L’usurpation d’identité sur internet : délit ou pas ? par Anne Cousin, Avocat

L’article 434-23 du Code Pénal punit de 5 ans d’emprisonnement et de 75.000 euros d’amende le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales.

De son côté, l’article 29, alinéa 1er de la loi du 29 juillet 1881 précise que l’infraction de diffamation publique envers un particulier n’est constituée qu’à la condition que les imputations ou allégations de nature à porter atteinte à l’honneur et à la considération visent une personne physique ou morale déterminée.

C’est pour avoir procédé à une application insuffisamment précise de ces deux textes combinés, que la Cour d’Appel de Colmar a vu son arrêt du 14 septembre 2005 partiellement annulé par la Cour de cassation le 29 mars dernier et que celle-ci a peut être été privée de la possibilité de sanctionner pour la première fois la pratique dite du "phishing", si répandue désormais sur internet.

Les faits ayant motivé la saisine de la Cour sont eux-mêmes fort banals et peuvent être brièvement résumés dans les conditions suivantes :

Une perquisition effectuée au domicile de Jean X et des vérifications opérées sur le disque dur de son ordinateur révélaient que celui-ci avait téléchargé des vidéos pédophiles sur internet à l’aide d’un logiciel "peer to peer" et détenait plus de cinq mille images de mineurs nus ainsi que plus de 70 vidéos de mineurs ayant des relations sexuelles entre eux ou avec des personnes majeures.

Il se voyait également reproché d’avoir mis en ligne sur internet deux sites proposant des images ou des représentations de mineurs présentant un caractère pornographique.

Pour l’ensemble de ces faits, il était condamné par la Cour d’Appel de Colmar sur le fondement des articles 227-23, 227-29 et 227-31 du Code Pénal, réprimant le fait, en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur, lorsque cette image ou cette représentation présente un caractère pornographique, à la peine de 18 mois d’emprisonnement dont 15 avec sursis.

Sur ce premier point, l’arrêt rendu par la Cour de cassation le 29 mars 2006 mériterait un commentaire particulier :

Ce n’est pas celui que l’on retient ici.

En effet, Jean X a également été condamné par la Cour d’Appel de Colmar pour avoir adressé à plusieurs personnes un message électronique diffamatoire en utilisant l’identité usurpée d’André Y. Ces faits reconnus par le prévenu ont conduit la Cour à retenir contre lui l’infraction de prise du nom d’un tiers ou usurpation d’identité, au motif qu’en diffusant des propos diffamatoires sous une identité d’emprunt, Jean X exposait la victime de cette usurpation à des poursuites pénales engagées à son encontre.

Les juges du fond ont donc bien cherché à vérifier que l’utilisation de l’identité d’un tiers pouvait avoir pour conséquence effective l’introduction d’une procédure pénale à l’encontre de ce dernier.

Contrairement à une idée répandue en effet, le simple fait d’agir en reprenant l’identité d’une autre personne ne suffit qu’exceptionnellement à constituer une infraction pénale et jamais celle prévue et sanctionnée par l’article 434-23 du Code Pénal.

Il est en effet, indispensable que l’usage de ce faux nom détermine contre le tiers "volé" des poursuites pénales.

Pourtant, la Cour de Colmar a été critiquée par le pourvoi pour avoir insuffisamment caractérisé et qualifié le contenu du message diffusé sous un faux nom et en conséquence pour ne pas avoir placé la Cour de cassation en mesure d’effectuer le contrôle qu’il lui appartient d’exercer.

En effet, si les propos ne satisfont pas à chacune des conditions énoncées par l’article 29, alinéa 1er de la loi du 29 juillet 1881, ils sont insusceptibles d’être qualifiés de diffamatoires et en conséquence d’entraîner la responsabilité pénale de leur auteur ou de celui à qui ils sont faussement attribués.

Ces conditions sont bien sûr cumulatives :

Il doit s’agir tout d’abord d’une accusation suffisamment précise, il doit s’agir ensuite d’une accusation d’avoir commis un acte contraire à la loi ou à la morale, il est indispensable aussi que cette accusation soit portée contre une personne physique ou morale, et non qu’elle vise des produits ou des services, et enfin que celle-ci soit suffisamment déterminée.

