4-103/1 | 4-103/1 |
17 JUILLET 2007
La présente proposition de loi reprend le texte d'une proposition qui a déjà été déposée au Sénat le 28 juin 2006 (doc. Sénat, nº 3-1779/1 — 2005/2006).
L'identité d'une personne est ce qui fonde l'existence de sa personnalité juridique. Dans le « monde réel », cette dernière est clairement circonscrite par les attributs de la personnalité constitutifs de l'état civil comme le nom patronymique. Ces attributs de la personnalité sont conférés et protégés en tant que telle par le droit positif.
Dans le « monde virtuel », les attributs de la personnalité ne sont attribués par aucune autorité publique, l'identité d'une personne est alors plus vaste et ses contours moins clairs. Certaines données numériques qui ont trait à l'identité d'un individu, comme un mot de passe d'un compte personnel sur l'Internet, par exemple, ne sont pas considérées comme des éléments constitutifs de l'identité juridique d'une personne. Or, ces dernières sont des lieux d'usurpations d'identités bien réelles.
Cette identité numérique est composée d'éléments qu'on peut appeler « identifiants ». Ces derniers (mot de passe, nom de compte informatique, pseudonyme virtuel, codes divers donnant accès à des données à caractère privé, etc ...) font de plus en plus l'objet d'actes malveillants.
Une des techniques apparue il y a environ deux ans et qui tend à se généraliser à grande vitesse, souvent avec des moyens sophistiqués, est le « phishing » ou « hameçonnage ». La technique est assez simple. Les fraudeurs utilisent des courriels ou des sites internet fictifs ayant l'apparence de l'authenticité.
Le site ou les courriels annoncent qu'une banque, une compagnie d'assurance ou une institution publique a besoin de vérifier les données du destinataire ou que quelqu'un a essayé d'accéder à son compte et que celui-ci doit être contrôlé. Les fraudeurs tentent alors d'obtenir les éléments d'identification de celui-ci.
À partir des éléments d'identification récoltées (numéros de sécurité sociale, données confidentielles ou autres identifiants personnels), les fraudeurs peuvent ensuite ouvrir des comptes au nom de leurs victimes et demander des crédits, voire prélever directement des sommes. L'usurpation d'identité numérique vient alors aider à la constitution d'une infraction.
Cette activité associée à d'autres formes de fraude représente le plus grand risque pour les consommateurs dans les transactions en ligne, avec pour conséquence une perte de confiance dans les nouvelles technologies de l'information et de la communication, ainsi que des pertes financières pour les internautes abusés.
Selon la FTC (Commission fédérale du commerce aux États-Unis), 10 millions d'américains furent victimes d'usurpation d'identité numérique 2005, entraînant un coût pour les entreprises ou les particuliers estimé à 50 milliards de dollars.
Le problème a été jugé sérieux outre-Atlantique. Le gouvernement des États-Unis d'Amérique a ainsi adopté le 16 juin 2005, l'Identity Theft Penalty Enhancement Act. Ce texte normatif vise à alourdir sensiblement la durée d'emprisonnement infligée à l'encontre des voleurs d'identité numérique qui avaient commis une infraction.
Dans un même ordre d'idée, le gouvernement anglais a annoncé fin mai 2005 la version finale de son nouveau « Fraud Bill ». Ce texte normatif vise à infliger jusqu'à 10 ans de prison contre ceux qui commettent ce type d'usurpation. Le texte doit passer très bientôt devant le Parlement britannique.
En France depuis quelques mois, parallèlement à l'amplification du phénomène, plusieurs campagnes publiques et privées ont été mises sur pied, afin de sensibiliser la population sur les dangers de l'usurpation d'identité numérique. Selon l'Observatoire de la cyberconsommation, la France est passé l'an dernier de la dixième à la cinquième place des pays les plus touchés, derrière les États-Unis, qui occupent le premier rang mondial.
Cette campagne publique considérée comme insuffisante, a donné lieu au dépôt par le sénateur Michel Dreyfus-Schmidt d'une proposition de loi tendant à la pénalisation de l'usurpation d'identité numérique sur les réseaux informatiques (Sénat de France, proposition nº 452).
L'usurpation numérique passe par différents supports et outre l'Internet, on assiste aussi au piratage de lignes téléphoniques (le « phreaking »), ou l'usurpation par téléphone. Cette dernière est très répandue au Japon notamment.
