Le texte de loi ne sera publié au journal Officiel français qu'en début de semaine prochaine.
Cette proposition de loi est une réponse juridique à un phénomène qui s'amplifie notamment sur le réseaux des réseaux.
________________________________________
Proposition de
loi
tendant
à la
pénalisation
de
l'usurpation d'identité numérique
sur les réseaux informatiques.
PRÉSENTÉE
Par Mr Michel Dreyfus-Schmidt
Sénateur.
EXPOSÉ DES MOTIFS
L'identité d'une personne est ce qui fonde
l'existence de sa personnalité juridique. Dans le
“monde réel”, cette dernière est
clairement circonscrite à l’état civil et
protégée en tant que telle par le droit français.
Dans le “monde virtuel”, l’identité
d’une personne est plus vaste et ses contours
moins clairs. Certaines données numériques qui ont
trait à l’identité d’un individu, comme
un mot de passe d’un compte personnel sur
l’Internet par exemple, ne sont pas considérées
comme des éléments constitutifs de l’identité
juridique d’une personne. Or ces dernières sont
le lieu d’usurpations d’identités bien
réelles.
Cette identité numérique est composée
d’éléments qu’on peut appeler
« identifiants ». Ces derniers (mot de
passe, nom de compte informatique, pseudonyme
virtuel, codes divers donnant accès à des données à
caractère privé, etc…) font de plus en plus
l’objet d’actes malveillants.
Selon la FTC (Commission fédérale du commerce aux
États-Unis), 10 millions d'américains furent victimes
d'usurpation d'identité numérique l'an passé,
entraînant un coût pour les entreprises ou les
particuliers estimé à 50 milliards de dollars.
Le problème a été jugé sérieux outre-atlantique. Le
président G. W. Bush a ainsi signé le 16 juin 2005,
un texte de loi Identity Theft Penalty Enhancement
Act visant à alourdir sensiblement la durée
d'emprisonnement infligée à l'encontre des voleurs
d'identité numérique qui avaient commis une
infraction.
Dans un même ordre d'idée, le gouvernement anglais a
annoncé fin mai 2005 la version finale de son nouveau
texte de loi Fraud Bill visant à infliger jusqu'à 10
ans de prison contre ceux qui commettent ce type
d’usurpation. Le texte doit passer très bientôt
devant le Parlement britannique.
En France depuis quelques mois, plusieurs campagnes
publiques (pilotées par le Ministère de
l'Education-
www.protegetonordi.com)
ou privés (notamment lancées par la Fédération
bancaire française) ont été mises sur pied afin de
sensibiliser la population sur les dangers de
l'usurpation d'identité numérique. Car le phénomène
s’amplifie. Selon l’Observatoire de la
cyberconsommation, l’Hexagone est passé
l’an dernier de la dixième à la cinquième place
des pays les plus touchés, derrière les États-Unis
qui occupent le premier rang mondial.
Cette usurpation passe par différent support et outre
l’Internet, on assiste aussi au piratage de
ligne téléphonique (le “phreaking”), ou
l’usurpation par téléphone. Cette dernière est
très répandue au Japon notamment.
Reste que l'usurpation d'identité la plus courante
sur l’Internet est celle appelée phishing. Le
phishing, ou hameçonnage, est un terme désignant
l'obtention des identifiants d’une personne, en
se faisant passer auprès des victimes pour un
individu, une entreprise ou une autorité publique
ayant un besoin légitime de solliciter l'information
demandée.
La victime ayant révélé ses identifiants personnels,
le fraudeur peut accéder au compte (bancaire,
d’achat en ligne, de courriel ou autres) de
cette dernière et l'utiliser à des fins
malveillantes, comme l'envoi de spam ou pourriels en
français (courriels non sollicité en nombre), le vol
d'argent ou tout autre délit. L'usurpation d'identité
vient alors aider à la constitution d'une infraction.
Dans le cadre juridique actuel, celui qui prend
l'identité d'un tiers dans le but de le faire passer
pour un délinquant, est puni par l’article
434-23 du Code Pénal, comme celui qui utilise une
fausse identité dans un acte authentique ou un
document administratif destiné à l’autorité
publique (article 433-19 du Code Pénal) ou celui qui
prend un faux nom pour se faire délivrer un extrait
de casier judiciaire (article 781 du Code Pénal). En
revanche, le « phisheur » qui s'empare d'un
« identifiant » sur Internet pour commettre
un délit financier dont l'usurpé sera la victime est
un cas non connu du droit positif. Les tribunaux
invoquent le plus souvent le délit d'accès frauduleux
à un système de données informatiques pour poursuivre
le délinquant (article 323-1 et suivant du Code
Pénal), mais l'usurpation d'identité en tant que
telle n'est pas sanctionnée : l'usager n'est pas
protégé, on peut parler de vide juridique.
En conclusion, face à l'usurpation d'identité
numérique, les victimes font face à une situation
juridique incertaine et à des réponses techniques
aujourd’hui insuffisantes.
C'est pourquoi, il convient d'insérer dans le code
pénal une nouvelle infraction : l'usurpation
d'identité numérique.
Tel est l'objet de la proposition de loi que nous
vous demandons de bien vouloir adopter
PROPOSITION DE LOI
Article unique
Il est inséré après l'article 323-7 du Code Pénal, un
article supplémentaire rédigé comme suit :
"Article 323-8 - Est puni d’une année
d'emprisonnement et de 15 000 euros d'amende, le fait
d'usurper sur tout réseau informatique de
communication l'identité d'un particulier, d'une
entreprise ou d’une autorité publique.
Les peines prononcées se cumulent, sans possibilité
de confusion, avec celles qui auront été prononcées
pour l'infraction à l'occasion de laquelle
l'usurpation a été commise. "