Usurpation d'identité : que prévoit le droit monégasque ?

Le délit d’usurpation d’identité a été introduit en droit pénal monégasque par l’article 11 de la Loi n° 1.435 du 08/11/2016 relative à la lutte contre la criminalité technologique :

CODE PÉNAL Livre III – Des crimes et délits et de leur répression / Titre II – Crimes et délits contre les personnes, les propriétés et les animaux / Chapitre Premier – Crimes et délits contre les personnes / Section XI – Atteinte à la vie privée et familiale

Article 308-6

« Quiconque aura sciemment usurpé l’identité d’un tiers ou une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa réputation ou de l’utiliser pour en tirer un profit quelconque, sera puni d’un emprisonnement de six mois à trois ans et de l’amende prévue au chiffre 4 de l’article 26 dont le maximum pourra être porté au double.

Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication par voie électronique. »

♦ Comment l’usurpation d’identité était-elle traitée avant la réforme ?

♦ Que requiert le nouvel article 308-6 du Code pénal ?

L’usurpation d’identité consiste à s’attribuer l’identité d’une autre personne ou à obtenir des informations permettant de l’identifier, à son insu, pour lui nuire ou pour commettre en toute impunité d’autres actes répréhensibles à l’encontre de tiers.

L’usurpation d’identité est souvent assimilée au vol d’identité[1] du fait de sa traduction anglaise (« identity theft »), ou confondue avec la substitution d’identité[2], voire avec l’usage d’une identité imaginaire. Elle est également à distinguer de l’usurpation de titre ou de fonction[3].

En droit traditionnel, l’usurpation d’identité correspond à l’usurpation de nom, autrement dit d’état civil. Or l’identité recouvre dorénavant d’autres composantes que le nom assigné par l’état civil, grâce auxquelles il peut être présumé ou établi qu’une personne est bien celle qui se présente comme telle, en particulier dans le monde virtuel.

Le délit d’usurpation d’état civil prévu à l’article 658 du Code de procédure pénale est restrictif. Il est inapplicable à l’usurpation de nom commise sans infraction connexe, et à l’usurpation d’identifiants numériques.

L’article 308-6 du Code pénal vient utilement compléter le dispositif légal, en consacrant un délit autonome. L’usurpation d’identité est répréhensible en tant que telle, quel que soit le moyen (classique ou électronique) utilisé par l’usurpateur. Toutes les composantes de l’identité, y compris numérique, sont susceptibles d’être couvertes. Les nouvelles dispositions sont applicables aux usurpations d’identité commises après le 18/11/2016[4].

1. Comment l’usurpation d’identité était-elle traitée avant la réforme ?

L’article 658, alinéa 1 du Code de procédure pénale, réprime la prise du nom d’un tiers susceptible d’entraîner une inscription au casier judiciaire de ce tiers. Ce délit d’usurpation d’état civil requiert qu’une infraction connexe à l’usurpation soit caractérisée.

L’usurpation d’identifiants numériques tombant hors du champ d’application de cette disposition, seul le recours à d’autres qualifications juridiques (atteinte à la vie privée, diffamation, escroquerie, collecte frauduleuse de données,…) était dans cette hypothèse envisageable.

1.1. L’usurpation de nom liée au casier judiciaire

L’article 658, alinéa 1 du Code de procédure pénale (CPP) prévoit et punit la prise du « nom d’un tiers dans des circonstances qui ont déterminé ou auraient pu déterminer l’inscription d’une condamnation au casier judiciaire de celui-ci ».

Cette incrimination peu connue est issue de la Loi française du 13/07/1900 portant modification de la Loi du 05/08/1889 sur le casier judiciaire et la réhabilitation de droit[5].

Elle ne doit pas être confondue avec les fausses déclarations relatives à l’état civil d’un inculpé ayant causé l’inscription d’une condamnation sur le casier judiciaire d’un tiers (article 658, alinéa 3 CPP), la prise d’un faux nom ou d’une fausse qualité pour se faire délivrer un extrait du casier judiciaire d’un tiers (article 659, alinéa 1 CPP), ou la fourniture de renseignements d’identité inexacts, de nature à provoquer l’inscription de mentions erronées au casier judiciaire (article 659, alinéa 2 CPP).

Pour tomber sous le coup de l’article 658, alinéa 1 CPP, le nom usurpé, que ce soit sous forme verbale ou écrite, ne doit pas être « purement imaginaire ». Les juges du fond sont tenus de constater qu’il correspond à « celui d’une personne réelle et encore vivante ».[6]

Reste à savoir si un usurpateur pourrait être poursuivi sur ce fondement, dans l’hypothèse où le nom pris, intentionnellement imaginaire, s’avèrerait être celui d’une personne existante. Oui, si prime le résultat pour le tiers usurpé. Non, si prévaut l’intention de l’usurpateur.[7]

Les circonstances dans lesquelles le nom a été usurpé doivent nécessairement avoir déterminé ou avoir pu déterminer l’inscription d’une condamnation au casier judiciaire de la personne usurpée.[8]

En premier lieu, le processus pénal doit être enclenché. Le délit d’usurpation ne peut être constitué en l’absence d’interpellation.

