E-reputation – Formation digital

16 – Loi et Législation Internet E-reputation

La e-réputation
Au fil de sa participation à des réseaux sociaux, à
des forums de discussion, ou à des blogs, chacun
construit peu à peu une image de lui qui devient sa
réputation sur Internet. L’image d’une personne est
également façonnée par ce que les autres publient
sur elle, que ce soient ses amis et relations sur les
réseaux sociaux, ou des articles de presse ou
comptes-rendus professionnels.
Internet a une durée de mémoire illimitée et la
réputation numérique d’une personne risque de la
suivre toute sa vie. Cela justifie de se préoccuper de
la bonne tenue de sa e-réputation.
L’exposition sur les réseaux
sociaux
Il est devenu banal de dire que les données personnelles
sont le « carburant » du numérique. En tout
cas, les services en ligne dits gratuits sont en fait
payés par la monétisation, notamment publicitaire,
90 •Loi et Internet
des données personnelles des utilisateurs et des visiteurs (« si
c’est gratuit, c’est que vous êtes le produit »). Certes, les réseaux
sociaux permettent parfois de réserver la visibilité des informations
à son cercle d’amis. Néanmoins, puisque le succès de leur
modèle économique dépend de la pertinence de leur collecte et
de la revente des données personnelles des internautes, la base
de leur fonctionnement est de demander à l’internaute de
dévoiler le maximum d’informations le concernant, seule
manière de découvrir de nouveaux « amis » partageant les
mêmes goûts, ou de trouver des « relations » utiles.
Il peut également se révéler difficile de se désinscrire d’un
réseau social et d’en faire disparaître toute trace. Si la suppression
d’un compte est possible, l’internaute qui souhaite effacer
tous les commentaires qu’il a postés sur les comptes des autres
doit le faire manuellement, un par un, ce qui se révèle impossible
en pratique. Il devient ainsi parfois difficile de faire disparaître
des informations mises en ligne, qui pouvaient être
considérées comme amusantes initialement, mais qui se
révèlent gênantes par la suite. L’internaute doit alors supporter
les conséquences de ces divulgations pendant le reste de sa vie.
EXEMPLE La suppression de compte chez Facebook
Au 27 juin 2013, la politique d’utilisation des données de Facebook indiquait :
« Lorsque vous résiliez un compte, il est supprimé de façon permanente de Facebook. Un
délai d’environ un mois est nécessaire pour supprimer un compte, mais certaines informations
peuvent rester dans des copies de sauvegarde et dans des journaux d’activité
jusqu’à 90 jours. »
Il était précisé que cette suppression ne concernait pas certaines actions :
« Certaines de vos actions sur Facebook, comme lorsque vous publiez dans un groupe ou
envoyez un message à quelqu’un (lorsque votre ami peut encore avoir un message que
vous avez envoyé même après la suppression de votre compte), ne sont pas enregistrées
dans votre compte. Ces informations persistent même après la suppression de votre
compte. »
La e-réputation • 91
Parfois, les informations n’ont pas été mises en ligne par
l’internaute lui-même, mais par un ami, qui seul a le pouvoir
éventuel de les faire disparaître du site. Les opinions et participations
à des forums restent également en ligne. L’internaute
perd ainsi ce que Baudelaire considérait comme deux droits
de l’homme « assez importants » et « oubliés » : « le droit de se
contredire et le droit de s’en aller »1.
Pour montrer à quel point les informations disséminées sur les
réseaux sociaux permettent de reconstituer la vie d’une personne,
le magazine Le Tigre a publié2 fin 2008 le portrait d’un
internaute inconnu, reconstitué « grâce à toutes les traces qu’il a
laissées, volontairement ou non » sur Facebook, YouTube,
Flickr, etc. L’article vise à faire prendre conscience « qu’on ne
fait pas vraiment attention aux informations privées disponibles
sur Internet et que, une fois synthétisées, elles prennent soudain
un relief inquiétant ». Il énumère donc toutes les informations
glanées sur Marc L., 29 ans, architecte d’intérieur, habitant
l’ouest de la France, amateur de voyages et de musique. Ses rencontres
amoureuses et ses activités sont narrées par le détail.
Comme le conclut le rédacteur, s’adressant à sa victime : « après
tout, c’est de ta faute, tu n’avais qu’à faire attention ».
EXEMPLE Les publications des amis chez Facebook
Au 27 juin 2013, la politique d’utilisation des données de Facebook indiquait :
« Vos amis et d’autres personnes ont la possibilité de communiquer des informations
vous concernant. Ils sont par exemple susceptibles de publier des photos ou d’autres
informations relatives à votre personne, ou encore de vous identifier dans leurs publications.
Si vous n’appréciez pas une de leurs publications, faites-le leur savoir ou signalez
la publication. »
1. Charles Baudelaire, « Edgar Poe, sa vie ses oeuvres », préface à la traduction des Histoires extraordinaires, 1856.
2. Raphaël Meltz, Marc L***, www.le-tigre.net, décembre 2008.
92 •Loi et Internet
Des conséquences parfois douloureuses
Les exemples de jeunes surpris par les conséquences d’informations
postées, par eux ou par des amis, sont très nombreux.
Cette situation inquiète d’ailleurs le Conseil de l’Europe, organisation
internationale chargée de veiller aux droits de
l’homme. Celui-ci note que « la présence durable de contenus
créés par des enfants ou les concernant [est] potentiellement
nuisible pour leur dignité, leur sécurité, leur vie privée et leur
honneur, maintenant et dans leur future vie d’adultes ». Le
LE DROIT Les réseaux sociaux sont bien par nature soumis à la loi
sur les données personnelles
Les réseaux sociaux, blogs et autres sites personnels, doivent-ils être considérés comme
des « activités purement domestiques » et, à ce titre, être exemptés des obligations prévues
par les lois de protection des données personnelles ?
