Le 18 décembre 2014, le tribunal correctionnel de Paris a prononcé la première condamnation pour usurpation d'identité numérique, délit créé par la loi du 4 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure. Elle introduit dans le code pénal un article 226-4-1 rédigé en ces termes : "Le fait d'usurper l'identité d'un tiers ou de faire usage
d'une ou plusieurs données de toute nature permettant de l'identifier en
vue de troubler sa tranquillité ou celle d'autrui, ou de porter
atteinte à son honneur ou à sa considération, est puni d'un an
d'emprisonnement et de 15 000 € d'amende".
En l'espèce, à l'usurpation d'identité s'ajoute le délit de piratage réprimé par l'article 323-3 du code pénal. Les auteurs de ces infractions ont en effet habilement exploité des failles de sécurité du site officiel de Rachida Dati. S'introduisant dans ce site, ils ont ouvert aux internautes la possibilité de publier de faux "communiqués officiels" au nom de Rachida Dati et à son préjudice. Une confusion avec le site officiel était donc créée, d'autant qu'aucun élément satirique ou parodique n'était mentionné. Au contraire l'internaute était invité à déposer un commentaire ("Je vous offre un communiqué") et, à l'issue de la procédure, il était remercié "pour ce geste citoyen". Les auteurs des infractions avaient fait beaucoup de publicité sur les réseaux sociaux, au point que l'équipe de Rachida Dati s'est aperçue de la manoeuvre en constatant la croissance exponentielle du nombre de visites sur le site.
L'auteur du faux site est condamné à 3000 € d'amende, et l'hébergeur à 500 € pour complicité. A dire vrai, les sanctions sont relativement modestes, sans doute parce que les intéressés n'ont tiré aucun bénéfice de l'opération. Il n'en demeure pas moins que l'affaire montre que l'infraction d'usurpation d'identité n'est pas seulement dissuasive, voire symbolique. Elle peut désormais fonder des condamnations.
Les intentions de l'auteur de l'infraction
Encore faut-il que le délit soit constitué. Le problème est que le délit d'usurpation d'identité emporte nécessairement une appréciation par le juge des intentions de son auteur. En effet, l'usurpation doit être réalisée "en vue de troubler la tranquillité de la victime ou de porter atteinte à son honneur ou à sa considération". Cette formulation n'est pas sans proximité avec l'infraction qui réprime les appels téléphoniques ou les messages réitérés malveillants. Eux aussi doivent été effectués, aux termes de l'article 222-16 c.pén. "en vue de troubler la tranquillité d'autrui".
Sur ce point, la Cour de cassation exige des juges du fond qu'ils établissent le lien entre les faits et le trouble à la tranquillité de la victime. Dans une décision rendue le 17 septembre 2014, la Chambre criminelle de la Cour de cassation sanctionne sur ce point la Cour d'appel de Lyon, précisément dans une affaire de messages réitérés malveillants. Certes M. X. avait envoyé à Mme Y., en une nuit, trente-trois SMS lui expliquant qu'il venait de s'empoisonner, qu'il mourrait pour elle et
qu'il l'autorisait à venir le voir à la morgue. Pour la Cour d'appel, l'existence même de ces messages suffit à démontrer la volonté de troubler la tranquillité de la destinataire. Pour la Cour de cassation, cette motivation est insuffisante, et la Cour d'appel aurait dû rechercher si la réception des messages s'accompagnait, ou non, d'un signal sonore. Autrement dit, le trouble à la tranquillité doit être matériellement caractérisé.
Dans le cas de Rachida Dati, le juge déduit l'atteinte à la tranquillité des déclaration mêmes des prévenus lors de l'audience. Ils ont reconnu, en effet, avoir adressé un lien vers le faux site à quatre mille contacts sur twitter et admis avoir pour objet une atteinte à l'honneur et à la considération de l'intéressée. Les commentaires déposés, souvent sexistes ou obscènes, ne laissaient d'ailleurs aucun doute sur cette motivation, les prévenus ne les ayant pas modérés ou retirés.
Cas d'usurpation d'identité. Les Guignols de l'Info. Mars 2014. |
Problèmes de preuve
En l'espèce, les éléments de preuve résultent des déclarations des prévenus. Leur défense semble avoir été particulièrement maladroite, relayée d'ailleurs par différents internautes qui n'ont vu dans cette pratique qu'un "humour potache" ou la simple volonté d'"exploiter une faille de sécurité dans la joie et la bonne humeur". Hélas pour eux, l'humour potache peut être constitutif d'un comportement pénalement sanctionné.
Reste que la preuve de l'infraction, et surtout l'identification de son auteur, n'est pas toujours aussi simple. Dans bien des cas, les victimes devront s'appuyer sur la loi du 21 juin 2004 pour la confiance dans l'économie numérique qui impose aux hébergeurs de conserver les données "de nature à permettre
l’identification de quiconque a contribué à la création du contenu ou de
l’un des contenus des services dont elles (ces personnes) sont
prestataires”. Dans d'autres cas, les poursuites seront compliquées par le fait que la plupart des sites illégaux s'installent à l'étranger, précisément pour se soustraire aux rigueurs du droit français.
L'avenir dira si ce délit d'usurpation d'identité est effectivement utile pour lutter contre ce type de pratiques. La présente décision ne permet guère de répondre à cette question, les auteurs de l'usurpation se cachant à peine et résidant sur le territoire français. Autant dire qu'ils étaient particulièrement faciles à retrouver, et à sanctionner.
Reste tout de même à s'interroger sur l'exploitation des failles de sûreté à laquelle ils se sont livrés. C'est même leur seule défense, puisqu'ils expliquent que, si ces failles n'avaient pas existé, les délits d'usurpation et d'identité et de piratage n'auraient pas pu se produire. A l'appui de cette justification, ils peuvent citer l'article 34 de la loi du 6 janvier 1978, qui fait obligation au responsable du traitement de "prendre toutes précautions utiles (...) pour préserver la sécurité des données." Le manquement à cette obligation est puni d'une peine qui peut atteindre cinq années d'emprisonnement t 300 000 € d'amende. Sur ce point, l'existence même du délit d'usurpation d'identité permet de ne plus présenter l'exploitation des failles de sûreté comme une activité ludique, dépourvue de sanction. Désormais, le coupable n'est pas seulement l'informaticien qui a laissé subsister une faille dans son logiciel mais celui qui l'a exploitée dans le but de troubler la tranquillité d'autrui. C'est tout de même plus satisfaisant pour l'esprit.