Le délit d’usurpation d’identité numérique a été créé par la loi n° 2011-267 du 14 mars 2011 dite « LOPPSI II », et introduit à l’article 226-4-1 du Code pénal, qui dispose : « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000€ d’amende ».

Ainsi que les travaux parlementaires le démontrent, la création de ce délit pénal avait pour objectif de combler un vide juridique, « en permettant de répondre à des actes malveillants qui ne peuvent aujourd’hui tomber sous le coup d’aucune qualification pénale, ne constituant ni une diffamation, ni un détournement de la correspondance d’autrui ». Restait à savoir comment la jurisprudence allait s’approprier ce nouvel outil. Une décision du 16 novembre 2016 de la Cour de cassation, premier arrêt rendu par la juridiction suprême en la matière (Cass. crim., 16 novembre 2016, n°16-80.207), en cassation de la première décision rendue sur le fondement du nouveau texte (T. cor. Paris, 18 décembre 2014, RG 12010064012), en fournit un bon aperçu.

En l’espèce, un ingénieur informaticien avait profité d’une faille informatique du site Internet officiel d’une femme politique pour créer un faux site reprenant sa photographie et la charte graphique du site officiel. Il permettait aux internautes de rédiger de faux communiqués de presse, qui étaient par la suite publiés sur le site officiel. S’en était suivi la publication de communiqués obscènes et dégradants pour l’élue.

La Haute juridiction indique que la reprise de la photographie de la victime et la mention de son nom sont suffisants pour caractériser l’usurpation d’identité numérique. L’usage de la charte graphique de son site officiel constitue également une « donnée permettant de l’identifier ». Ce dernier point, tout particulièrement, est important, car la notion de « donnée permettant [d’]identifier » la victime –et non de donnée personnelle, qui figurait dans la première version du texte– n’est pas définie par la loi. L’interprétation de la Cour de cassation semble confirmer les analyses de la doctrine, selon lesquelles pourraient être concernées des « données » aussi diverses que : données de connexion, pseudonymes, avatar, adresse IP, URL, logo, etc. Ce qui permettrait de couvrir les pratiques, désormais fréquentes, d’hameçonnage.

La Cour indique, par ailleurs, qu’il importe peu que le faux site ne soit pas exactement semblable au vrai, le risque de confusion restant évident du fait de la reprise des éléments principaux de présentation du site officiel, et que n’est pas davantage pertinent l’argument selon lequel l’ingénieur informatique n’avait pas rédigé lui-même de faux communiqués de presse, l’intention frauduleuse étant caractérisée dès lors qu’il avait offert la possibilité de les mettre en ligne, et avait ainsi sciemment perturbé le fonctionnement normal du site officiel.

Le Tribunal correctionnel avait déjà réfuté l’argument fondé sur le caractère parodique du faux site, du fait de l’absence de toute mention de nature à détromper l’internaute sur son caractère humoristique. L’argument selon lequel l’élue, ou à tout le moins l’équipe chargée de la conception et de la maintenance du site, portait une part de responsabilité dans la commission des faits, pour n’avoir pas remédié à une faille de sécurité qui était pourtant connue, n’avait pas davantage été accueilli.

En conséquence, l’ingénieur informaticien est condamné à une amende de 3000 euros. Un complice avait été condamné en première instance à payer 500 euros d’amende pour avoir mis, en connaissance de cause, à disposition de l’infracteur l’espace de stockage qu’il louait sur un serveur afin de lui permettre de créer le site litigieux. N’ayant pas fait appel, sa condamnation est devenue définitive.

Dans une autre affaire, assez différente, dans laquelle une personne s’était attaquée à un père et à sa fille en créant un faux site Internet calomnieux, qui divulguait les coordonnées de ses victimes, l’infracteur a été condamné à une peine d’amende 8 000 euros (T. cor. Paris, 12 août 2016, 16/56239). Le Tribunal a considéré que le caractère « extrêmement attentatoire et calomnieux du site litigieux », et le fait qu’il soit référencé par Google dans les résultats générés sous les nom et prénom des demandeurs, suffisaient à matérialiser le préjudice.

Voir également notre présentation de l’étude du Conseil supérieur de l’audiovisuel sur les plates-formes numériques.

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Hélène Chalmeton, juriste au sein du Département droit des affaires, en charge du knowledge management.