La Cour européenne des droits de l’homme a tranché la question le 6 novembre 2003 en
indiquant qu’une telle publication de données personnelles ne peut être considérée
comme une activité domestique : en effet, cette exception « vise uniquement les activités
qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers, ce qui n’est
manifestement pas le cas du traitement de données à caractère personnel consistant
dans leur publication sur Internet de sorte que ces données sont rendues accessibles à un
nombre indéfini de personnes ».
Quelques anecdotes illustrent comment Facebook peut dévoiler l’intimité de ses membres
et de leurs relations, et les conséquences qui peuvent en découler. Par exemple,
« mercredi 31 octobre 2007, le jeune Kevin C., stagiaire à l’Anglo Irish Bank, a prévenu
ses supérieurs qu’il serait absent le lendemain pour « raisons familiales ». Le
1er novembre, son patron lui a envoyé sa réponse : « Merci de nous avoir prévenus.
J’espère que tout va bien à New York. (Sympa la robe). » En pièce jointe, une photo de
Kevin déguisé en fée en train de fêter Halloween. Son patron l’a trouvée quelques
heures après la soirée sur le site communautaire Facebook. »a
a. Marie-Catherine Beuth, « Facebook rêve de vendre votre vie privée », Le Figaro, 7 décembre 2007.
La e-réputation • 93
Conseil souhaite donc que des solutions soient étudiées : il
« déclare qu’il convient de veiller à ce qu’aucun historique des
contenus produits par des enfants sur Internet, susceptible de
porter atteinte à leur dignité, à leur sécurité et à leur vie privée
ou de les rendre vulnérables, maintenant ou à un stade ultérieur
de leur vie, ne soit accessible de façon durable ou permanente,
excepté dans le cadre de la lutte contre les infractions ; [et]
invite les États membres à étudier […] la faisabilité de retirer ou
de supprimer ce type de contenu – y compris ses traces
(fichiers, journaux, archives, manipulations effectuées) – dans
un délai raisonnablement court »3. L’État de Californie a donné
l’exemple en adoptant en octobre 2013 une loi permettant aux
mineurs d’exiger l’effacement des données qu’ils ont publiées.
Dans le cadre judiciaire, plusieurs cas ont été signalés au
Canada, où des photos ou des propos mis en ligne sur Facebook
ou MySpace ont été utilisés par les procureurs dans des
procès pour cerner la personnalité des accusés et justifier la
peine requise.
Les internautes risquent aussi de mauvaises surprises lorsqu’ils
cherchent un emploi. En effet, les recruteurs cherchent quasiment
systématiquement sur Internet des informations sur les
3. Conseil de l’Europe, Déclaration du Comité des ministres sur la protection de la dignité, de la sécurité et de la vie privée des
enfants sur l’Internet, 20 février 2008.
« [Le procureur] pensait demander le sursis avec mise à l’épreuve pour Lara B., responsable
du décès d’un passager de sa voiture dans un accident dû à la consommation
d’alcool. Puis il a eu l’idée de consulter la page MySpace de la jeune femme où il découvrit
des photos prises après l’accident mais avant le verdict, sur lesquelles Lara pose un
verre à la main, plaisantant sur l’alcool. Le procureur a dès lors changé de stratégie et
demandé de la prison ferme, photos en main pour appuyer ses propos. La jeune fille de
22 ans a été condamnée à une peine de deux ans. » a
a. Eric Tucker, « Facebook et MySpace servent aussi aux procureurs », www2.canoe.com, 19 juillet 2008.
94 •Loi et Internet
candidats, que ce soit sur des sites professionnels (LinkedIn,
Viadéo) ou personnels (Facebook, Twitter…). Des demandeurs
d’emploi peuvent alors être écartés à cause de photos
provocantes ou déplacées, ou parce qu’ils ont publié des messages
disant du mal de leur précédent employeur ou d’autres
personnes, ou divulguant des informations confidentielles…
Comme l’indiquait la CNIL dans son 30e rapport annuel
remis en 2010, 45 % des recruteurs américains consultaient
les réseaux sociaux personnels ou professionnels (Facebook
arrivant bien entendu en tête) pour trouver des informations
sur des candidats et 35 % des recruteurs avaient déjà rejeté des
candidatures suite à la consultation de leurs profils.
Pour éviter la discrimination que constitue le fait d’écarter
une personne d’une procédure de recrutement en se fondant
sur un ou plusieurs motif(s) prohibé(s) par la loi, l’association
française À compétence égale a proposé en 2010 une charte à
tous les recruteurs et cabinets d’intérim. Les signataires
s’engagent à sélectionner les candidats uniquement sur leurs
compétences en excluant tout critère d’ordre personnel ou
privé, et notamment à privilégier sur Internet les réseaux professionnels
par rapport aux réseaux personnels, et enfin à ne
pas utiliser les moteurs de recherche ni les réseaux sociaux
comme outils d’enquête pour collecter, ou prendre connaissance
d’informations d’ordre personnel, voire intime, même si
elles sont rendues accessibles par les utilisateurs eux-mêmes.
Ont signé cette charte Viadéo, le MEDEF, Monster, l’APEC,
« Le champ des “impairs” numériques est large. Un amateur éclairé a connu des ennuis
pour avoir été repéré sur des forums d’armes à feu. Une étudiante a été évincée d’un
entretien après avoir été vue, en photo, accrochée à une barre de strip-teaseuse dans
une fête de fin d’année. Attention donc, car des commentaires laissés sur des sites de jeu
vidéo à l’âge de 14 ans peuvent vous suivre de longues années »a.
a. Marie-Catherine Beuth, « Facebook rêve de vendre votre vie privée », Le Figaro, 7 décembre 2007.
La e-réputation • 95
Cadremploi, keljob.com, l’association des professionnels de
l’intérim, le Syntec, etc.
