Usurpation d'identité : le Conseil fédéral ne légiférera pas, et il a tort
Il y a quelques jours, le Conseil fédéral a répondu à une interpellation de Jean Christophe Schwaab (Conseiller national, PS) concernant la présence d’une lacune en droit pénal sur la question de l’usurpation d’identité. Comme Schwaab le relève dans son interpellation, l’usurpation d’identité n’est pas réprimée comme telle dans le droit pénal suisse.
Elle peut, selon les cas, être considérée comme une atteinte à l’honneur (art. 173 ss CP) ou une violation de la personnalité (art. 28 CC), pour autant que l’état de fait soit rempli, ce qui est loin d’être le cas lors de chaque usurpation. Or, ces infractions ne sont souvent passibles que de sanctions mineures, dont l’effet dissuasif est insuffisant en regard des conséquences. Suivant les moyens utilisés préalablement à l’usurpation d’identité, on peut être en présence de soustraction de données (art. 143 et 179novies CP), d’accès indu à un système informatique (art. 143bis CP), de détérioration de données (art. 144bis CP) ou de faux dans les titres (art. 251 CP). Là où ces états de fait ne sont pas remplis, il y a une lacune du droit pénal.
Dans sa réponse, le Conseil fédéral estime que le droit pénal ne présente pas de lacunes en la matière, car
le fait d’usurper l’identité d’un tiers est en principe punissable, d’autant plus [que l’usurpation d’identité] n’est quasiment jamais un but en soi, mais sert le plus souvent une intention spécifique, telle qu’exprimée dans les infractions mentionnées ci-dessus.
La France, un des pays leader en matière de droits numériques, montre une fois de plus la voie à suivre.
L’exemple français
L’idée de créer une base légale spécifique remonte à 2006. Pourtant, elle avait été écartée pour la même raison que celle invoquée aujourd’hui en Suisse par le Conseil fédéral : le gouvernement français estimait qu’il n’y avait pas de lacune dans le droit pénal. La jurisprudence française a néanmoins élargi l’interprétation des dispositions légales préexistantes, notamment pour englober l’utilisation de l’adresse e-mail d’un tiers (arrêt du 20 janvier 2009, Chambre criminelle de la Cour de cassation).
Pourtant cela n’a pas suffi, car la simple usurpation d’identité qui n’engendrerait pas de conséquences juridiques (pénales, par exemple) ou financières n’était pas répréhensible. Impossible dans ces conditions de condamner des actes impliquant le phishing. En 2009, un projet de loi est déposé (LOPPSI II, Loi d’Orientation et de Programmation pour la Performance de la Sécurité Intérieure) et, lors de son adoption en 2010, modifiera le Code pénal français en y ajoutant notamment l’actuel article 226-4-1 qui a la teneur suivante.
Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende.
Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.
La solution française est intéressante en particulier sur un point : elle utilise la notion de “donnée de toute nature” qui est bien plus large que celle de “donnée personnelle”. Ainsi, l’utilisation de toute donnée permettant d’identifier une personne (sur Internet ou non) est punissable si elle vise à troubler la tranquillité d’autrui, ou porter atteinte à son honneur et à sa réputation. À noter cependant que la notion d’identité n’est pas définie dans la loi, et c’est tant mieux, car il aurait fallu en appréhender toutes les facettes (numéros de téléphone, adresses IP, e-mail, postales, pseudonymes, avatar, URL, et j’en passe).
Le Conseil fédéral estime que notre tranquillité n’a pas à être protégée
Prenons un exemple simple – il en existe plein d’autres.
Une personne utilise vos données pour commander des objets sur Internet et vous les faire livrer chez vous, dans le simple but de vous ennuyer. Objectivement, il n’y aurait pas de préjudice financier, car “vous” avez acheté ces biens. L’autre partie du contrat (le vendeur) n’était pas censé savoir que ce n’était pas réellement vous. Elle vous remboursera éventuellement. Au final, vous vous en sortirez peut-être sans frais. Le préjudice subi sera seulement un peu de temps perdu et un “trouble dans votre tranquillité”, surtout si ces achats se répètent.
Actuellement, en Suisse, ce genre de comportement ne pourrait pas être puni par le droit pénal ou civil : votre honneur et votre réputation n’ont pas été atteints, votre patrimoine non plus, et votre domicile informatique encore moins de même que votre vie privée. Les conditions légales pour réaliser les infractions d’escroquerie, d’accès indu à un système informatique et de soustraction de données ne sont, pas exemple, pas remplies.
Le fait de se faire passer pour quelqu’un d’autre n’est donc, en soi, pas répréhensible, à moins de commettre une infraction en utilisant cette identité. Il est impossible que l’usurpation d’identité puisse constituer une circonstance aggravante au moment de fixer la peine, car le Code pénal suisse ne prévoit qu’un seul motif d’aggravation : le concours d’infractions (art. 49 CP). Comme l’usurpation d’identité en tant que telle n’est pas érigée en infraction, elle ne peut constituer une circonstance aggravante.
Le Conseil fédéral admet que la généralisation d’internet et des nouveaux moyens de communication dans les transactions commerciales, mais aussi l’expansion des médias sociaux ont indéniablement donné lieu à une multiplication des affaires d’usurpation d’identité. Cependant, il refuse de prendre le taureau par les cornes. Mais ce n’est pas le plus important.
En effet, selon le gouvernement, l’expérience montre qu’une protection insuffisante des données personnelles ou une gestion insouciante de ces données peuvent favoriser ce type de délinquance, sur internet comme dans la vie. En d’autres termes, la faute nous revient si des tiers usurpent notre identité. Et si cela arrive, le gouvernement s’en lave les mains et s’en remet à l’information de la population et à la prévention des risques liés au traitement des données personnelles. Sauf que l’usurpation d’identité peut être réalisée sans données personnelles.
Mais après tout, le tableau n’est pas si noir. La France a mis quatre ans pour introduire l’infraction d’usurpation d’identité en tant que telle dans le Code pénal. Au rythme où vont les choses en Suisse, on peut s’attendre à un revirement d’ici 2025. A moins que le Parlement fédéral prenne les choses en main dans l’intervalle, ce qui serait évidemment souhaitable.