Alors que Cyberpolice publiait le 4 juillet dernier « Le phishing : quand l'internaute mord à l'hameçon », le parlementaire Michel Dreyfus-Schmidt déposait, le même jour, au Sénat, une proposition de loi tendant à la pénalisation de l'usurpation d'identité numérique sur les réseaux informatiques.
:: Innovation pénale ::
En effet, le sénateur propose d'insérér après l'article 323-7 du code pénal, l'article 323-8 suivant : « Est puni d'une année d'emprisonnement et de 15 000 euros d'amende, le fait d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une autorité publique. » Par ailleurs, « les peines prononcées se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l'infraction à l'occasion de laquelle l'usurpation a été commise. »
Le parlementaire rappelle qu'en France « depuis quelques mois, plusieurs campagnes publiques (pilotées par le ministère de l'éducation - www.protegetonordi.com [NDLR : Voir l'article du 4 juin 2005 « La semaine de la sécurité informatique : c'est parti ! »]) ou privées (notamment lancées par la Fédération bancaire française) ont été mises sur pied afin de sensibiliser la population sur les dangers de l'usurpation d'identité numérique. Car le phénomène s'amplifie. Selon l'Observatoire de la cyberconsommation, l'hexagone est passé l'an dernier de la dixième à la cinquième place des pays les plus touchés, derrière les États-Unis qui occupent le premier rang mondial. »
Les cas d'usurpation d'identité via Internet les plus connus sont liés au phishing (pour plus de détail sur cette fraude, voir l'article « Le phishing : quand l'internaute mord à l'hameçon »).
:: Monde réel / monde virtuel ::
Dans le cadre juridique actuel, il y a une différence entre l'usurpation d'identité dans le monde réel et dans le monde virtuel.
Ainsi dans le premier cas, celui qui prend l'identité d'un tiers dans le but de le faire passer pour un délinquant, ou celui qui utilise une fausse identité dans un acte authentique ou un document administratif destiné à l'autorité publique, ou encore celui qui prend un faux nom pour se faire délivrer un extrait de casier judiciaire est passible de poursuites judiciaires.
Concernant le monde virtuel, en revanche, les tribunaux font face à un vide juridique. Le « phisheur » n'existe pas juridiquement. Les juridictions sanctionnent donc le fraudeur sur une autre base légale : le délit d'accès frauduleux à un système de données informatiques (article 323-1 et suivant du code pénal). Mais la protection de l'internaute n'est pas assurée.
En fait, cette situation est aisément compréhensible : le sénateur Dreyfus-Schmidt explique que « certaines données numériques qui ont trait à l'identité d'un individu, comme un mot de passe d'un compte personnel sur l'internet par exemple, ne sont pas considérées comme des éléments constitutifs de l'identité juridique d'une personne. Or ces dernières sont le lieu d'usurpations d'identités bien réelles. »
:: Une prise de conscience internationale ? ::
Après la signature par le Président Georges Walter Bush d'un texte prévoyant un alourdissement des sanctions pénales aux Etats-Unis le 16 juin dernier, après une action similaire du gouvernement britannique dès le mois de mai, la France doit à son tour emboîter le pas et protéger les victimes de l'usurpation de leur identité numérique sur les réseaux informatiques. D'autant que les citoyens effectuent de plus en plus de démarches (administratives, bancaires, commerciales) dématérialisées sur Internet.
La proposition sénatoriale a été renvoyée à la commission des Lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale du Sénat. Le texte est donc loin d'être prochainement débattu par les parlementaires.