En deuxième lieu, l’exposition du tiers usurpé à l’inscription d’une condamnation à son casier judiciaire fait naître l’infraction. Le délit d’usurpation suppose donc une infraction connexe, caractérisée en tous ses éléments[9]. Si l’interpellation concerne uniquement un soupçon d’usurpation, le délit d’usurpation ne peut être constitué. Si l’infraction à l’occasion de laquelle l’usurpation de nom a été commise n’est pas constituée, par ricochet, le délit d’usurpation ne peut l’être.

En troisième lieu, l’infraction connexe doit être susceptible d’entraîner une inscription au casier judiciaire, à savoir une condamnation définitive prononcée pour crime ou délit, ou une décision édictant une interdiction, une incapacité ou une déchéance.[10]

Le délit d’usurpation de nom est « puni d’un emprisonnement de six mois à cinq ans et d’une amende de 175 à 1 500 euros », et fait exception à la règle du non-cumul des peines (article 347 CPP[11]) : « La peine prononcée est subie immédiatement après celle encourue pour l’infraction à l’occasion de laquelle l’usurpation de nom a été commise » (article 658, alinéa 2 CPP).[12]

Des poursuites du chef de faux peuvent être de surcroît exercées (article 658, alinéa 1 CPP). L’usage d’un passeport ou autre document délivré par les administrations publiques « établi sous un autre nom que le sien » est puni d’un emprisonnement de trois mois à un an et/ou d’une amende de 750 à 2 250 euros (article 98, alinéa 1 du Code pénal).

Le délit d’usurpation d’état civil est par exemple constitué lorsqu’une personne interpellée pour escroquerie[13] ou vol[14] caractérisés, a pris le nom de son frère devant la police. De même lorsqu’une personne ayant refusé d’obtempérer suites aux injonctions d’un agent et l’ayant percuté en prenant la fuite, donne le nom, la date de naissance, l’adresse et la filiation de son frère pour dissimuler ses antécédents, « ce qui aurait pu engendrer qu’une condamnation soit portée sur son casier judiciaire, si les services de police n’avaient pas eu recours à des procédés de vérification des empreintes digitales, démontrant l’usurpation d’identité »[15].

La rétractation ultérieure, par exemple via un courrier adressé au juge d’instruction portant reconnaissance de l’usurpation d’identité pour dissimuler son passé judiciaire, n’a pas d’effet exonératoire.[16]

Les juridictions françaises ont eu l’occasion de connaître du délit d’usurpation de nom dans le cadre des réseaux numériques.[17]

Deux prévenus ont été déclarés coupables du délit d’usurpation d’état civil pour avoir fait figurer les noms de tiers sur des sites Internet où étaient publiés des propos et photos mettant en cause d’autres personnes, ainsi que sur l’e-mail adressé à plusieurs journalistes recommandant de consulter lesdits sites.[18]

Dans une autre espèce, l’usage d’une adresse électronique formée à partir des noms de deux personnes a été assimilé à la prise du nom d’un tiers. Le demandeur au pourvoi contestait qu’une adresse électronique, qui est une identité numérique, puisse constituer le « nom d’un tiers ». La Cour de cassation s’est rangée derrière l’appréciation des juges du fond, rejetant le moyen tiré de la violation de la règle d’interprétation stricte de la loi pénale, corollaire du principe de légalité.[19]

Vu le libellé restrictif de l’article 658, alinéa 1 CPP, dédié à la protection de l’état civil, celui-ci ne peut à tout le moins couvrir l’usurpation d’identifiants numériques tels un pseudonyme virtuel, un mot de passe, un code d’accès, une adresse IP.

1.2. L’usurpation d’identifiants numériques

Avant l’adoption de la Loi n° 1.435 du 08/11/2016 relative à la lutte contre la criminalité technologique, l’arsenal juridique traditionnel ne laissait pas les victimes d’usurpation d’identité autre que l’état civil totalement démunies.

Mais encore fallait-il que la loi, conçue pour le monde réel, offre un texte trouvant exactement à s’appliquer au préjudice dont l’usurpation numérique avait constitué le vecteur.

Le recours à la voie de fait (articles 236[20] et 238[21] du Code pénal) pouvait être envisagé dans le cas par exemple de création d’un faux profil sur un site Internet susceptible de porter atteinte à la considération de la personne, avec divulgation intentionnelle de ses coordonnées téléphoniques et électroniques : « la violence ou voie de fait, au sens de la jurisprudence, suppose un geste ou une attitude de nature à impressionner une personne ‘raisonnable’ même en l’absence d’atteinte physique, appréciation devant se faire in concreto (Cour de Révision du 18 juin 2009) »[22]. La victime doit établir l’atteinte à son intégrité, la simple intention malveillante ne suffisant pas.