Les données divulguées à l’insu
de la personne concernée
Dans les exemples précédents, l’internaute avait lui-même
divulgué les données personnelles le concernant. Cependant,
il arrive également que certains membres de réseaux sociaux
publient des informations concernant d’autres personnes qui
ne sont parfois pas membres4, ou même que des réseaux
revendent les profils de leurs membres à d’autres réseaux.
Dans ces situations, les données concernant une personne
peuvent se retrouver en ligne sans que celle-ci en soit
informée et sans qu’elle ait les moyens de les faire disparaître,
n’ayant pas accès aux réseaux en cause.
Le respect de la vie privée des tiers impose de recueillir le
consentement de nos relations avant de mettre en ligne des
données personnelles les concernant. Inversement, si nous
découvrons que des informations personnelles nous concernant
ont été publiées par un tiers, la première démarche à
effectuer consiste à lui demander de les retirer. Une lettre
recommandée avec accusé de réception peut s’avérer un bon
moyen de résoudre rapidement le litige.
Les recours en cas de publication par un tiers
Outre la simple courtoisie, cette demande de retrait peut être
basée sur l’article 9 du Code civil, qui dispose que chacun a
4. Comme l’indique la politique de confidentialité de Facebook au 2 juillet 2013, « Vos amis et d’autres personnes ont la
possibilité de communiquer des informations vous concernant. Ils sont par exemple susceptibles de publier des photos ou
d’autres informations relatives à votre personne, ou encore de vous identifier dans leurs publications. […] Tout le monde
peut vous identifier dans n’importe quoi. […] Si vous ne souhaitez pas que quelqu’un vous identifie, nous vous recommandons
de le leur dire. Si cela n’aboutit à rien, vous pouvez bloquer cette personne. Cela l’empêchera de vous identifier
à l’avenir. »
96 •Loi et Internet
droit au respect de sa vie privée. Le droit à l’image peut également
être invoqué en cas de photographie.
Notons que le Code pénal (article 226-1) punit d’un an
d’emprisonnement et de 45 000 euros d’amende « le fait, au
moyen d’un procédé quelconque, de porter volontairement
atteinte à l’intimité de la vie privée d’autrui :
1. en captant, enregistrant ou transmettant, sans le consentement
de leur auteur, des paroles prononcées à titre privé ou
confidentiel ;
2. en fixant, enregistrant ou transmettant, sans le consentement
de celle-ci, l’image d’une personne se trouvant dans
un lieu privé ».
Toutefois, le Code pénal précise que « lorsque les actes mentionnés
au présent article ont été accomplis au vu et au su des
intéressés sans qu’ils s’y soient opposés, alors qu’ils étaient en
mesure de le faire, le consentement de ceux-ci est présumé ».
Rappelons par ailleurs que l’article 6-I de la loi pour la
confiance dans l’économie numérique (LCEN) impose aux
hébergeurs (et notamment aux réseaux sociaux) de retirer sans
délai tout contenu jugé illicite. La personne dont des données
personnelles sont publiées par un tiers peut donc demander au
juge de constater en référé (c’est-à-dire en urgence) le caractère
illicite des données en question (atteinte à la vie privée,
ou abus de la liberté d’expression en cas d’injure ou de diffamation)
et d’ordonner à l’hébergeur de les retirer.
Enfin, en cas d’échec des procédures amiables ou judiciaires,
reste le recours aux services d’agences web spécialisées dans le
Il ne faut pas masquer le fait que ces démarches ont un coût non négligeable. Les frais
de conseil juridique et de procédure peuvent rapidement atteindre des montants importants,
surtout si l’adversaire est une société étrangère, ce qui ajoutera des frais de traduction.
La e-réputation • 97
« nettoyage » de la e-réputation. Ces agences vont « noyer » les
contenus négatifs sous une quantité importante de contenus
positifs. Les informations gênantes ne seront pas supprimées
du Web, mais les internautes trouveront en priorité les nouvelles
informations, qui seront mieux référencées. Cette technique
est appelée « obfuscation ».
La collecte de données par les sites web
La navigation de l’internaute peut également être espionnée à
son insu : Facebook collecte ainsi des informations sur tous les
internautes qui visitent des pages comportant son bouton
« J’aime », même si ceux-ci ne sont pas membres de
Facebook ! Le réseau social recueille ainsi les adresses IP de
tous les visiteurs de ces pages et tous les éléments de leur navigation
sur le site, cela bien entendu sans leur consentement.
Ces données sont ensuite susceptibles d’être louées sous
forme de fichier marketing, voire revendues.
La situation devient inextricable si les données se retrouvent
sur un réseau localisé à l’étranger ou hors de l’Union européenne.
Le droit national devenant dès lors inopérant, une
régulation devient indispensable pour inciter les acteurs à
adopter d’eux-mêmes de bonnes pratiques de protection des
données personnelles. C’est pourquoi la CNIL et ses homologues
se sont emparées du sujet, au sein du G29 au niveau
européen, et au niveau mondial dans le cadre de la Conférence
internationale des commissaires à la protection des données
et à la vie privée.
En juin 2013, le fichier clients de l’enseigne culturelle Virgin, placée en redressement
judiciaire, a été vendu pour 54 000 € à la Fnac. Ce fichier contenait les données de
1,6 millions de clients.
98 •Loi et Internet
Avatars et anonymat
Pour protéger sa e-réputation, il est recommandé, lorsqu’il n’y
a pas d’intérêt à se servir de son identité réelle, d’utiliser un
pseudonyme (avatar) ou même de rester anonyme.
Le droit à l’anonymat
Juridiquement, l’anonymat est un droit « en creux », c’est-àdire
qu’il n’est pas autorisé en toutes lettres par la loi, mais qu’il
n’est pas interdit non plus. Plus précisément, la loi énumère un
certain nombre de situations dans lesquelles il est obligatoire
d’utiliser sa véritable identité (par exemple pour voter), ce qui
signifie que dans les autres situations on n’y est pas obligé.
