Logo Éduscol
Accueil du portail  Ressources  Légamedia  Identités numériques et usurpation d’identité

Identités numériques et usurpation d’identité

Page mise à jour le 24 mars 2017

Le développement d’internet a profondément modifié la notion même d’identité. D’une identité classiquement vue comme unique, celle de notre état civil, nous sommes passés aujourd’hui à des identités numériques plurielles. Nous pouvons ici apparaître sous notre « vrai nom », là sous un pseudonyme, un avataravatar
À l’image du dieu indien Vishnou se donnant une apparence humaine pour descendre sur la Terre, la création d’un avatar est une incarnation constituée d’apparences et de comportements. Un avatar peut être un reflet des goûts, des choix et des passions de son créateur ou encore une image qu’il souhaite donner de lui, livrant ainsi une représentation virtuelle de soi et une identité numérique. Ce personnage imaginaire est souvent utilisé dans les jeux en réseau, les lieux de rencontre virtuels, dans les échanges masqués sur les réseaux sociaux, dans les messageries directes ou les chats. Il peut être conçu pour tromper les correspondants ou les partenaires de jeu (voir le film éponyme).
, ici encore sous un simple numéro. Ce développement des identités numériques s’est accompagné rapidement d’une forme de fraude spécifique : l’usurpation d’identité numérique.

Présentation

Qu’est-ce qu’une identité numérique ? La question mérite d’autant plus d’être posée que cette notion n’existe pas sur un plan juridique.

En général lorsque l’on évoque l’identité civile on fait référence aux attributs d’une personne tels qu’ils figurent dans son acte de naissance, ou simplement sur sa carte d’identité : nom, prénom(s), date et lieux de naissance [1] mais aussi, le cas échéant, à son pseudonyme déclaré.

En dehors du « monde numérique », cette identité civile est souvent amalgamée avec les autres (identité professionnelle, identité syndicale, politique, associative, etc.) car les attributs associés sont en général les mêmes.

Appréhender les identités numériques est plus complexe car celles-ci sont moins systématiquement soumises à cette contrainte ; ainsi une même personne peut-elle apparaître avec de multiples pseudonymes et identifiants, et autant d’adresses de courrier électronique qu’elle le souhaite. Elle peut également agir dans l’anonymat (comme en dehors du « monde numérique »).

Pour illustrer cette complexité nous allons examiner deux cas.

  • L’internaute : l’identité numérique de l’internaute peut consister en un nom et un prénom mais également en l’usage d’un ou plusieurs pseudonymes, d’un code identifiant ou même d’un avataravatar
    À l’image du dieu indien Vishnou se donnant une apparence humaine pour descendre sur la Terre, la création d’un avatar est une incarnation constituée d’apparences et de comportements. Un avatar peut être un reflet des goûts, des choix et des passions de son créateur ou encore une image qu’il souhaite donner de lui, livrant ainsi une représentation virtuelle de soi et une identité numérique. Ce personnage imaginaire est souvent utilisé dans les jeux en réseau, les lieux de rencontre virtuels, dans les échanges masqués sur les réseaux sociaux, dans les messageries directes ou les chats. Il peut être conçu pour tromper les correspondants ou les partenaires de jeu (voir le film éponyme).
    . Le recours de l’internaute à l’anonymat est légal et a été reconnu par les tribunaux[2]. Il peut ainsi par exemple poster des commentaires en ligne sous son pseudo (si le contenu publié constitue une infraction, c’est l’adresse IPadresse IP
    Chaque terminal (ordinateur, smartphone, « Internet box », équipement domotique…) relié à un réseau utilisant le protocol IP (IP = Internet Protocol) dispose d’une adresse IP permettant de l’identifier de façon unique sur ce réseau. Ce réseau peut être un réseau privé (comme celui de la maison ou de l’établissement, dans la quasi totalité des cas) ou constituer une portion du réseau Internet.  Dans ce dernier cas, l’adresse IP utilisée par une machine à un instant donné est unique au monde. Dans le premier cas, l’adresse IP visible sur le réseau Internet à un instant donné ne permet d’identifier que la maison (adresse Internet de la « box ») ou l’établissement (adresse Internet du routeur d’établissement), les adresses IP des machines pouvant être les mêmes que celles utilisées dans l’établissement ou la maison d’à côté. L’identification exacte d’une machine sur un réseau d’établissement ne peut donc s’effectuer sur la base de la seule adresse IP visible sur Internet.
    qui permettra de retrouver son auteur et non pas l’identité affichée).
  • Le responsable d’un site, d’un blog ou d’une page perso : leur droit à l’anonymat est  consacré à l’article 6[3] de la LCENLCEN
    La loi pour la confiance dans l’économie numérique, votée en juin 2004, a notamment établi les rôles et responsabilités des acteurs d’Internet. Un décret d’application portant sur les données à conserver par les hébergeurs informatiques est daté de mars 2011. Cette mise en application exige que les fournisseurs d’accès à Internet (FAI), les diffuseurs de vidéos, les hébergeurs de blogs conservent systématiquement et de façon rapidement consultable par les autorités judiciaires les données permettant d’identifier un internaute (ou une machine) connecté au Web et ayant émis une contribution quelle qu’en soit la forme.
    La loi française ne s’applique que sur le territoire national, ce qui pose la question des hébergements à l’étranger consultables de France.
     pour les propriétaires de sites web non professionnels : « Les personnes éditant à titre non professionnel un service de communication au public en ligne peuvent ne tenir à la disposition du public, pour préserver leur anonymat, que le nom, la dénomination ou la raison sociale et l'adresse [de leur hébergeur], sous réserve de lui avoir communiqué les éléments d'identification personnelle prévus au 1 » soit ses « nom, prénoms, domicile et numéro de téléphone ».