La Cour de cassation estime alors que les énonciations de l’arrêt de la Cour d’appel de Colmar n’établissent pas que les affirmations contenues dans le message attribué à André Y contenaient des imputations portant atteinte à l’honneur et à la considération de personnes nommément désignées de sorte que celle-ci n’a pas identifié tous les éléments constitutifs de l’infraction d’usurpation de l’identité et qu’elle ne pouvait valablement condamner Jean X de ce chef.

Occasion peut-être manquée donc, de faire ainsi qualifier par la Cour de cassation la pratique tant redoutée et à juste titre, du "phishing", ou hameçonnage, qui a déjà suscité de nombreuses réflexions et tentatives d’analyses juridiques.

Couramment cette pratique est définie comme l’utilisation d’une identité d’emprunt dans l’intention de tromper les internautes pour les amener à confier à l’usurpateur des informations confidentielles tels que des mots de passe, dont l’exploitation ultérieure interviendra à leur préjudice.

L’encyclopédie libre Wikipédia expose par exemple que les pratiques courantes actuelles de phishing consistent souvent dans l’envoi de courriers électroniques à plusieurs personnes dans le but de les diriger vers une page web se présentant par exemple comme émanant de leur propre banque, mais qui procédera en réalité à la captation d’informations confidentielles qui les concernent pour les transmettre aux fraudeurs qui en feront alors un usage détourné.

La pratique soumise à la Cour d’Appel de Colmar puis à la Cour de cassation se distingue donc assez nettement, semble-t-il, du processus ainsi décrit puisqu’il ne semble pas que Jean X ait entendu tromper les destinataires de son message électronique au delà de la seule identité de son véritable émetteur.

Il ne paraît pas en effet que celui-ci ait eu l’intention de collecter quelques données confidentielles que ce soit relative à ses destinataires, mais seulement entendu se faire passer pour un autre.

Pourtant, il n’est pas contestable que l’arrêt de la Cour de cassation du 29 mars 2006 fournit des pistes intéressantes pour la qualification juridique de la pratique du "phishing" et contribue à la réflexion sur le sujet.

En réalité, son enseignement est double :

  d’une part, il ne suffit donc pas en principe, pour se rendre coupable du délit d’usurpation d’identité, de faire usage du nom d’un tiers, ce qui peut rendre difficile concrètement la poursuite de certains agissements abusifs sur internet : il est en effet indispensable que cet usage soit susceptible d’entraîner à l’égard de l’usurpé des conséquences pénales ;

  d’autre part, si la pratique du "phishing" conduit à ce résultat, elle peut alors être sanctionnée sur le fondement de l’article 434-23 du Code Pénal, qui vient donc prendre sa place aux côtés de l’escroquerie et de la contrefaçon dans l’arsenal répressif de ce comportement.

Le 31 septembre 2005, le Tribunal de grande instance de Paris avait jugé Robin B. coupable de contrefaçon pour avoir réalisé un site internet personnel imitant la page d’enregistrement à Microsoft Messenger invitant les internautes à lui fournir leurs données personnelles à une adresse électronique qu’il avait créée. Dans cette affaire, la pratique du "phishing", au sens technique précis rappelé ci-dessus ne faisait aucun doute.

La qualification d’escroquerie paraît répondre également assez nettement au souci de répression : l’article 313-1 du Code Pénal la définit en effet notamment comme l’usage d’un faux nom ou d’une fausse qualité dans le but de tromper une personne physique ou morale et de la déterminer à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, ou encore à fournir un service ou à consentir un acte opérant obligation ou décharge.

Les textes répressifs étant par principe d’interprétation stricte, il est toujours possible que dans un cas précis les agissements analysés échappent à toute sanction. Néanmoins le droit français paraît donc aujourd’hui doté de trois outils distincts au moins : les textes prévoyant et réprimant la contrefaçon, l’usurpation d’identité et l’escroquerie, pour lutter contre le "phishing".

Il n’est pas certain, même si la tentation est toujours présente en France, qu’un nouveau texte législatif soit nécessaire et même opportun pour compléter le dispositif. Voilà donc une excellente nouvelle pour tous les internautes et les organismes dont les clients sont ainsi floués et qui en subissent également les conséquences préjudiciables directes.

Anne Cousin

Avocat à la Cour

Denton Wilde Sapte