Si l’usurpation en ligne était agrémentée de photos ou vidéos de la victime, d’informations concernant ses goûts ou ses relations, il était possible de se fonder sur l’atteinte à la vie privée. Une action au civil en cessation de l’atteinte et en dommages et intérêts pouvait être intentée (article 23 CC)[23]. Au pénal, sont en particulier punies l’atteinte à l’image et l’atteinte à la représentation de la personne (article 308-2, 2° et 308-3, 2° CP)[24].

Le droit à la vie privée inclut la confidentialité de la messagerie électronique[25]. L’usurpation de codes d’accès à une messagerie électronique pour prendre frauduleusement connaissance d’e-mails et divulguer leur contenu à des tiers, pouvait être sanctionnée sur le fondement de l’atteinte au secret des correspondances (article 344 CP)[26].

Il aurait pu être recouru à la Loi n° 1.299 du 25/07/2005 sur la liberté d’expression publique dans l’hypothèse où l’usurpateur aurait fait tenir à la victime des propos diffamatoires à l’encontre d’elle-même (article 21)[27]. Le réseau Internet est assimilé à un « moyen de communication audio-visuelle » au sens de la Loi n° 1.299 (article 15), et il est « de jurisprudence constante » que « la diffamation publique est réputée commise partout où les propos incriminés sont accessibles »[28].

L’usurpation des données d’identification d’une personne par fraude informatique en utilisant un faux e-mail et/ou un site web (phishing, pharming)[29] pour effectuer des opérations, détourner des fonds ou des biens sous son identité, pouvait être sanctionnée via l’escroquerie, une tromperie au moyen de l’ « usage de faux nom ou de fausse qualité » ou de « manœuvres frauduleuses » (article 330 CP)[30].

Dans ce cas, des poursuites auraient pu être également engagées sur le fondement de la collecte d’informations nominatives (données qui permettent d’identifier une personne physique, directement ou indirectement par recoupement) par des « moyens frauduleux, déloyaux ou illicites » (Loi n° 1.165 du 23/12/1993, article 22, 2°)[31].

Il est dorénavant possible de faire sanctionner la fraude informatique à la source de l’usurpation d’identifiants numériques, sur le fondement du délit d’accès frauduleux à un système d’information (article 389-1 CP). « L’accès devra être considéré sans droit lorsqu’il se fera par une personne n’y étant pas habilitée ».[32]

Avant la réforme en définitive, lorsque l’usurpation d’identité venait aider à la constitution d’une infraction, le Code pénal monégasque pouvait largement trouver à s’appliquer. Restait que l’usurpation de nom ne pouvait être sanctionnée de manière autonome, et que l’usurpation d’identité numérique ne pouvait être sanctionnée en elle-même.

2. Que requiert le nouvel article 308-6 du Code pénal ?

Le nouvel article 308-6 CP permet de réprimer « non seulement l’infraction classique d’usurpation d’identité, mais également lorsqu’elle est réalisée par le biais d’un réseau de communication par voie électronique »[33]. L’usurpateur encourt un emprisonnement de 6 mois à 3 ans et une amende de 18.000 à 90.000 € dont le maximum peut être porté au double.

À l’instar de l’article 658, alinéa 1 CPP, l’identité usurpée doit être celle d’une personne réelle. Mais aucune infraction connexe n’est requise. L’usurpation d’identité est répressible quand bien même aucune conséquence juridique ou économique n’en aurait résulté pour la victime.

Cette avancée ne doit pas faire oublier qu’en pratique, les problématiques de l’identification et de la localisation de l’auteur de l’usurpation d’identité peuvent constituer un frein à l’action pénale.

2.2. Les éléments constitutifs du délit d’usurpation d’identité

L’usurpation d’identité figure dans le Code pénal parmi les atteintes à la vie privée et familiale. Ce positionnement reflète la volonté du législateur d’intensifier la protection pénale de l’individu, là où le délit traditionnel de prise du nom d’un tiers vise à protéger l’identification judiciaire.

L’article 308-6 CP permet de sanctionner l’usurpation d’identité dans la vie réelle ou virtuelle.

Le fait d’avoir « usurpé l’identité d’un tiers ou une ou plusieurs données de toute nature permettant de l’identifier » constitue l’élément matériel[34] de l’infraction.

La notion d’ « identité », tout en étant distinguée des « données de toute nature » qui permettent d’inclure les attributs numériques d’une personne dans le champ d’application de l’article 298-6 CP, n’est pas définie. Il revient au juge pénal d’en affiner le périmètre.

