Le blog juridique de Murielle Cahen

L'usurpation d'identité sur les réseaux sociaux

Le 11/12/2009, par Murielle Cahen, dans Technologies / Sécurité & Protection.

Vos réactions...

   

I) Qu'est-ce que l'on appelle "identité numérique" ?

L'identité d'une personne est le fondement de l'existence de sa personnalité juridique dans notre société.

Dans le "monde réel", cette identité, formée de l'état civil, du nom et du prénom, est soit attribuée de façon autoritaire par le lien de filiation pour le nom patronymique, soit sous contrôle des autorités publiques : nul ne peut donc se "façonner" sur mesure une identité qui ne serait pas reconnue par les autorités publiques.

A l'inverse, dans le "monde virtuel", aucune autorité n'intervient dans l'attribution d'une identité. C'est à nous, pour exister virtuellement, de nous créer ce qu'on appelle une "identité numérique" composée le plus souvent d'un compte personnel, de son mot de passe et d'une adresse email électronique.

Tous les attributs de l'identité numérique sont librement choisis par celui qui la créée. Elle peut par conséquent être tout à fait fantaisiste via l'utilisation d'un pseudonyme ou le reflet de l'identité réelle. Notons ainsi que l'usage d'un pseudonyme sur Internet est totalement reconnu et toléré par la loi, ce qui n'est pas le cas dans le monde réel. Néanmoins, le décret d'application sur la signature électronique du 30 mars 2001 rappelle que "lorsqu'il est fait usage d'un pseudonyme sut Internet, son utilisation doit être clairement portée à la connaissance du vérificateur" [1].

Il est dès lors possible à tout un chacun de prendre l'identité de quelqu'un d'autre comme pseudonyme.

Se pose alors la problématique de l'usurpation d'identité sur Internet et des droits dont dispose chacun sur son identité numérique.

II) Qu'est-ce qu'une usurpation d'identité numérique ?

On parle d'usurpation d'identité dans le cas où une personne cherche à obtenir, détient ou utilise les informations personnelles d'une autre personne sur Internet, sans autorisation et dans un but frauduleux.

A - Les techniques d'usurpation d'identité numérique

La technique d'usurpation la plus courante sur internet est appelée "phishing"ou "hameçonnage".Elle consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance - banque, administration - dans le but de lui soutirer des renseignements personnels tel qu'un un numéro de carte de crédit ou un mot de passe [2]. Le "hameçonnage" se fait généralement par l'envoi de courrier électronique réclamant la confirmation de certaines données personnelles nous concernant, ou par la création de faux sites web destinés à récolter des informations personnelles. Une fois que la victime a révélé ses identifiants personnels, le fraudeur peut accéder aux comptes en banque de celles-ci, à ses boîtes mails pour opérer des virements, envoyer des spams ou commettre tout autre délit.

Il est donc absolument nécessaire de sensibiliser les internautes sur les dangers de ce type d'action.

B - Les usurpations d'identité sur Facebook

De nos jours, ce type de pratique est très courant sur les réseaux sociaux. Avec plus de 250 millions de membres à travers le monde au début de l'année 2009 [3], Facebook occupe la seconde place dans le paysage "social" après Myspace.

Mais quelles sont les raisons de son succès auprès des internautes ?

Un seul mot suffit pour résumer Facebook : le "partage" : partage de vidéos, partage de photos, partage d'informations, partage d'applications, partage d'amis et de contacts.

De plus, chaque membre peut se constituer un réseau d'amis, les "tagger" [4], écrire sur leur "wall" [5], compléter éventuellement leur "profil" en y ajoutant des informations personnelles les concernant. On peut également adhérer à des groupes plus ou moins sérieux sur des thèmes assez divers, se faire inviter à des "événements" par d'autres membres - comme un anniversaire, un concert - indiquer son humeur du jour ou encore faire des tests de personnalité.

Dès lors, la vie privée de chaque utilisateur devient rapidement "publique".

En effet, le principe des sites de réseaux sociaux étant d'inciter leurs utilisateurs à révéler le maximum d'informations concernant leur intimité, Facebook ne fait pas l'exception : plus on dévoile sa vie privée, plus on a accès à celle des autres.

Quelle est alors la frontière entre la vie privée et la vie publique d'un internaute ? Parfois, la divulgation de certaines informations personnelles est voulue par l'internaute ; peut-on alors réellement parler d'atteinte à la vie privée ?

Le danger ne réside pas dans le fait d'avoir un compte Facebook, mais dans celui de ne pas contrôler la divulgation de ses données personnelles sur ce compte et même, de ne pas en avoir conscience.