Les associations de protection de l’enfance recommandent
notamment aux enfants et aux adolescents, lorsqu’ils font leurs
premiers pas (ou leurs premiers clics) sur le Net et sur les
réseaux sociaux, de ne pas utiliser leur vraie identité, ou au
moins de ne pas divulguer leur nom de famille.
Le pseudonymat et l’anonymat permettent aussi de préserver
la réputation de l’internaute, ainsi que sa liberté d’expression.
Il peut ainsi librement donner son opinion sur la politique du
gouvernement ou celle de son employeur, sans craindre de
représailles.
Inversement, le droit à l’anonymat ne signifie pas la possibilité
de publier des propos illicites (appel à la haine raciale, au
meurtre, au terrorisme, apologie de la pédophilie, etc.) en
toute impunité. Le propriétaire d’un blog, par exemple,
même s’il reste anonyme pour le grand public, est tenu de
déclarer sa véritable identité à son hébergeur et d’assumer ainsi
ses éventuelles infractions.
R Martin Untersinger, Anonymat sur Internet, Eyrolles, 2013
La e-réputation • 99
Certains hommes politiques proposent régulièrement d’interdire l’anonymat sur Internet
au motif qu’il protège les auteurs d’infractions. En 2010, le gouvernement avait ainsi
répondu, par la plume de Nathalie Kosciusko-Morizet, alors secrétaire d’État à l’Économie
numérique, à un député de la majorité qui proposait d’interdire l’anonymat sur
Internet (réponse publiée au Journal officiel du 20 juillet 2010) :
« Une obligation de déclarer sa véritable identité sur Internet serait à la fois inopportune et
inefficace. Elle serait en effet inopportune car elle entrerait en conflit avec la liberté
d’expression. Pour donner un exemple, un blogueur n’osera plus donner son avis sur la
politique de son entreprise ou sur celle du gouvernement, surtout s’il est fonctionnaire. Rappelons
à titre d’illustration le litige soumis fin mai au conseil des prud’hommes de Boulogne-
Billancourt, par des salariés licenciés pour avoir médit de leur employeur dans un
échange privé. Bien évidemment, cette liberté d’expression doit s’exercer dans le cadre des
lois en vigueur et l’auteur des écrits reste responsable des contenus qu’il publie.
Par ailleurs, une obligation de déclarer sa véritable identité sur Internet méconnaîtrait le
fait que l’anonymat ou le pseudonymat sont deux des pratiques permettant la protection
de la vie privée sur Internet. En dehors des situations où la vraie identité est indispensable,
pour accéder à ses dossiers personnels par exemple, il est déconseillé de toujours
utiliser sur Internet son vrai nom. […]
Une telle obligation serait d’autre part inefficace. En effet, la loi 2004-575 sur la confiance
dans l’économie numérique (LCEN) fait déjà obligation aux prestataires de services en ligne
de conserver l’identité des contributeurs, cela afin de permettre de faire éventuellement jouer
la responsabilité de ces derniers. Cette formalité est déclarative. On constate en pratique que
certains internautes ouvrent des comptes sur des sites contributifs sous des identités
d’emprunt. En cas d’abus de leur liberté d’expression, une enquête sera nécessaire, à partir
de l’adresse IP de l’ordinateur utilisé, pour rechercher l’identité de l’auteur des contenus en
cause. Obliger les internautes à publier leur identité ne les empêcherait pas de mentir s’ils le
souhaitent, sauf à contraindre chaque internaute à détenir et à utiliser systématiquement des
outils de preuve d’identité, comme va le faire la Chine. Certes, cette situation n’est pas satisfaisante.
La LCEN fait toutefois obligation au prestataire de services Internet de supprimer les
contenus qui lui sont signalés comme illégaux : même si la recherche de l’auteur de l’infraction
est infructueuse, il peut être mis un terme aux abus.
Une telle obligation constituerait enfin une mauvaise solution au problème de la diffamation
sur Internet, qui réside en fait dans la durée de prescription. Celui-ci est, comme
pour les articles de presse, de trois mois à compter de la mise en ligne. Mais tandis qu’au
bout de trois mois, un article sur papier a disparu des kiosques, sur Internet il reste en
ligne indéfiniment. Cela pose la question de la nécessité d’une prise en compte différenciée
de la prescription pour les diffamations sur Internet. Le débat, qui avait eu lieu au
Parlement lors du vote de la LCEN, avait abouti au maintien de la durée de trois mois. »
100 •Loi et Internet
Le mensonge comme technique de protection
Les internautes sont conscients des menaces qu’Internet fait
peser sur leur vie privée et, pour se protéger, ils adoptent souvent
spontanément une stratégie de mensonge calculé.
Une tendance ancienne…
En France, une enquête pionnière effectuée fin 20045 – donc
avant le développement des réseaux sociaux – auprès de
1 300 internautes, a mis en lumière leur comportement face
aux demandes de données personnelles sur Internet. Toutefois,
l’échantillon interrogé n’était pas représentatif de la
population globale des internautes à l’époque : il s’agissait en
majorité de grands utilisateurs d’Internet, ayant fait des études
supérieures. Le questionnaire étant par ailleurs déclaratif, les
réponses pouvaient différer de la réalité. Toutefois, les résultats,
même considérés avec précaution, sont cohérents avec ce
que l’on observe pour la grande majorité des internautes, dix
ans plus tard.