Cette imprécision ne doit pas surprendre. Le « concept même d’identité numérique » (qui n’existe pas sur un plan juridique) « n’est pas, et pas plus que l’identité ‘traditionnelle’, univoque et uniforme »[35].

Au sens strict, l’identité traditionnelle désigne la manière dont la personne se fait appeler : nom, prénom(s), pseudonyme déclaré. Au sens large, elle inclut les données permettant d’identifier une personne qui apparaissent sur divers documents (permis de conduire, certificat d’immatriculation, carte de sécurité sociale, tickets de carte bancaire, facture, cartes d’embarquement…).

L’identité numérique regroupe les traces « profilaires » (qui est la personne), « navigationnelles » (comment elle se comporte), « inscriptibles et déclaratives » (ce qu’elle pense), laissées « consciemment ou inconsciemment » sur les réseaux : nom, prénom(s), pseudonyme y compris virtuel, adresse électronique, adresse IP, cookies, coordonnées (personnelles, administratives, bancaires, professionnelles, sociales), mots de passe, codes d’accès, photos, avatars, tags, liens, vidéos, articles, commentaires de forums, données géolocalisées, etc.[36]

S’agissant de l’élément moral[37] de l’infraction, l’acte doit avoir été commis « sciemment »[38], c’est-à-dire avec la conscience de violer la loi (dol général), et « en vue de troubler [l]a tranquillité [du tiers usurpé] ou celle d’autrui, ou de porter atteinte à son honneur ou à sa réputation ou de l’utiliser pour en tirer un profit quelconque[39]» (dol spécial).

Contrairement au délit traditionnel de prise du nom d’un tiers, le délit d’usurpation d’identité est autonome, c’est-à-dire qu’aucune infraction connexe n’est requise pour qu’il soit constitué.

L’article 308-6 CP requiert d’apporter la preuve de l’intention malveillante, laquelle peut revêtir trois facettes.

L’intention de l’usurpateur peut être de « troubler la tranquillité » de la victime de l’usurpation, ou celle d’une autre personne par son intermédiaire.

Cette notion est déjà présente dans le droit monégasque sous les aspects de trouble de jouissance ou de voisinage, trouble à la tranquillité publique par nuisance sonore.

Sont susceptibles de relever de cette hypothèse les cas de création d’un faux profil afin de submerger un tiers d’appels téléphoniques ou de courriers équivoques, de piratage d’un profil pour publier des commentaires à même de créer des conflits entre la victime et son entourage.

L’usurpateur peut également vouloir « porter atteinte à l’honneur et à la réputation » de sa victime.

Cette formulation est à rapprocher de la diffamation qui consiste à porter « atteinte à l’honneur ou à la considération de la personne ».

Les juges français ont été amenés à distinguer l’honneur et la considération : « L’honneur consiste à n’avoir en conscience rien à se reprocher qui soit contraire à la morale, alors que la considération est liée à l’estime publique puisqu’elle dépend de l’idée que les autres se font d’une personne »[40].

La notion de réputation a été appréhendée dès les travaux préparatoires de la Loi française du 17/05/1819 sur la presse, comme englobant l’honneur et la considération : « Tout ce qui touche à la réputation, à la probité, touche à l’honneur, et l’on peut sans blesser l’honneur, porter atteinte à la considération »[41].

La réputation recouvre ainsi l’ « opinion favorable ou défavorable attachée à » une personne, l’ « honorabilité » et la « renommée de bonne moralité », la « notoriété, le renom qui affecte une personne »[42].

Dans le monde virtuel, le concept d’ « e-réputation » a été utilisé à partir des années 2000. Forgé au fur et à mesure du développement de la présence numérique des personnes, celui-ci est venu sous-tendre la mise en œuvre d’une stratégie de gestion et de contrôle de la notoriété.[43]

Les relations sociales étant une composante digitale majeure, les usurpateurs se servent typiquement des réseaux sociaux ou des forums de discussion pour ternir l’honneur et la réputation de leur victime via la diffusion de commentaires, photos ou vidéos.

L’usurpateur peut également agir dans l’intention d’utiliser l’identité de tiers « pour en tirer un profit quelconque »[44].

L’absence de précision de la nature du profit permet de couvrir un large spectre d’objectifs illégaux recherchés par les usurpateurs.

Les données d’un tiers peuvent être usurpées pour des gains aussi divers que : retirer de l’argent d’un compte bancaire ; ouvrir un compte bancaire et contracter des crédits sans avoir à les rembourser ; retirer les bénéfices d’une vente ou d’un achat en ligne ; bénéficier gratuitement de services de communications ; toucher des allocations familiales ou pensions de retraite ; se soustraire aux amendes liées aux infractions du code de la route ; diffuser des liens vers des sites web contenant des virus ; dérober les objets d’un jeu de rôle en ligne massivement multi-joueurs (MMORPG) dont certains peuvent avoir une valeur financière ; etc.

