Identité numérique sous « emprise » : le code pénal en force !

S’il est vrai que certains donnent mandat à un tiers professionnel (exemple : un webmaster d’un site dédié à la communication d’une personne) pour gérer leur image virtuelle, l’usage indu et non autorisé des attributs de notre identité sur le net - qui plus est à mauvais escient - relève de l’offense et de l’atteinte inacceptables. C’est l’expérience amère et parfois hautement préjudiciable qu’ont pu faire un nombre inexorablement croissant de personnes à travers le monde au gré de toutes les formes d’usurpation d’identité : usage détourné du nom, de l’état civil, des titres, des données personnelles, de l’image, etc. Plus près de nous, en 2014, l’affaire Rachida Dati avait mis un coup de projecteur intéressant sur la problématique en portant sur les fonts baptismaux des prétoires, l’article 226-4-1 du Code Pénal réprimant expressément l’infraction d’usurpation d’identité numérique.

L’espèce concernait un informaticien ayant créé une réplique du site officiel de la Député-Maire du VII arrondissement de Paris (reprise de la photographie, mise en page et des éléments graphiques propres au site officiel) et ayant profité d’une faille de sécurité de type XSS pour permettre la navigation des internautes du site officiel vers son avatar sans s’en rendre compte, comme s’il s’agissait du même et unique site. Or, ledit faux site permettait précisément à tout internaute plus ou moins bien intentionné à l’endroit de la victime de « rédiger un texte court  et de l’afficher sous la forme d’un communiqué de presse présentant l’aspect du site officiel », le tout étant enrichi par la possibilité de publier « via les réseaux sociaux Twitter et Facebook un lien affichant les faux communiqués de presse de la députée-maire présentant l’apparence d’être hébergés sur son site officiel ». La promotion du site factice avait été assurée, notamment, par l’envoi d’un lien auprès des 4.000 contacts Twitter du prévenu. 

Résultat : en apparence, le site officiel de Madame Rachida Dati charriait des messages apocryphes, à caractère obscène, injurieux, diffamatoire ou bien politiquement compromettant pour la victime. 

Si le Tribunal de Grande Instance de Paris a retenu aussi bien l’usurpation d’identité numérique que l’introduction frauduleuse de données dans un STAD, la Cour d’Appel de Paris, en novembre 2015, a réformé partiellement la décision en écartant ce dernier fondement. Il est vrai que la faille de sécurité offrait un argument de repli opportun puisque l’accès frauduleux est hypothéqué par la négligence du concepteur du site.

Il n’en demeure pas moins que sur les critères constitutifs de l’infraction telle que définie par l’article 226-4-1 du code pénal, tout y est !

L’élément matériel prend sa consistance, notamment, dans la reprise de la photographie de la victime et de la charte graphique d’origine du site officiel, c’est-à-dire dans la reprise de données permettant d’identifier la personne. Il n’est donc pas forcément nécessaire que les éléments « primaires » de l’identité (le nom et le prénom) soient concernés, corroborant ainsi le caractère extensif de la notion d’identité numérique au sens du code pénal français. 

L’élément moral, quant à lui, était cristallisé par de multiples indices dont la tolérance et la favorisation de la publication de faux communiqués de presse aux contenus explicitement attentatoires à l’honneur et à la dignité de la victime. Quand bien même le principal prévenu ne serait pas l’auteur, son intention de nuire ne faisait aucun doute. 

Par un arrêt relativement lapidaire en date du 16 novembre 2016, la Cour de Cassation vient donc de clore cette affaire par la confirmation de la condamnation de l’informaticien « indélicat » sur le fondement de l’usurpation d’identité numérique. Au-delà de la concision du libellé de l’arrêt, il convient de relever que la Cour de Cassation retient que l’infraction est « exclusive de l’application de l’article 10 de la Convention européenne des droits de l’homme ». 

Il faudra certainement plus de recul pour pouvoir être aussi tranché. Mais, en tout état de cause, en l’espèce, rien n’aura donc résisté à la qualification de l’article 226-4-1 du code pénal, pas même les ressorts pourtant éprouvés de la liberté d’expression. La défense n’avait pas lésiné sur l’argument de l’humour et de la parodie satirique pour convaincre les différentes instances. En vain !

Depuis les premiers « actes » de cette affaire « Dati », la jurisprudence s’est richement étoffée sur la base de la seule qualification de l’article 226-4-1 du code pénal. Ainsi, même en référé, les juges reçoivent désormais volontiers le caractère manifeste des infractions sur le fondement de l‘usurpation d’identité numérique. Ainsi en est-il de l’ordonnance de référé du Tribunal de Grande instance de Paris en date du 12 août 2016 reconnaissant le trouble manifestement illicite causé par l’usurpation de l’identité d’un individu à travers la création d’un site dont le nom de domaine reprenait ses noms et prénoms aux fins d’une vengeance familiale.

Notons, néanmoins, que le délit d’usurpation d’identité numérique ne trouvera à s’appliquer que lorsque l’infraction est commise en vue de troubler la tranquillité de la victime ou celle d’autrui. Or, l’usurpation d’identité numérique peut avoir d’autres vocations et des fondements alternatifs du droit doivent et peuvent être trouvés. 

Ainsi, l’infraction de cybersquatting constitue également une piste sérieuse et opérante en matière de lutte contre l’usurpation d’identité. Ainsi, au visa de l’article 45-2 du Code des Postes et des Communications Electroniques, les juges ont-ils pu ordonner le transfert d’un nom de domaine frauduleux portant atteinte au droit de la personnalité de la requérante (TGI Paris, 3° ch. 2 mars 2017 - voir commentaire Eric A. CAPRIOLI, Le cybersquatting du nom patronymique, CCE n°5, Juin 2017, comm.49).

Dans le même sens, l’article 434-23 du Code pénal permet de réprimer l’usurpation d’identité « dans des circonstances qui ont déterminé ou auraient pu déterminer (…) des poursuites pénales » à l’égard de la victime. 

En somme, si notre identité « naturelle » relève de l’impénétrable alchimie entre l’inné et l’acquis, son ersatz numérique est plus aisé à démanteler. Il se crée par la technique, se nourrit à la carte de notre volonté et se sculpte à la lumière de ce que chacun consent à dévoiler sur lui-même. L’identité numérique doit donc rester indisponible à autrui lorsqu’il n’a pas été autorisé à en faire un quelconque usage. C’est le sens profond de l’article 226-4-1 du Code pénal et le message des juges. Il est vrai que, au-delà des préjudices évidents subis par les victimes, l’enjeu est également d’éviter la dilution de l’identité numérique, empêchant la traçabilité de l’identité tout court et favorisant un jeu malsain et dangereux de « qui est qui ?».