Cependant, si le droit à l’anonymat est la traduction concrète d’un droit fondamental (le droit au respect de la vie privée), les prestataires internet, fournisseurs d’accès et hébergeurs, sont tenus de conserver les données d’identification de leurs clients ou abonnés. De fait, ils disposent généralement de suffisamment de traces informatiques et de données techniques (adresses IP) dans leurs journaux informatiques (« logs ») pour identifier une personne physique.

Le développement sans précédent de l’utilisation d’identités numériques multiples augmente les risques de dérive et, en particulier, ce qu’il est convenu d’appeler l’usurpation d’identité.

Il est en effet très facile de se faire passer pour quelqu’un d’autre en ligne, très facile aussi de faire parler quelqu’un d’autre, voire d’ouvrir des profils au nom d’une autre personne dans le but de lui nuire.

Il faut ici rappeler que ces agissements, que l’on qualifie généralement d’usurpation d’identité, sont pénalement répréhensibles. Il est donc interdit, de se faire passer pour une autre personne… dans le but de « de troubler sa tranquillité ou celle d'autrui », ou dans celui de commettre une infraction.

L’article 226-4-1 du Code pénal spécifie en effet : « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne. »

L’article 434-23 du Code pénal sanctionne « le fait de prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales ». Ce délit est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende.

L’article 323-1 du code pénal punit « le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données » (jusqu’à 5 ans de prison et 150 000 euros d’amende).

En pratique, un élève devra donc s’abstenir de se faire passer pour un camarade de classe, un enseignant ou un chef d’établissement. De même un enseignant ou un chef d’établissement ne doit pas se présenter sous l’identité d’un autre, par exemple en utilisant des identifiants et mot de passe qu’on lui aurait « prêtés », y compris ceux d’un élève.

Enfin on peut s’interroger sur les notions de « troubler la tranquillité d’autrui » ou « porter atteinte à l’honneur ou à la considération ». On voit bien ici que l’intention de nuire est au cœur même du dispositif mais les terminologies sont tellement larges que sauf à démontrer que le fait d’avoir « emprunté » l’identité d’un autre relevait de la blague, du canularcanular
Plaisanterie, mystification destinée à tromper une ou plusieurs personnes. Le numérique a aussi ses canulars (appelés hoax en anglais) qui se manifestent souvent sous la forme de courriels ou de messages à renvoyer à tous ses correspondants.
 ou d’une démarche humoristique (caricature par exemple), il y a fort à parier que tout usage sur internet de l’identité d’un autre soit considéré comme une usurpation.

Illustration

Les juges ont déjà eu à se prononcer sur des cas d’usurpation d’identité.

Usurpation d’identité sur le fondement de l’article 434-23 du Code pénal

Il a été jugé que le fait d’utiliser l’adresse de courrier électronique d’un tiers lorsqu’il s’en est suivi un risque de poursuites pénales pour cette personne constitue le délit d’usurpation d’identité prévu à l’article 434-23 du Code pénal. En l’espèce deux personnes avaient utilisé la messagerie d’une troisième pour envoyer des courriels conseillant d’aller voir des photos illicites. Elles ont été condamnées à deux mois de prison chacune avec sursis[4].

Usurpation d’identité sur le fondement de l’article 226-4-1 du Code pénal

La créatrice d’un faux profil Facebook sur lequel ont été publiés des photos et des propos diffamatoires et insultants de son ancien conjoint et de sa femme a aussi été reconnue « coupable du délit d’usurpation de l’identité d’un tiers ou usage de données permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui ou de porter atteinte à son honneur ou à sa considération » tel que prévu à l’article 226-4-1du Code pénal. Elle a été condamnée à 4 000 euros d’amende et à verser aux victimes 5 000 euros à titre de dommages et intérêts [5].

Astuce

Il convient donc de temps à autre de contrôler le Web par des moyens aussi efficaces et rapides que de saisir son propre nom ou pseudo pour voir s’il est réutilisé par un tiers ou non. On peut aussi utiliser les solutions d’alerte automatique des moteurs de recherche.

Citations

« Les personnes éditant à titre non professionnel un service de communication au public en ligne peuvent ne tenir à la disposition du public, pour préserver leur anonymat, que le nom, la dénomination ou la raison sociale et l'adresse du prestataire mentionné au 2 du I, sous réserve de lui avoir communiqué les éléments d'identification personnelle prévus au 1. » (Article 6.III.2 de la LCEN)

« Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne. » (Article 226-4-1 du Code pénal)

En savoir plus…

Lien interne

Lien externe

Jurisprudences