Le second alinéa de l’article 308-6 CP précise que l’« infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication par voie électronique ».

Cet ajout peut apparaître superflu, dans la mesure où le premier alinéa (éléments constitutifs de l’infraction) est formulé de manière suffisamment large pour inclure l’usurpation d’identité numérique.

Sauf à apporter la précision, par la référence générale à « un réseau de communication par voie électronique », que sont punissables les usurpations d’identité commises aussi bien sur un réseau public (Internet), que privé (Intranet, Extranet).[45]

Se pose enfin la question de savoir si l’article 308-6 CP pourrait jouer au profit des personnes morales dont l’identité aurait été usurpée afin de pouvoir agir frauduleusement en toute impunité (faciliter une dissimulation d’argent par exemple[46]).

Les textes préparatoires de la Loi n° 1.435 relative à la criminalité technologique n’apportent aucune indication à ce sujet.

Au regard du positionnement de l’article 308-6 CP dans la section relative à l’atteinte à la vie privée et familiale, une réponse négative semble s’imposer. Le « tiers » dont l’identité a été usurpée ne pourrait être dans ce contexte qu’une personne physique.

Au regard des éléments constitutifs du délit, une réponse affirmative pourrait être avancée. Le nom est un attribut des personnes morales, que la notion d’« identité » permet sans conteste d’englober. L’expression « pour en tirer un profit quelconque » est assez large pour comprendre, par exemple, le profit tiré de l’utilisation du nom d’une personne morale auquel une réputation d’intégrité est attachée, en la désignant bénéficiaire effectif d’avoirs que l’on cherche à cacher sans éveiller les soupçons.

En ce sens, le Groupe de travail interministériel sur la lutte contre la cybercriminalité du pays voisin a considéré que « l’incrimination créée par la loi du 14.11.2011, en ce qu’elle vise « l’usage d’une ou de plusieurs données de toute nature permettant d’identifier (un tiers) », est suffisamment large pour réprimer toute usurpation d’identité numérique, y compris au préjudice des personnes morales et donc des entreprises ».[47]

Par analogie, ce raisonnement est applicable à l’usurpation d’identité classique, et d’autant à l’article 308-6 CP dont le champ d’application est plus large encore que celui de l’article 226-4-1 du Code pénal français qui ne prévoit pas le dol spécial « pour en tirer un profit quelconque ».

La protection de l’identité d’une personne morale sur le fondement de l’article 308-6 CP ne semble donc pas inenvisageable.

2.2. L’action fondée sur le délit d’usurpation d’identité

L’action sur le fondement de l’article 308-6 CP doit être introduite dans les trois ans « à compter du jour où le délit a été commis » (article 13 CPP).

Il est conseillé d’agir sans attendre, et d’emblée de ménager la preuve de l’usurpation d’identité, par constat d’huissier le cas échéant.

Bien qu’une plainte pénale ne nécessite pas de connaître l’identité réelle de l’usurpateur, il est recommandé de fournir le plus d’informations possibles permettant de remonter jusqu’à lui pour éviter le classement sans suite.

Dans l’hypothèse d’une usurpation d’identité numérique, des données d’identification sont disponibles auprès des prestataires techniques, fournisseurs d’accès Internet et hébergeurs. La Loi 1.383 du 02/08/2011 sur l’Économie numérique leur impose de conserver « les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires » (article 34).

Si l’obligation d’effacement ou d’anonymisation des données de trafic s’impose en principe aux opérateurs et prestataires de services chargés de l’exploitation des réseaux et des services de télécommunications et de communications électroniques, des dérogations sont applicables pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales (nouvel article 389-11-2, 2° CP créé par la Loi n° 1.435 relative à la criminalité technologique).[48]

Des catégories techniques de données déterminées peuvent être ainsi conservées, pour une durée limitée, et transmises au pouvoir judiciaire à sa demande.

Peu de jurisprudence entoure le texte équivalent français créé par la Loi n° 2011-267 du 14/03/2011 d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI II), ce qui lui a valu d’être qualifié de « discret »[49].

Malgré certaines différences rédactionnelles entre les dispositions monégasques et françaises, un tour d’horizon apporte des enseignements utiles pour l’interprétation de l’article 308-6 CP.