Caroline Lancelot-Miltgen, auteur de cette enquête, soulignait
que « sur Internet, plus encore qu’ailleurs, l’individu a
fréquemment, pour ne pas dire systématiquement, l’obligation
de s’identifier. Alors qu’il ne nous viendrait pas à l’idée
d’indiquer notre date de naissance lorsqu’on va faire ses
courses au supermarché, sur Internet il est courant de trouver
ce type d’information à fournir, y compris lorsque cela ne
paraît pas foncièrement nécessaire. Qu’il s’agisse de passer une
commande, de s’inscrire sur un site ou de participer à une
loterie en ligne, les exemples sont légion où les internautes
doivent répondre à des questions d’ordre personnel. Le choix
leur appartient toutefois de fournir les informations demandées
ou de renoncer au service souhaité. Sur quelle base cette
5. « Enquête en ligne Vous et votre Identité Numérique », Caroline Lancelot-Miltgen, université Paris-Dauphine, présentation
janvier 2006.
La e-réputation • 101
décision se prend-elle ? Quels sont les éléments susceptibles
d’inciter ou au contraire d’empêcher l’individu de répondre ?
Comment se gère l’identité en ligne ? »6
Ainsi, cette enquête indiquait que :
• 21 % des internautes refusent de répondre « souvent ou
toujours » et 33 % « parfois », aux formulaires en ligne.
• Si 14 % indiquent mentir « souvent ou toujours » dans leurs
réponses, 69 % ne le font « jamais ou rarement ».
• Toutefois, 86 % ne remplissent pas les champs optionnels.
• 52 % utilisent « souvent ou toujours » un pseudonyme et
26 % « parfois ».
• 43 % ne donnent « jamais ou rarement » leur véritable identité
et 24 % seulement « parfois ».
Contrairement à l’image d’inconscience propagée par les
médias, les internautes interrogés ont donc conscience des
risques que la dissémination des données personnelles sur
Internet peut représenter pour leur vie privée.
6. Contribution de C. Lancelot-Miltgen au forum « L’internaute et ses données : ce qu’on dit, ce qu’on fait »,
www.internetactu.net, 8 février 2006.
Les motivations avancées par les internautes pour justifier leur comportement sont clairement
liées à la sécurité : ainsi, pour le pseudonyme, 35 % y ont recours pour protéger
leur vie privée, 26 % par principe, 21 % pour ne pas être reconnu, contre seulement
13 % pour « être quelqu’un d’autre » ou « donner libre cours à son imagination ». Leur
comportement doit également être nuancé selon le site visité et la légitimité de la collecte
de données. Les internautes acceptent de se dévoiler par ordre croissant dans les
contextes suivants : pour entrer sur un site, discuter sur un forum, participer à un jeuconcours,
s’abonner à une newsletter, obtenir des informations ou un document, et enfin
acheter en ligne. Dans les premiers cas, ils acceptent facilement de dévoiler leur âge ou
leur adresse mail et, logiquement, ne donnent leur numéro de carte bancaire que dans le
dernier cas.
102 •Loi et Internet
De manière logique, les internautes font également plus
confiance aux sites d’un organisme public ou d’une entreprise
qui leur est familière, qu’aux sites peu connus. Enfin, l’analyse
indique que leur comportement distingue en pratique trois
types de données :
• Les moins sensibles sont facilement communiquées : nom,
adresse mail, sexe, âge.
• Les « intermédiaires » ne sont pas systématiquement
fournies : adresse, situation familiale, situation professionnelle.
• Les plus confidentielles sont réservées à des cas précis :
numéro de téléphone, numéro de carte bancaire.
En conclusion, cette enquête montre que les utilisateurs des
nouvelles technologies sont conscients des risques que cellesci
peuvent faire peser sur leur vie privée et développent en
conséquence des stratégies de contournement ou de gestion
de ces risques.
… qui se perpétue
Le baromètre ACSEL-CDC 2013 de la confiance numérique7
confirme que les internautes utilisent toujours cette
tactique de camouflage pour protéger leurs données personnelles.
Selon cette étude publiée en juin 2013, 92 % des internautes
jugent important de limiter la durée de conservation
des données personnelles. 78 % d’entre eux pensent que
l’enregistrement des données bancaires sur un site marchand
présente des risques et 75 % refusent d’être géolocalisés. 77 %
ont déjà modifié leurs paramètres de confidentialité sur Facebook.
Enfin, 16 % des internautes utilisent des pseudonymes
sur les réseaux sociaux et 47 % donnent volontairement de
fausses informations en ligne, principalement pour limiter la
diffusion d’informations personnelles.
7. www.acsel.asso.fr
La e-réputation • 103
Cette étude confirme par ailleurs une autre tendance qui apparaissait
déjà dans les éditions précédentes de ce baromètre : la
confiance en Internet s’érode (les réseaux sociaux recueillant
sans surprise le taux de confiance le plus bas, mais les sites
« sérieux » de l’administration ou des banques sont également
affectés par cette baisse de la confiance), ce qui pourtant
n’empêche pas les gens de l’utiliser de plus en plus largement.
La valeur d’usage des services web est telle que l’on ne peut pas
s’en passer, même si on n’a pas confiance.
L’utilisation de réseaux anonymisés
Pour protéger leur anonymat vis-à-vis des sites web, et éventuellement
pour déjouer la surveillance des échanges électroniques
par les États, les internautes peuvent utiliser des
réseaux chiffrés. Ces systèmes offrent le triple avantage de
protéger l’anonymat de leurs utilisateurs, de cacher l’adresse
des services web qu’ils utilisent et de garantir la confidentialité
des échanges en les chiffrant. Ils sont très utiles dans les États
où le gouvernement cherche à limiter la liberté d’information
et d’expression des citoyens en contrôlant leurs navigations ;
ils sont évidemment très utiles aussi aux personnes ayant des
activités illicites à cacher.
Le plus connu de ces réseaux est TOR (The Onion Router :
le routage en oignon). Il s’agit d’un réseau mondial décentralisé
d’ordinateurs, qui se transmettent les flux Internet de l’un
à l’autre en occultant l’adresse IP de l’ordinateur de
l’internaute : chaque serveur ne connaît que les identités du
serveur qui le précède et de celui qui le suit dans la chaîne de
transmission du flux. Les échanges sont chiffrés et donc confidentiels.
