Créé en mars 2011, l’article 226-4-1 du Code pénal condamne le fait d’usurper l’identité d’un tiers ou de faire usage de données permettant de l’identifier dans un but malveillant.
Le législateur a pris le soin de préciser dans un second alinéa que cela vaut également lorsque l’usurpation d’identité est commise sur un réseau de communication au public en ligne.
Cette seconde possibilité couvre un nombre croissant de pratiques sur internet, et plus particulièrement sur les réseaux sociaux où pullulent les faux-profils. L’arrêt rendu le 16 novembre 2016 par la chambre criminelle de la Cour de cassation met un point final à la première affaire qui avait vu le jour concernant ce délit d’usurpation d’identité numérique.
L’exploitation d’une faille de sécurité par le prévenu
Début 2012, une maire d’arrondissement parisien a déposé plainte auprès des services de police après avoir découvert un site prenant les apparences de son propre site internet officiel, mais diffusant des communiqués insultants et diffamatoires. Il était même possible aux internautes d’écrire des messages en se faisant passer pour cette maire et d’ensuite les publier sur Twitter et Facebook, toujours en son nom.
Un lien permettait aux internautes de passer du faux au véritable site officiel de la maire, entretenant d’autant plus la confusion entre ces derniers. L’ingénieur informaticien d’Orange à l’origine de ce montage a expliqué avoir découvert une faille de sécurité dans le site officiel lui permettant d’y pénétrer sans être soumis au filtres et contrôles censés le protéger. Ainsi, les faux communiqués de presse étaient directement diffusés sur le site original, avec la mention « groupe Pipe » au lieu de « groupe PPE ».
L’intention frauduleuse résidant dans la création même du site
Le Tribunal correctionnel avait retenu deux chefs de condamnation pour condamner le prévenu au paiement de 3000 euros d’amende, le délit d’usurpation d’identité et le délit d’introduction frauduleuse de données dans un système informatisé. En appel, les juges avaient écarté cette seconde qualification mais ont bien maintenu la première. Pour échapper à ce chef d’inculpation devant la haute juridiction, l’informaticien a invoqué sans succès l’article 10 de la Convention européenne des droits de l’Homme protégeant la liberté d’expression.
Il mettait aussi en avant le fait qu’il n’était pas le rédacteur des messages calomnieux diffusés sur internet au nom de la maire, et n’était donc pas à l’origine de l’usurpation d’identité. Mais la Cour de cassation a rejoint les juges du fond ayant estimé que « l’intention frauduleuse tient à la seule volonté de créer un site fictif et d’encourager les nombreuses personnes le suivant sur divers réseaux sociaux à utiliser ce support ».
En conclusion, le délit d’usurpation numérique permet bien de lutter contre les instigateurs de fraude sur internet qui auraient pu échapper à une condamnation pour contrefaçon de site ou diffamation. C’est un nouvel outil qui semble compléter efficacement l’arsenal juridique à la disposition des internautes en matière de cybercriminalité.