Le premier jugement sous l’empire de l’article 226-4-1 du Code pénal français, confirmé en appel, a été rendu le 21/11/2014 par le Tribunal de grande instance de Paris. La prévenue a été reconnue coupable (entre autres) d’usurpation d’identité au préjudice d’une ex-relation, de sa société et de son associée, pour avoir créé « sous leurs noms de fausses pages sur des réseaux sociaux pour y diffuser des informations fausses et diffamatoires ».[50]

Le Tribunal de grande instance de Paris a été ensuite saisi d’une affaire de création d’un faux site officiel d’une députée-maire, reprenant sa photographie officielle, la mise en page et la charte graphique du site original. Les internautes pouvaient publier de faux communiqués directement sous le nom de la victime.[51]

La Cour d’appel de Paris a confirmé la condamnation du chef d’usurpation d’identité, relevant que « l’intention frauduleuse tient à la seule volonté de créer un site fictif et d’encourager les nombreuses personnes le suivant sur divers réseaux sociaux à user de ce support par des messages apocryphes qui, soit obscènes, soit contenant des affirmations politiques manifestement contraires aux options de l’élue […], sont ainsi de nature soit à troubler sa tranquillité, soit à porter atteinte à son honneur et à sa considération ».[52]

La Cour de cassation a validé cette motivation et écarté le moyen tiré de la violation de la liberté d’expression : l’usurpation d’identité d’un tiers en vue de porter atteinte à son honneur ou à sa considération est une « infraction exclusive de l’application de l’article 10 de la Convention européenne des droits de l’homme ».[53]

Dans une affaire concernant la délivrance d’un passeport et la perception de prestations familiales, la Cour d’appel d’Aix-en-Provence avait reconnu un prévenu coupable d’usurpation d’identité, pour avoir continué à utiliser cette identité après avoir eu connaissance qu’elle résultait d’une fraude d’un tiers alors qu’il était mineur, sans chercher par ailleurs à faire statuer sur son état civil.[54]

L’arrêt de la Cour d’appel a été cassé pour s’être ainsi déterminé « alors qu’il résulte de ses propres constatations que l’identité litigieuse correspond aussi à celle qui avait été attribuée au prévenu dans des circonstances extrinsèques [à la demande d’une personne s’étant présentée comme son père], de sorte que ni le fait d’usurper l’identité d’un tiers [élément matériel] ni la volonté d’en faire usage en vue de troubler la tranquillité du tiers, ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération [élément moral], ne peuvent être caractérisés ».[55]

En définitive, la problématique posée à Monaco par l’usurpation d’identité ne sera plus liée à son arsenal répressif, mais à la difficulté d’en appréhender l’auteur lorsqu’il procède de l’étranger.

[1] Le vol d’identité consiste à subtiliser l’identité d’une personne décédée (par exemple pour se faire passer pour mort et disparaître).

[2] La substitution d’identité consiste à remplacer son identité par celle d’une autre personne avec son accord, pour bénéficier de ses qualités (par exemple pour être embauché, passer un examen ou une visite d’aptitude médicale).

[3] Article 203, alinéa 2 du Code pénal : « sans remplir les conditions exigées », faire usage ou se réclamer « d’un titre attaché à une profession légalement réglementée, d’un diplôme officiel ou d’une qualité dont l’octroi relève d’une autorité publique ».

[4] En l’absence de date expressément fixée par la loi, celle-ci entre en vigueur au lendemain de sa publication au Journal de Monaco. La Loi n° 1.435 a été publiée le 18/11/2016.

[5] Article 11, § 1 de la Loi du 13/07/1900 : « Quiconque aura pris le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer l’inscription d’une condamnation au casier de ce tiers, sera puni de six mois à cinq ans d’emprisonnement, sans préjudice des poursuites à exercer pour le crime de faux, s’il y échet. » Correspond à l’ancien article 780, § 1 du Code de procédure pénale français.

[6] Cour de cassation, Chambre criminelle, 15/04/1972, Pourvoi n° 71-93313, publié au Bulletin. Voir aussi Cour d’appel de Grenoble, 25/10/2001 (un prévenu qui utilise l’identité de son frère décédé ne commet pas de délit d’usurpation de nom).

[7] Gérard Lorho, ancien Président de chambre correctionnelle à la Cour d‘appel de Paris, est d’avis que « l’intention de l’auteur (…) doit primer en dépit des évidents problèmes de preuve de celle-ci », au motif « de la répression particulièrement sévère de l’usurpation voulue par le législateur » (JurisClasseur Pénal, Fasc. 20 : Usurpation d’état civil, 21/10 2008, mise à jour du 04/05/2010.

[8] La disposition française équivalente, dans sa nouvelle mouture, exige seulement que pèse un risque de poursuites pénales sur la personne dont le nom a été usurpé (l’ancien article 780 du Code de procédure pénale est devenu l’article 434-23 du Code pénal et constitue une infraction d’entrave à la justice).

[9] Cour de révision, 27/02/2014, Pourvoi n° 2014-04.

[10] Article 650 et suivants CPP relatifs au casier judiciaire. Voir Cour de cassation, Chambre criminelle, 12/01/1983, Pourvoi n° 82-91758.

[11] Article 347 du Code de procédure pénale : « En cas de conviction de plusieurs crimes ou délits, la peine la plus forte sera seule prononcée ».

