Depuis 2011, les contours du délit d’usurpation d’identité numérique ont été précisés par la jurisprudence.
L’article 226-4-1 du Code pénal, issu de la loi d’orientation et de programmation pour la performance de la sécurité intérieure « Loppsi 2 » du 14 mars 2011, réprime le délit d’usurpation d’identité. Il dispose que « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 euros d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne ».
Le délit d’usurpation d’identité
Au titre de l’élément matériel, l’article 226-4-1 du Code pénal vise « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier », y compris « sur un réseau de communication au public en ligne ». La notion de « données de toute nature » s’entend non seulement du nom et du prénom, mais également de toute donnée susceptible de contenir des informations sur l’identité d’une personne, comme une adresse électronique, une adresse IP ou encore un identifiant / mot de passe.
S’agissant de l’élément intentionnel, l’infraction exige un dol spécial : l’usurpation doit être faite « en vue de troubler la tranquillité de la victime, ou de porter atteinte à son honneur ou à sa considération ».
Les peines principales encourues sont d’un an d’emprisonnement et de 15.000 euros d’amende.
L’application de l’article 226-4-1 du Code pénal par les juges
C’est dans le cadre d’une affaire d’e-réputation que, pour la première fois, les juges se sont fondés sur l’article 226-4-1 du Code pénal pour condamner une personne pour usurpation d’identité numérique. En effet, par un jugement du 21 novembre 2014 (1), le Tribunal de grande instance de Paris a considéré qu’une jeune femme s’était rendue coupable, entre autres, d’usurpation d’identité par la création de « multiples profils sur les réseaux sociaux en utilisant les noms exacts ou modifiés ou encore le pseudonyme » de son ex-concubin et de son ex-amant notamment, ainsi que leurs photos. Ayant également employé des propos injurieux à leur égard, les juges ont estimé que l’élément intentionnel du délit d’usurpation d’identité était caractérisé. La Cour d’appel de Paris a confirmé ce jugement par un arrêt du 13 avril 2016 (2).
C’est ensuite dans la célèbre affaire Dati qu’est intervenue l’application de l’article 226-4-1 du Code pénal. Dans cette affaire, un informaticien avait créé un « faux » site officiel de la députée-maire, reprenant la charte graphique du « vrai » site officiel, ainsi que la photographie de la maire du VIIe arrondissement de Paris. Il permettait à tout internaute de publier des commentaires sous forme de communiqués de presse et apparaissant comme ayant été rédigés par Rachida Dati elle-même. Les propos tenus étaient donc non seulement trompeurs mais également injurieux ou diffamatoires. C’est sur l’élément intentionnel du délit d’usurpation d’identité que les conseils du prévenu se sont appuyés pour le défendre. Ils soutenaient que l’usurpation qui lui était reprochée était seulement destinée à faire rire et que son caractère humoristique, parodique et satirique était exclusif de toute intention de nuire. Cependant, par un jugement du 18 décembre 2014, le Tribunal de grande instance de Paris a estimé que les propos tenus allaient « au-delà de l’humour ou de la satire » et que la création de ce site avait pour conséquence de porter atteinte à l’honneur et à la considération de Madame Rachida Dati (3). Il a ainsi déclaré l’informaticien coupable d’usurpation d’identité numérique.
Ce jugement a été confirmé par la Cour d’appel de Paris (4). Dans un arrêt du 13 novembre 2015, elle a d’abord relevé, sur le fondement de l’article 226-4-1 du Code pénal, que « le fait que la page d’accueil du [faux] site ne soit pas exactement similaire à celle du site de [Rachida Dati] est indifférent à l’élément matériel du délit d’usurpation d’identité, dès lors qu’était reproduite une photographie de celle-ci, ainsi que les éléments principaux de la charte graphique de son site officiel et qu’il importe peu, par ailleurs, que le prévenu soit ou non l’auteur des messages diffusés puisque n’est pas incriminée leur rédaction, mais la seule possibilité de les mettre en ligne de façon contrefaisante ». En outre, elle a considéré que « l’intention frauduleuse tient à la seule volonté de créer un site fictif et d’encourager les nombreuses personnes le suivant sur divers réseaux sociaux à user de ce support par des messages apocryphes qui, soit obscènes, soit contenant des affirmations politiques manifestement contraires aux options de l’élue du VIIe arrondissement, sont ainsi de nature soit à troubler sa tranquillité, soit à porter atteinte à son honneur et à sa considération ».
Enfin, la Cour de cassation, reprenant les énonciations de la cour d’appel, a confirmé la condamnation de l’informaticien pour usurpation d’identité numérique dans un arrêt du 16 novembre 2016 (5).