Dans le cadre juridique actuel, notre Code pénal sanctionne celui qui prend l'identité d'un tiers dans le but de le faire passer pour un délinquant. Les articles 227 à 232 du chapitre VI du Code pénal, qui traitent de l'usurpation de fonctions, de titres ou de noms, règlent cette question.
À titre d'exemple, l'article 227 du Code pénal prévoit que « quiconque se sera immiscé dans des fonctions publiques, civiles ou militaires, sera puni d'un emprisonnement d'un mois à deux ans ». L'article 231 du Code pénal prévoit également que « quiconque aura publiquement pris un nom qui ne lui appartient pas sera puni d'un emprisonnement de huit jours à trois mois, et d'une amende de vingt-cinq francs à trois cents francs, ou d'une de ces peines seulement ».
En revanche, le « phisheur » ou « hameçonneur » qui s'empare d'un « identifiant personnel » sur internet pour commettre un acte malveillant dont l'usurpé sera la victime est difficile à appréhender au regard du droit positif actuel. Hormis la poursuite de l'infraction « terminale » que l'usurpation d'identité numérique contribue à constituer, il est très difficile — sur le plan pénal — dans l'état actuel de la législation de sanctionner les actes préparatoires comme la récolte de données.
Dans ce genre de situation, les tribunaux invoquent le plus souvent le délit d'accès frauduleux à un système de données informatiques pour poursuivre le délinquant, mais l'usurpation d'identité en tant que telle n'est pas sanctionnée: l'internaute-usager n'est pas protégé; on peut parler de vide juridique.
En conclusion, devant l'usurpation d'identité numérique, les victimes font face à une situation juridique incertaine et à des réponses techniques aujourd'hui insuffisantes comme le développement de procédés d'authentification permettant de détecter si le courriel provient véritablement de l'émetteur indiqué. C'est pourquoi il convient d'insérer dans le Code pénal une nouvelle infraction: la récolte illégitime d'identifiants personnels.
La présente proposition de loi a pour objet la modification du Code pénal par l'insertion d'un article 231bis au chapitre VI traitant de l'usurpation de fonctions, de titres ou de noms.
L'article 231bis vient après l'article 231 du Code pénal qui sanctionne la personne qui aura publiquement pris un nom qui ne lui appartient pas. La rédaction actuelle de l'article 231 du Code pénal ne permet pas de saisir la pleine réalité de l'usurpation électronique d'identité, dans la mesure où elle fait l'impasse sur la séquence préparatoire qui consiste à récolter de manière indue des éléments qui permettent tout de même de circonscrire la personnalité virtuelle de cette dernière.
De plus, l'article 231 du Code pénal aborde la question de l'usurpation uniquement à travers un des éléments de l'identité: le nom. Or, le nom est aujourd'hui insuffisant à définir un individu dans ses relations virtuelles avec autrui. Toute une série d'éléments de l'identité d'une personne peuvent venir circonscrire cette dernière dans le monde virtuel, bien qu'ils ne soient pas considérés comme des éléments constitutifs de l'identité juridique d'une personne.
Il est dès lors préférable d'ériger en nouvelle infraction le fait de récolter illégitimement sur tout réseau électronique de communication les identifiants personnels d'un particulier, d'une personne morale ou d'une autorité publique.
La récolte illégitime d'identifiants personnels sera punie d'une peine d'emprisonnement allant de trois mois à un an et d'une amende variant entre 250 et 15 000 euros.
| Philippe MAHOUX. |
Article 1er
La présente loi règle une matière visée à l'article 78 de la Constitution.
Art. 2
Il est inséré un article 231bis dans le Code pénal, rédigé comme suit:
« Art. 231bis. — Sera puni d'un emprisonnement de trois mois à un an et d'une amende de 250 à 15 000 euros, quiconque aura illégitimement récolté sur tout réseau électronique de communication les identifiants personnels d'un particulier, d'une personne morale ou d'une autorité publique.
Par « identifiant personnel » on entend tout élément qui permet à un particulier, une personne morale ou une autorité publique d'être identifié distinctement.
Les peines prononcées se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l'infraction résultant de cette usurpation. ».
Art. 3
La présente loi entre en vigueur le jour qui suit celui de sa publication au Moniteur belge.
12 juillet 2007.
| Philippe MAHOUX. |