[12] Une personne déclarée coupable des chefs d’escroquerie et de prise du nom d’un tiers ne peut être condamnée « à la seule peine de dix-huit mois d’emprisonnement alors que, selon les dispositions de l’article 658 du code de procédure pénale, les peines prononcées du chef de prise du nom d’un tiers se cumulent, sans possibilité de confusion, avec celles prononcées pour l’infraction à l’occasion de laquelle l’usurpation d’identité a été commise » (Cour de révision, 27/02/2014, op. cit.).

[13] Tribunal correctionnel, Ministère public c/ BW, 27/08/2013.

[14] Tribunal correctionnel, Ministère public c/ a. k. BE., 19/04/2016.

[15] Tribunal correctionnel, Ministère public c/ t. S.T., 29/11/2013.

[16] Cour d’appel correctionnelle, BW c/ Ministère public, 14/10/2013.

[17] Article 434-23 du Code pénal français. Voir supra, note 8.

[18] Cour d’appel de Nîmes, 04/04/2006 et Cour de cassation, Chambre criminelle, 30/05/2007, Pourvoi n° 06-84365 (diffamation publique, cassation pour nullité du réquisitoire introductif).

[19] Cour de cassation, Chambre criminelle, 20/01/2009, Pourvoi n° 08-83255 (arrêt de la Cour d’appel du 17/03/2008). Le délit connexe d’atteinte à la vie privée était caractérisé. Le principe de légalité est posé à l’article 4 du Code pénal monégasque. Sur le corollaire, voir CEDH, 24/05/2007, Dragotoniu et Militaru-Pidhorni c/ Roumanie, Req. N°s 77193/01 et 77196/01, § 40).

[20] Article 236 CP : « Tout individu qui, volontairement, aura occasionné des blessures ou porté des coups ou commis toute autre violence ou voie de fait, s’il en résulté une maladie ou une incapacité de travail d’une durée excédant huit jours, sera puni d’un emprisonnement de un à cinq ans et de l’amende » de 18.000 à 90.000.

[21] Article 238 CP : « Lorsque les blessures ou autres violences ou voies de fait n’auront entrainé aucune maladie ou incapacité totale de travail de l’espèce mentionnée en l’article 236, le coupable sera puni d’un emprisonnement de six mois à trois ans et de l’amende » de 9.000 à 18.000 €.

[22] Tribunal correctionnel, 04/12/2012.

Cas-type : création d’un compte sur un site pour adultes, un site de rencontres pour se venger d’une connaissance (ex-relation, voisin, collègue), avec utilisation de ses e-mails et numéros de téléphone privés ou professionnels, suivie de nombreux messages et appels non sollicités et perturbants.

[23] Le droit au respect de la vie privée, est garanti par l’article 22 de la Constitution. Voir par exemple Tribunal de Grande Instance de Paris, 17e chambre civile, Omar S. c/ Alexandre P., 24/11/2010.

[24] Emprisonnement de 6 mois à 3 ans et amende de 18.000 à 90.000 €. L’article 298-2, 2° CP punit le fait de transmettre volontairement et sans son consentement l’image d’une personne se trouvant dans un lieu privé ; l’article 308-3, 2° CP, le fait de publier, par quelque voie que ce soit, le montage réalisé avec les paroles ou l’image d’une personne.

[25] CEDH, Quatrième Section, Affaire Copland c/ Royaume-Uni, 03/04/2007, Req. n° 62617/00, § 41.

[26] Emprisonnement de 6 mois à 3 ans et amende de 9.000 à 18.000 €.

[27] Exemples : utilisation d’un profil public sur un réseau social d’une ancienne relation pour se venger, agrémenté de termes vulgaires et faits revenant à s’imputer une attitude dépravée ; de celui d’un responsable de licenciement, avec des assertions revenant à s’imputer une obtention de poste par des faveurs sexuelles, et un comportement harceleur (Tribunal correctionnel de Bobigny,15/11/2012.

[28] Tribunal correctionnel, Ministère public c/ c. d. FR. et m. DA. Épouse FR.,12/02/2013.

[29] Le phishing (hameçonnage) consiste à se faire passer pour un tiers de confiance (administration, organisme financier, opérateur de téléphonie) afin de soutirer aux victimes des données d’identification (mots de passe, codes personnels, coordonnées bancaires…) via retour d’e-mail ou un clic vers un site web contrefait. Le pharming (dévoiement) est le piratage du processus de direction vers un site web. La victime, qui saisit l’adresse correcte dans le navigateur, se retrouve sur un site factice imitant le site original.

[30] Emprisonnement d’1 à 5 ans et amende de 18.000 à 90.000 €. Voir Tribunal correctionnel de Strasbourg, 02/09/2004 (première décision française pour escroquerie par phishing : e-mail redirigeant vers un faux site du Crédit Lyonnais).

[31] Emprisonnement de 3 mois à 1 an et amende de 18.000 à 90.000 €.