Toutefois, des chercheurs français ont démontré la
possibilité d’attaques visant à casser la confidentialité de
TOR, et il semble que des organismes d’État comme la NSA
américaine les aient mis en oeuvre pour lutter contre la cybercriminalité.
104 •Loi et Internet
L’identité numérique
L’internaute peut être confronté sur Internet à une usurpation
de son identité. Quels sont les moyens de s’en protéger ?
Tout d’abord, avant même de mentionner « l’identité sur
Internet », il convient de définir ce qu’est l’identité tout court.
Or, le droit français ne donne aucune définition de l’identité
d’une personne. Le décret du 6 fructidor an II (23 août 1794),
toujours en vigueur, dispose en son article 1er : « Aucun citoyen
ne pourra porter de nom ni de prénom autres que ceux
exprimés dans son acte de naissance. » Quant au décret n°55-
1397 du 22 octobre 1955 instituant la carte nationale d’identité,
il crée « une carte nationale certifiant l’identité de son
titulaire », sans préciser ce qu’est cette identité. On utilise donc
couramment les éléments de l’état civil, qui comportent aussi
bien des données imposées à la naissance (la date et le lieu de
naissance, le sexe, le nom de famille, les noms et prénoms des
parents et leurs dates et lieux de naissance…) que des éléments
choisis (les prénoms). Sauf correction par décision judiciaire,
rare mais toujours possible, cet état civil est définitif.
Dans la vie courante, nous sommes amenés à utiliser et à
donner d’autres informations pouvant participer de notre
identité, informations variables dans le temps : taille, domicile,
photo, nom d’usage ou surnom… Selon les situations,
ces informations peuvent être exigées (ouverture de compte
bancaire par exemple). Dans certains cas, notre état civil est
indispensable, dans d’autres un simple pseudonyme ou un
numéro de client suffisent. Enfin, dans nombre de situations,
l’anonymat reste parfaitement possible : aucune information
sur l’identité n’est alors nécessaire.
Contrairement à une croyance répandue qui réserve aux seuls
papiers d’identité la vertu de prouver celle-ci, en droit français
l’identité se prouve par tout moyen, hors quelques situations
prévues par la loi (ouverture de compte bancaire, vote…). Les
La e-réputation • 105
papiers d’identité (carte d’identité, passeport) ont bien sûr une
valeur probante, mais tout autre moyen est a priori admissible
comme preuve.
L’usurpation d’identité
L’usurpation d’identité sur Internet existe-t-elle ? Ou plutôt,
le délit d’usurpation d’identité sur Internet existe-t-il et
nécessite-t-il une loi spécifique ? Comme nous allons le voir,
cette question qui semblait réglée suite à la création
début 2011 d’un délit d’usurpation d’identité sur Internet
nécessite une approche plus nuancée.
Le droit général
L’interdiction de l’usurpation d’identité constitue une
croyance courante. Et pourtant, le droit français n’interdit pas
l’usurpation d’identité en tant que telle. Le fait d’utiliser le
nom d’une autre personne ne constitue pas une infraction, si
on se borne à l’utiliser. L’article 434-23 du Code pénal
réprime certes « le fait de prendre le nom d’un tiers », mais
seulement « dans des circonstances qui ont déterminé ou
auraient pu déterminer contre celui-ci des poursuites
pénales ». Ce fait « est puni de cinq ans d’emprisonnement et
de 75 000 euros d’amende ». L’usurpation d’identité n’est
donc visée par la loi que lorsqu’elle sert à couvrir d’autres
infractions.
LE DROIT La loi sur la protection de l’identité
La loi du 27 mars 2012 explicite en son article 1 deux principes qui jusque-là étaient
appliqués sans jamais avoir été écrits :
« L’identité d’une personne se prouve par tout moyen. La présentation d’une carte nationale
d’identité ou d’un passeport français en cours de validité suffit à en justifier. »
106 •Loi et Internet
Par ailleurs, le Code pénal prévoit et réprime :
• le délit d’escroquerie (« L’escroquerie est le fait, soit par
l’usage d’un faux nom ou d’une fausse qualité, soit par
l’abus d’une qualité vraie, soit par l’emploi de manoeuvres
frauduleuses, de tromper une personne physique ou morale
et de la déterminer ainsi, à son préjudice ou au préjudice
d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque,
à fournir un service ou à consentir un acte opérant
obligation ou décharge. L’escroquerie est punie de cinq ans
d’emprisonnement et de 375 000 euros d’amende »,
article 313-1) ;
• ainsi que « le fait, dans un acte public ou authentique ou
dans un document administratif destiné à l’autorité
publique et hors les cas où la réglementation en vigueur
autorise à souscrire ces actes ou documents sous un état civil
d’emprunt :
– 1º de prendre un nom ou un accessoire du nom autre que
celui assigné par l’état civil ;
– 2º de changer, altérer ou modifier le nom ou l’accessoire
du nom assigné par l’état civil » (article 433-19) ;
• et enfin l’usage de faux (« Constitue un faux toute altération
frauduleuse de la vérité, de nature à causer un préjudice et
accomplie par quelque moyen que ce soit, dans un écrit ou
tout autre support d’expression de la pensée qui a pour objet
ou qui peut avoir pour effet d’établir la preuve d’un droit ou
d’un fait ayant des conséquences juridiques. Le faux et
l’usage de faux sont punis de trois ans d’emprisonnement et
de 45 000 euros d’amende. », article 441-1).
Le Code de procédure pénale dispose aussi que « quiconque
en prenant un faux nom ou une fausse qualité, s’est fait délivrer
un extrait du casier judiciaire d’un tiers est puni de
7 500 euros d’amende » (article 781, alinéa 1).
Le droit traditionnel réprime donc déjà plusieurs types
d’infractions basées sur l’usurpation d’identité.