D’autres précisions sur l’application de l’article 226-4-1 du Code pénal ont été apportées par un arrêt de la Cour de cassation du 17 février 2016 (6). En l’espèce, le prévenu avait été poursuivi pour avoir usurpé l’identité de M. Mahamadou X., né de M. Youssouf X. et de Mme B., et avoir tenté de se faire délivrer indûment, sous cette identité usurpée, un passeport français. Il fut relaxé par le tribunal correctionnel, mais le jugement fut infirmé en appel. Le 16 décembre 2014, la Cour d’appel d’Aix-en-Provence avait relevé que, originaire des Comores, l’intéressé était entré sur le territoire français, alors qu’il était mineur, sous l’identité de M. Mahamadou X. qui lui avait été donnée, indépendamment de sa volonté, par M. Youssouf X. Jusqu’en 2010, le prévenu n’avait donc pas volontairement usurpé cette identité, qui résultait d’une fraude à laquelle il était étranger, mais puisqu’il avait depuis continué à en user, en toute connaissance de cause, après avoir appris, suite aux enquêtes de la caisse nationale d’assurance maladie et de la police des airs et des frontières, que M. Youssouf X. et Mme B. n’étaient pas ses parents biologiques, il était coupable d’usurpation d’identité à partir de cette date.
La Cour de cassation a cependant cassé cet arrêt. Elle a d’abord rappelé, au visa des articles 226-4-1 et 441-6 du Code pénal, que « le délit d’usurpation d’identité suppose qu’il soit fait usage de l’identité d’un tiers en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération ». Puis elle a reproché à la cour d’appel de s’être prononcée comme elle l’avait fait, alors qu’il résultait de ses propres constatations que l’identité litigieuse correspondait à celle qui avait été « attribuée au prévenu dans des circonstances extrinsèques », de sorte que « ni le fait d’usurper l’identité d’un tiers ni la volonté d’en faire usage en vue de troubler la tranquillité du tiers, ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération », ne pouvaient être caractérisés.
Plus récemment, dans une autre affaire, il était reproché à un individu d’avoir repris les nom et prénom d’une jeune femme pour constituer le nom de domaine d’un site destiné à lui nuire. Le tribunal de grande instance de Paris, dans une ordonnance de référé du 12 août 2016, l’a déclaré coupable d’usurpation d’identité en expliquant que « la mise en ligne du site « www.[…].fr », […] est constitutive du délit défini à l’article 226-4-1 du Code pénal, en ce que ce site – créé sous les nom et prénom de [l’intéressée] et exploitant différents clichés qui la représentent pour illustrer, en les détournant de leur contexte de fixation, une mise en scène infamante de sa personnalité et de celle de son père – a pour objet, à l’évidence, de nuire à la requérante en salissant sa réputation sur internet et en exploitant la calomnie ainsi jetée publiquement sur elle […] » (7). Le prévenu avait tenté de se défendre en invoquant le fait que l’emploi des nom et prénom de la victime, pour créer un site internet, n’est pas illicite, dès lors qu’ils correspondent par ailleurs au nom d’un site marchand. Les juges ont rejeté cet argument, relevant que « le fait invoqué en défense, d’ailleurs non prouvé, que les nom et prénom de la demanderesse correspondent au nom d’un site marchand, n’est pas de nature à priver ces faits de leur caractère illicite, les droits dont disposent les tiers sur une marque ou un nom commercial étant inopposables à une personne physique dans la jouissance des protections qu’institue la loi contre les atteintes faites à sa personnalité, encore moins quand ces atteintes procèdent, comme en l’espèce, d’une intention malveillante ». En conséquence, le prévenu a été condamné à payer 8 000 € de dommages et intérêts.
L’application jurisprudentielle de l’article 226-4-1 du Code pénal démontre une recherche de protection des victimes d’usurpation numérique, en ne qualifiant les faits d’usurpation d’identité uniquement dans les cas où le dol spécial caractérisé par une intention malveillante de l’auteur est qualifié.
Se protéger de l’usurpation d’identité numérique : une préoccupation grandissante
La protection de l’identité numérique est une préoccupation grandissante tant pour les institutions que pour les victimes.
En effet, l’usurpation d’identité en ligne se présente sous des formes variées et peut toucher tant les particuliers que les entreprises ou les institutions.
La Cnil ou le ministère de l’Intérieur propose ainsi des fiches à destination du public pour préconiser des solutions en cas d’usurpation d’identité.
Si l’usurpation d’identité numérique des particuliers a souvent pour objectif une vengeance personnelle, elle peut se traduire dans le monde de l’entreprise et des institutions, par une fraude de plus grande ampleur, aboutissant, dans les cas de fraude au président, par exemple, à des cas d’escroquerie, dont les conséquences financières peuvent être dramatiques.
Dans tous les cas d’usurpation d’identité numérique, il est donc fortement recommandé de se ménager la preuve des agissements frauduleux et de déposer plainte entre les mains du procureur de la République.
Virginie Bensoussan-Brulé
Chloé Legris
Lexing Vie privée et Presse numérique
(1) TGI Paris, 21-11-2014, 24e ch. corr., n°10183000010
(2) CA Paris, 13-4-2016, n°10183000010
(3) TGI Paris, 18-12-2014, 2e ch. corr., n°12010064012
(4) CA Paris, 13-11-2015
(5) Cass. crim., 16-11-2016, n°16-80.207
(6) Cass. crim., 17-2-2016, n°15-80.211
(7) TGI Paris, 12-8-2016, Ord. réf.