Il est donc de la responsabilité de chacun de divulguer ou non des informations personnelles sur Internet.

C - Lien entre divulgation des données personnelles et vol d'identité

Prenons le cas de Facebook : en ajoutant une personne à ses "amis", on lui donne accès à certaines données personnelles comme le nom, le prénom, parfois la date de naissance, les photos, l'intégralité du réseau d'amis, l'adresse email, les hobbies qui sont autant d'indications pouvant faciliter la tâche d'un fraudeur pour usurper une identité.

L'usurpation sur ce genre de réseau social est d'autant plus courante que n'importe qui peut se créer un profil Facebook avec le nom et le prénom qu'il souhaite.

D - Le risque d'atteinte à l'e-réputation

Cependant, via l'usurpation d'identité, le danger qui reste le plus "irrémédiable" est celui de l'atteinte à la réputation de la personne usurpée.

Reprenons le cas de Facebook : l'usurpateur va pouvoir donner à sa victime une "image publique" peu flatteuse en lui attribuant par exemple des propos racistes, en acceptant comme "amis" des personnes peu fréquentables ou encore en publiant des photos compromettantes d'elle etc [6]. Cela peut très avoir des conséquences sur le plan professionnel lorsque c'est un employeur potentiel qui accède à ces informations.

III) Le vol d'identité numérique : un délit ?

Aux États-Unis, une loi sur le vol d'identité numérique - "Identity theft penalty enhancement act" - visant à alourdir la peine d'emprisonnement des voleurs d'identité numérique commettant une infraction, a été adoptée le 16 juin 2005.

A - Un délit à travers l'intention de nuire de l'usurpateur

En France, aucune loi ne punit directement l'usurpation d'identité sur Internet. Le fait de se faire passer pour une autre personne sur un forum de discussion n'est par conséquent pas sanctionné. En revanche, l'usurpation constitue un délit dans un cas bien précis : celui « de prendre le nom d'un tiers dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales" [7]. Bien entendu, il faut que cette usurpation s'accompagne d'une volonté de nuire à la victime, de lui créer un préjudice.

Autrement dit, ce n'est que dans le cas où l'usurpateur fait intentionnellement courir un risque pénal à sa victime que celui-ci pourra être poursuivi pénalement. Dans ce cas, l'usurpation est punie de 5 ans d'emprisonnement et de 75 000 euros d'amende.

C'est ainsi que, dans un arrêt du 29 mars 2006 [8], la Cour de cassation a condamné une personne pour s'être fait passer pour un salarié tenant des propos diffamatoires à l'égard de ses collègues et faisant ainsi courir à l'employé victime le risque d'être poursuivi pour diffamation.

B - Une proposition de loi tendant à la pénalisation de l'usurpation d'identité

Une proposition de loi tendant à la "pénalisation de l'usurpation d'identité numérique sur les réseaux informatiques" a été déposée en juillet 2005 par le sénateur Michel Dreyfus-Schmitt pour créer un délit d'usurpation d'identité [9]. Néanmoins, cette loi ne pourra interdire à l'internaute de s'exprimer par le biais d'un pseudonyme. En outre, pour que le délit d'usurpation soit reconnu, il faudra rapporter la preuve que l'auteur avait l'intention de la prendre. Le texte étant toujours à l'état de projet, il ne trouve à ce jour aucune application.

Il en résulte qu'actuellement, une personne qui emprunte l'identité d'une autre sur un réseau social n'encourt aucune peine.

Avec l'augmentation considérable des cas d'usurpation d'identité sur internet, cette loi apporterait une première solution non négligeable au problème ainsi posé.

C'est avec la définition juridique des contours de la notion d'"identité numérique" que l'on saura si le fait de reprendre le pseudonyme d'un tiers dans un forum de discussion ou encore le fait de détourner une adresse IP constituent une infraction d'usurpation d'identité numérique

IV) Les alternatives : la violation du droit au respect de la vie privée et du droit à l'image

Conformément aux articles 226-1 à 226-8 du Code civil, tout individu jouit d'un droit au respect de sa vie privée ainsi que d'un droit à l'image.

En vertu de ces dispositions, la publication ou la reproduction sur support papier ou sur Internet d'une photographie sur laquelle une personne est clairement reconnaissable n'est possible qu'avec son consentement préalable, et ce, que l'image soit préjudiciable pour la personne ou non.

Il existe néanmoins plusieurs exceptions à cette règle comme par exemple les photos de foule où la personne n'est pas le sujet central ou encore les photos prises de loin ou de dos.