La e-réputation • 107
Le droit spécifique à Internet
Depuis 2011, a été ajouté au Code pénal un article 226-4-1
qui dispose que « le fait d’usurper l’identité d’un tiers ou de
faire usage d’une ou plusieurs données de toute nature permettant
de l’identifier en vue de troubler sa tranquillité ou
celle d’autrui, ou de porter atteinte à son honneur ou à sa
considération, est puni d’un an d’emprisonnement et de
15 000 € d’amende.
Cette infraction est punie des mêmes peines lorsqu’elle est
commise sur un réseau de communication au public en
ligne. »
Il complète ainsi la liste des circonstances dans lesquelles
l’usurpation d’identité est répréhensible, en y ajoutant les
atteintes à la tranquillité et à l’honneur ou à la considération.
Notons enfin que ce nouvel article, au-delà de l’usurpation
d’identité, vise plus largement l’usage « d’une ou plusieurs
données de toute nature ». Il permettra ainsi, sans doute, de
réprimer les usurpations de mot de passe, de pseudonyme,
d’adresse mail, voire d’adresse IP, qui ne sont pas stricto sensu
des usurpations d’identité, mais qui peuvent conduire aux
mêmes dommages pour la victime. Il aurait d’ailleurs été judicieux
de modifier à la même occasion l’article 434-23 pour
reprendre la même rédaction.
Cet article, souvent désigné dans la presse comme le nouveau « délit d’usurpation
d’identité sur Internet », vise pourtant les usurpations commises de manière générale,
que ce soit dans le monde réel ou dans le monde virtuel. Le dernier alinéa, qui rappelle
que l’article vise également les infractions commises sur Internet, apparaît comme
superflu : point n’est besoin de préciser dans chaque article de chaque loi que celui-ci
s’applique aussi dans le monde virtuel ! Cet alinéa constitue en fait un vestige de la
rédaction initiale du texte : le projet de loi initial visait en effet exclusivement les infractions
commises en ligne et c’est lors des débats parlementaires que l’infraction a été élargie
au monde réel.
108 •Loi et Internet
Toutefois, il n’était pas évident que la création d’un nouveau
délit soit indispensable pour réprimer ce type d’usurpation. La
jurisprudence a ainsi montré que le vol de mot de passe et le
phishing8, qui n’existent pas en tant qu’infractions dans le
Code pénal, peuvent néanmoins être efficacement réprimés
sur le fondement d’autres infractions existantes, par exemple :
• en utilisant l’incrimination d’escroquerie9 ;
• ou bien celle d’accès non autorisé à un système automatisé
de traitement de données (articles 323-1 et suivants du
Code pénal)10 ;
• ou celle de collecte frauduleuse des données personnelles de
la victime (article 226-18 du Code pénal) ;
• ou enfin de contrefaçon du site web ou de la marque de la
personne morale dont l’identité a été usurpée (en utilisant
les délits prévus par le Code de la propriété intellectuelle)11.
Dans ces circonstances, l’instauration d’un nouveau délit
d’usurpation d’identité sur Internet ne prend tout son sens que
si elle sert à sanctionner des comportements moralement
répréhensibles, mais qui échappaient encore à la loi. Par
exemple, le législateur souhaite-t-il sanctionner un canular
comme la création par un farceur d’un profil de Facebook
sous le nom d’Alain Juppé en 2007 ? La généralisation des
réseaux sociaux donne une actualité forte à cette question,
puisqu’il est facile d’y ouvrir une page sous le nom d’une autre
personne. Cette usurpation peut être une farce innocente ou,
comme dans le cas de l’usurpation d’Alain Juppé, une mise en
garde, mais elle peut aussi être l’occasion de recueillir, via les
contacts obtenus, des informations personnelles sur la personne
usurpée (par exemple, dans une autre affaire survenue
8. Action consistant à obtenir d’un internaute son mot de passe en se faisant passer pour un organisme ou un établissement
légitime.
9. TGI Paris, jugement du 2 septembre 2004.
10. TGI Paris, jugement du 2 septembre 2004.
11. TGI Paris, jugement du 21 septembre 2005.
La e-réputation • 109
en 2007, des informations sur l’appartenance de cette personne
à la franc-maçonnerie12).
Une telle usurpation du nom d’autrui peut également servir à
déconsidérer la personne en question, par exemple en lui
attribuant des propos certes honorables et licites, mais
contraires à ses convictions ou à ses engagements politiques ou
associatifs. Par exemple, publier (que ce soit sur Internet ou
sur papier) sous le nom d’Alain Juppé, élu de Bordeaux, un
éloge du vin de Bourgogne, constituerait-il réellement une
« atteinte à son honneur ou à sa considération », bien que cela
constitue sans doute une atteinte à son électorat ? L’affaire
aurait sans doute pour conséquence de « troubler sa
tranquillité », mais il n’y aurait pas nécessairement eu volonté
de créer ce trouble. Bref, le nouvel article 226-4-1 pourrait-il
être invoqué dans de telles circonstances ?
ZOOM Le faux Alain Juppé
« J’ai voulu montrer que sur ce type de site dont l’utilisation est en train d’exploser, on
peut facilement se cacher sous un faux profil », a déclaré à Reuters l’internaute [l’auteur
de la fausse page Facebook d’Alain Juppé], qui a souhaité garder l’anonymat. […]
L’homme, âgé d’un peu plus de trente ans, a précisé que « (s)on seul but était de montrer
les limites de tels sites qui peuvent être utiles par ailleurs ». Pour lui, « le danger
vient du fait que les internautes peuvent être trompés et qu’ils doivent être absolument
informés que n’importe qui peut se cacher derrière une photo, une signature ou un
profil ».a
a. Reuters, « De faux Alain Juppé et Alain Rousset sur Facebook », 5 décembre 2007.
