selon le sénateur, les « identifiants » qui composent l’identité numérique (mot de passe, nom de compte informatique, pseudonyme virtuel, codes divers donnant accès à des données à caractère privé) font de plus en plus souvent l’objet d’actes malveillants.

Ainsi, selon la Commission Fédérale du Commerce aux Etats-Unis (FTC), dix millions d’américains ont été victimes d’usurpation d’identité numérique l’année dernière, entraînant un coût pour les entreprises ou les particuliers estimé à 50 milliards de dollars. Cette usurpation passe par différents supports et outre l’internet, on assiste aussi au piratage des lignes téléphoniques (le « phreaking »), ou l’usurpation par téléphone. L’usurpation la plus courant sur internet reste néanmoins l’hameçonnage (« phishing »). Ce terme désigne l’obtention des identifiants d’une personne, en se faisant passer auprès des victimes pour un individu, une entreprise ou une autorité publique ayant un besoin légitime de solliciter l’information demandée. La victime ayant révélé ses identifiants personnels, le fraudeur peut accéder au compte (bancaire, d’achat en ligne, de courriel ou autres) de cette dernière et l’utiliser à des fins malveillantes.

Selon l’exposé des motifs de la proposition de loi, « le phisheur qui s’empare d’un identifiant sur internet pour commettre un délit financier dont l’usurpé sera la victime est un cas non connu du droit positif. Les tribunaux invoquent le plus souvent le délit d’accès frauduleux à un système de données informatiques pour poursuivre le délinquant (article 323-1 et suivants du Code Pénal), mais l’usurpation d’identité en tant que telle n’est pas sanctionnée : l’usager n’est pas protégé, on peut parler de vide juridique ».

La proposition de loi vise donc à insérer un article 323-8 du Code Pénal aux termes duquel :

« Est puni d’une année d’emprisonnement et de 15 000 euros d’amende, le fait d’usurper sur tout un réseau informatique de communication l’identité d’un particulier, d’une entreprise ou d’une autorité publique. Les peines prononcées se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l’infraction à l’occasion de laquelle l’usurpation a été commise ».

Commentaire

La France connaît actuellement une aggravation du phénomène de « phishing ». Elle est en effet passée du dixième rang des pays les plus exposés au mois de novembre 2004 au cinquième rang au mois de décembre 2004. La proposition de loi vise donc à incriminer l’usurpation d’identité numérique indifféremment des délits, comme le délit d'escroquerie, ou celui d'accès frauduleux à un système informatique, que l’usurpation tend à réaliser. Il reste néanmoins que la notion d’identité numérique pourrait être mieux définie.