A - Le droit à l'image sur internet et sur Facebook

En pratique, la publication d'une photographie sur Internet se fait rarement avec le consentement ou après consultation de la personne représentée. Cela est notamment dû à la facilité de reproduction offerte par internet et plus généralement le monde numérique. Il suffit parfois d'un seul clic pour recopier à l'identique un disque numérique entier. C'est d'ailleurs cette facilité de reproduction qui permet à une information de se diffuser très rapidement.

Il devient donc parfaitement impossible de garder le contrôle sur ses photos dès lors qu'elles sont publiées sur Internet : elles peuvent être copiées, modifiées, enregistrées sur un disque dur autant de fois que l'on souhaite.

Sur Facebook, les internautes ont la possibilité de poster des photos d'eux ou de leurs amis et de "tagger" - en indiquant les nom et prénom des personnes - les personnes représentées sur les photos : cela les rend identifiables par tous les utilisateurs ayant accès aux photos.

Selon Richard Pommérat, auteur du mémoire sur "le régime juridique de la page personnelle : étude d'une page Facebook, MySpace et Asmallworld", il y aurait autorisation implicite de la part de la personne représentée dès lors que celle-ci ne se manifestait pas pour retirer le "tag" de la photo - dans la mesure où chacun à la possibilité de se "détaguer" [10].

Mais comment prouver à quel moment on a eu connaissance de la photo ?

Toutefois, seuls les utilisateurs de Facebook peuvent avoir accès aux photos publiées sur le réseau. Dès lors, la photographie d'une personne non inscrite sur le réseau pourra être visible par tous les utilisateurs sans que la principale concernée en ait connaissance.

B - La suppression du compte Facebook usurpant son identité

Des moyens ont été mis à la disposition des internautes pour se protéger contre une usurpation d'identité sur Facebook.

Notons que pour signaler un abus sur Facebook, il n'y a pas besoin de créer de compte. Il suffit :

  • D'aller à l'adresse www.facebook.com,

  • De cliquer sur la mention "confidentialité",

  • Puis sur «si vous avez d'autres questions concernant la protection de la vie privée" [11]

  • Ensuite sur "rapport d'abus"

  • Enfin sur "j'ai besoin de faire état d'une imposture de mon profil"

On arrive directement sur un formulaire qu'il va falloir remplir et envoyer.

Quelques jours plus tard, le faux profil devrait avoir été effacé.

Sur la page réservée aux informations concernant la protection de la vie privée, on peut également trouver l'adresse email "abuse@facebook.com" qui permet de déclarer tout autre abus qui ne serait pas mentionné dans le site. Facebook s'engage à fournir une réponse dans les 72 heures suivant la réception d'un message.

par Murielle-Isabelle CAHEN
Avocat à la Cour
---

1 Décret. n°2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du Code civil et relatif à la signature électronique - art. 5 f)

2 Voir l'article sur le "hameçonnage" sur Wikipédia.

3 Voir l'article intitulé "200 millions d'utilisateurs Facebook".

4 Le "tag" consiste à identifier une personne sur une photo en indiquant son nom et son prénom en dessous de la photo.

5 Le "wall" correspond à la page personnelle accessible à tout les utilisateurs, dont chacun dispose sur le réseau Facebook.

6 Voir l'article intitulé "Le faux profil d'Alain Juppé sur Facebook, des détails” du 04/12/07 d'Eric Delcroix.

7 C. pen., Art. 434-23 : "Le fait de prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

Nonobstant les dispositions des articles 132-2 à 132-5, les peines prononcées pour ce délit se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l'infraction à l'occasion de laquelle l'usurpation a été commise.

Est punie des peines prévues par le premier alinéa la fausse déclaration relative à l'état civil d'une personne, qui a déterminé ou aurait pu déterminer des poursuites pénales contre un tiers ".

8 Crim. 29 mars 2006, n°05-85857, Bull. Crim. 2006, n°94, p.360.

9 Un nouvel article 323-8 serait ajouté au Code pénal : "est puni d'une année d'emprisonnement et de 15 000 euros d'amende, le fait d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise, ou d'une autorité publique ».

10 Voir l'article intitulé "Les espions de Facebook" du 17/12/08 de Richard Pommérat.

11 Le texte traduit de l'anglais est très médiocre, consultez le plutôt en anglais.

© 2009 Net-iris & Murielle Cahen

   

Commentaires et réactions :


 Fiche de Murielle Cahen

Profession : Avocate
Société : Cabinet d'avocats Murielle Cahen
Site web : Murielle-cahen.com/

Blog ouvert le : 27/11/2000
Nombre d'articles publiés : 155

Ses publications antérieures au 11/12/2009 :


Ses dernières publications au 29/09/2016:

-