N° 452
SÉNAT
SESSION EXTRAORDINAIRE DE 2004-2005
|
Annexe au procès-verbal de la séance du 4 juillet 2005 |
PROPOSITION DE LOI
tendant à la pénalisation de l' usurpation d' identité numérique sur les réseaux informatiques,
PRÉSENTÉE
Par M. Michel DREYFUS-SCHMIDT,
Sénateur.
(Renvoyée à la commission des Lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale, sous réserve de la constitution éventuelle d'une commission spéciale dans les conditions prévues par le Règlement.)
|
Justice. |
EXPOSÉ DES MOTIFS
Mesdames, Messieurs,
L'identité d'une personne est ce qui fonde l'existence de sa personnalité juridique. Dans le « monde réel », cette dernière est clairement circonscrite à l'état civil et protégée en tant que telle par le droit français.
Dans le « monde virtuel », l'identité d'une personne est plus vaste et ses contours moins clairs. Certaines données numériques qui ont trait à l'identité d'un individu, comme un mot de passe d'un compte personnel sur l'internet par exemple, ne sont pas considérées comme des éléments constitutifs de l'identité juridique d'une personne. Or ces dernières sont le lieu d'usurpations d'identités bien réelles.
Cette identité numérique est composée d'éléments qu'on peut appeler « identifiants ». Ces derniers (mot de passe, nom de compte informatique, pseudonyme virtuel, codes divers donnant accès à des données à caractère privé, etc...) font de plus en plus l'objet d'actes malveillants.
Selon la FTC (Commission fédérale du commerce aux États-Unis), 10 millions d'américains furent victimes d'usurpation d'identité numérique l'an passé, entraînant un coût pour les entreprises ou les particuliers estimé à 50 milliards de dollars.
Le problème a été jugé sérieux outre-atlantique. Le président G.W. BUSH a ainsi signé le 16 juin 2005, un texte de loi Identity Theft Penalty Enhancement Act visant à alourdir sensiblement la durée d'emprisonnement infligée à l'encontre des voleurs d'identité numérique qui avaient commis une infraction.
Dans un même ordre d'idée, le gouvernement anglais a annoncé fin mai 2005 la version finale de son nouveau texte de loi Fraud Bill visant à infliger jusqu'à 10 ans de prison contre ceux qui commettent ce type d'usurpation. Le texte doit passer très bientôt devant le Parlement britannique.
En France depuis quelques mois, plusieurs campagnes publiques (pilotées par le ministère de l'éducation - www.protegetonordi.com) ou privées (notamment lancées par la Fédération bancaire française) ont été mises sur pied afin de sensibiliser la population sur les dangers de l'usurpation d'identité numérique. Car le phénomène s'amplifie. Selon l'Observatoire de la cyberconsommation, l'hexagone est passé l'an dernier de la dixième à la cinquième place des pays les plus touchés, derrière les États-Unis qui occupent le premier rang mondial.
Cette usurpation passe par différents supports et outre l'internet, on assiste aussi au piratage de lignes téléphoniques (le « phreaking »), ou l'usurpation par téléphone. Cette dernière est très répandue au Japon notamment.
Reste que l'usurpation d'identité la plus courante sur l'internet est celle appelée phishing . Le phishing , ou hameçonnage, est un terme désignant l'obtention des identifiants d'une personne, en se faisant passer auprès des victimes pour un individu, une entreprise ou une autorité publique ayant un besoin légitime de solliciter l'information demandée.
La victime ayant révélé ses identifiants personnels, le fraudeur peut accéder au compte (bancaire, d'achat en ligne, de courriel ou autres) de cette dernière et l'utiliser à des fins malveillantes, comme l'envoi de spam ou pourriels en français (courriels non sollicités en nombre), le vol d'argent ou tout autre délit. L'usurpation d'identité vient alors aider à la constitution d'une infraction.
Dans le cadre juridique actuel, celui qui prend l'identité d'un tiers dans le but de le faire passer pour un délinquant, est puni par l'article 434-23 du code pénal, comme celui qui utilise une fausse identité dans un acte authentique ou un document administratif destiné à l'autorité publique (article 433-19 du code pénal) ou celui qui prend un faux nom pour se faire délivrer un extrait de casier judiciaire (article 781 du code pénal). En revanche, le « phisheur » qui s'empare d'un « identifiant » sur internet pour commettre un délit financier dont l'usurpé sera la victime est un cas non connu du droit positif. Les tribunaux invoquent le plus souvent le délit d'accès frauduleux à un système de données informatiques pour poursuivre le délinquant (article 323-1 et suivant du code pénal), mais l'usurpation d'identité en tant que telle n'est pas sanctionnée : l'usager n'est pas protégé, on peut parler de vide juridique.
En conclusion, face à l'usurpation d'identité numérique, les victimes font face à une situation juridique incertaine et à des réponses techniques aujourd'hui insuffisantes. C'est pourquoi il convient d'insérer dans le code pénal une nouvelle infraction : l'usurpation d'identité numérique.
Tel est l'objet de la proposition de loi que nous vous demandons de bien vouloir adopter.
PROPOSITION DE LOI
Article unique
Il est inséré, après l'article 323-7 du code pénal, un article rédigé comme suit :
« Art. 323-8 - Est puni d'une année d'emprisonnement et de 15 000 euros d'amende, le fait d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une autorité publique.
« Les peines prononcées se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l'infraction à l'occasion de laquelle l'usurpation a été commise. »