[32] Exposé des motifs du Projet de loi n° 934 relative à la lutte contre la criminalité technologique, C-2-15, 24/02/2015, p. 9. Emprisonnement de 2 ans et amende de 9.000 à 18.000 €. Voir Panorama législatif 2016. Depuis la Loi n° 88-13 du 05/01/1988, les tribunaux du pays voisin recouraient à ce délit, à défaut de pouvoir se fonder sur l’usurpation du nom d’un tiers.

[33] Exposé des motifs du Projet de loi n° 934 relative à la lutte contre la criminalité technologique, op. cit. p. 16.

[34] L’élément matériel de l’infraction est l’« Acte […] ou abstention […] qui forme la base de toute infraction » (Gérard Cornu, Vocabulaire juridique, PUF, Paris).

[35] Pierre Truche, Jean-Paul Fau-gère, Patrice Flichy, Administration électronique et protection des données personnelles – Livre Blanc (Chapitre 2 – Problématiques des identités numériques), La Documentation française, Paris, 2002, p. 31.

[36] Olivier Ertzscheid, Qu’est-ce que l’identité numérique ? Enjeux, outils, méthodologie, OpenEdition Press, Collection Numérique, Marseille, 25/03/2013.

[37] L’élément moral « caractérise l’élément constitutif de l’infraction qui correspond à l’intention délictueuse » (Gérard Cornu, Vocabulaire juridique, op. cit.).

[38] L’article 226-4-1 du Code pénal français incrimine « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier (…) ».

[39] La disposition française est moins complète : l’usurpateur doit avoir eu l’intention « de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération ».

[40] Tribunal correctionnel de Versailles, 5e chambre, 17/01/1985, Gaz. Pal., 1985-2, p. 710.

[41] Archives parlementaires de 1787 à 1860 – Recueil complet des débats législatifs et politiques des Chambres françaises, Deuxième série (1800 à 1860), Tome XXIII, Librairie administrative de Paul Dupont, Paris, 1873, p. 574.

[42] Définition du Centre National des Ressources Textuelles et Lexicales (CNRTL) du CNRS.

[43] À l’origine, dans le cadre du commerce électronique et de l’image de marque des entreprises. Sont souvent citées comme références : Rosa Chun et Garry Davies, « E-reputation: The role of mission and vision statements in positioning strategy », The Journal of Brand Management, Palgrave Macmillan « 8 », n°4,‎ 01/05/ 2001 ; Susan Block-Lieb, « e-reputation : Building Trust in electronic Commerce », Louisiana Law Review « 62 », n° 1199,‎ 01/05/2001

[44] L’article 226-4-1 du Code pénal français ne fait pas mention de cette facette.

[45] La disposition équivalente française vise « un réseau de communication au public en ligne ». Selon Éric A. Caprioli, « A la lecture de [l’] article [226-4-1 CP], on peut constater qu’une usurpation d’identité exercée sur un réseau public peut être sanctionnée ; mais on peut supposer qu’une usurpation d’identité sur un réseau privé sera réprimée de façon identique » (« Une usurpation d’identité sanctionnée en référé », Communication Commerce électronique n° 12, 12/2016, Commentaire 105).

[46] Ainsi, dans l’affaire des « Panama papers », il a été révélé que de nombreux hommes d’affaires ont usurpé le nom de la Croix-Rouge Internationale pour dissimuler de l’argent en tout anonymat. « Nous ferons tout ce qui est en notre pouvoir pour mettre fin à une telle usurpation, promet Peter Maurer, président de l’institution. (…) Si nous nous retrouvions, par exemple, associés à une société offshore appartenant à une faction en guerre, je n’ose pas imaginer à quoi nous pourrions être mêlés. » (« ‘Panama papers’ : Mossack Fonseca abuse du nom de la Croix-Rouge pour cacher de l’argent sale », Le Monde.fr, 10/04/2016).

[47] Rapport sur la criminalité technologique, 02/2014 p. 153.

[48] Voir notre Panorama législatif 2016.

[49] Yves Mayaud, « Un attendu de principe pour le délit d’usurpation d’identité… », RSC 2016, p. 68.

[50] Tribunal de Grande Instance de Paris, 24e chambre correctionnelle, 21/11/2014, affaires jointes n° 13311000700 et n° 10183000010 ; Cour d’appel de Paris, 16/04/2016 (faits de prise du nom d’un tiers requalifiés en usurpation d‘identité d’un tiers).

[51] Tribunal de Grande Instance de Paris, 13e chambre correctionnelle, 18/12/2014.

[52] Cour d’appel de Paris, 13/11/2015.

[53] Cour de cassation, Chambre criminelle, 16/11/2016, Pourvoi n° 16-80207.

[54] Cour d’appel d’Aix-en-Provence, 16 décembre 2014. Le prévenu avait été relaxé en première instance.

[55] Cour de cassation, Chambre criminelle, 17/02/2016, Pourvoi n° 15-80211.