12. Karine Papillaud, « Identité numérique, bas les masques ! », Le Monde 2, 17 novembre 2007, pp.46-47.
110 •Loi et Internet
La preuve d’identité sur Internet
Ainsi que nous venons de le constater, la notion d’identité n’a
pas de définition légale. A fortiori, la notion d’identité numérique
peut selon les interlocuteurs recouvrir de nombreuses
réalités. D’une part, au sens large, l’« identité numérique »
peut désigner l’image que l’individu donne de lui-même sur
Internet. Chacun a le droit d’utiliser des pseudonymes sur le
Web et donc de se construire, selon cette définition, autant
d’identités numériques qu’il a d’avatars. « Identité
numérique » est alors synonyme de « personnage sur le Web »
ou de « e-réputation ». D’autre part, au sens régalien, on peut
trouver le terme « identité numérique » utilisé par métonymie
pour exprimer un « moyen numérique de preuve de
l’identité ». Cette preuve peut servir uniquement dans le
monde réel (par exemple un passeport électronique), ou bien
servir aussi à prouver l’identité sur Internet.
Dans ce qui suit, nous nous restreindrons à cette dernière
définition et nous entendrons par « identité numérique » les
moyens de prouver son identité sur Internet.
Cette preuve de l’identité dans le monde numérique (réseaux,
Internet) s’effectue techniquement en deux temps :
1. dire son identité (identification proprement dite) ;
2. la prouver (authentification).
On distingue « authentification faible », lorsque la preuve
apportée n’est pas très fiable (ex : mot de passe), et
« authentification forte », lorsqu’elle s’appuie sur des éléments
plus difficiles à frauder et demeurant sous le contrôle de leur
titulaire (carte à puce, biométrie…).
Une telle démarche n’a aucune raison d’être systématique :
l’internaute a toujours le droit de naviguer de manière anonyme
ou en adoptant des pseudonymes. La preuve d’identité
doit se limiter aux seuls services qui justifient cette exigence,
comme l’accès à des dossiers personnels.
La e-réputation • 111
Les usages de l’identité numérique
Ainsi, l’authentification est utile pour accéder à de nombreux
services à forte valeur ajoutée, qu’il s’agisse de ses propres dossiers
(comme le dossier médical personnel ou DMP) ou de
ceux des autres (dans le cas du DMP, le médecin traitant a
accès au dossier de ses patients, sous réserve de prouver qu’il
est bien leur médecin traitant). Dans une entreprise, l’accès à
des informations confidentielles doit également être réservé à
certains utilisateurs. L’identité numérique peut également
servir à accomplir en ligne certaines formalités, comme des
déclarations administratives, fiscales ou sociales, l’inscription à
des concours, l’ouverture de droits sociaux…
Ce besoin d’utiliser l’identité numérique concerne ainsi les
entreprises aussi bien que les administrations, les citoyens
aussi bien que les clients ou les employés : il s’agit d’un besoin
transversal, qui appelle des solutions également transversales
ZOOM Les enjeux
Les enjeux sont considérables. Une étude de l’Afnor (2008) estime que la généralisation
en France de la dématérialisation des échanges des ménages représenterait plusieurs
milliards d’euros par an en diminution des coûts et gains de productivité (40 millions
pour le commerce en ligne, 1,3 milliard pour le secteur financier, 150 millions pour les
assurances, 1,3 milliard pour les administrations…). À lui seul, l’envoi par courriel avec
accusé de réception électronique des convocations aux assemblées générales de copropriété
représenterait un gain de pouvoir d’achat de 250 M€/an pour l’ensemble des
ménages !
112 •Loi et Internet
Les solutions techniques
Plusieurs technologies servent à prouver en ligne que l’on est
bien qui l’on prétend être.
• Le mot de passe : simple mais notoirement dépassé, les gens
ayant tendance à choisir des mots trop simples et à les utiliser
trop longtemps et sur trop de sites à la fois.
• Le mot de passe à usage unique : la personne est en possession
d’une liste de codes utilisables une seule fois. Cette
solution est utilisée en France par des banques (groupe Crédit
Mutuel-CIC). Au Danemark, le système NemID sert
aussi bien aux banques qu’à l’administration électronique.
• Des codes à usage unique (OTP : One-time password)
envoyés par SMS ou générés par une mini-calculatrice
dédiée.
• La biométrie (empreintes digitales, iris de l’oeil…).
L’iPhone 5s lancé fin 2013 comporte ainsi un dispositif de
reconnaissance de son propriétaire par empreinte digitale.
• Des clés numériques logées dans une puce (carte à puce, clé
USB sécurisée, carte SIM du smartphone…).
Dans cette dernière catégorie, on compte les identités numériques
distribuées par certains États. Par exemple, en Europe,
plusieurs pays ont décidé depuis une douzaine d’années de
doter leurs citoyens d’identités numériques implantées dans la
carte d’identité. Cette dernière devient ainsi une carte à puce,
au format d’une carte bancaire, contenant des clés que l’inter-
L’actualité montre quasi quotidiennement que les attaques ne sont pas que théoriques :
les comptes de Nicolas Sarkozy et de Barack Obama ont été piratés, ainsi que les systèmes
informatiques du ministère des Finances ou de Sony… Les campagnes de
phishing se multiplient, alors que les moyens de protection actuels, basés principalement
sur les mots de passe, atteignent leurs limites : toutes les études montrent qu’un nombre
toujours important d’internautes choisit des mots de passe trop simples (« 123456 » et
« azerty » restent des classiques).
La e-réputation • 113
naute peut utiliser en connectant la carte à l’ordinateur grâce à
un lecteur.
La Finlande propose ainsi des cartes d’identité électroniques
facultatives à ses citoyens depuis 1999 : 444 000 ont été distribuées.
L’Italie, la Suède et Monaco l’ont imitée. En Belgique
et en Estonie, où ces cartes sont obligatoires, toute la population
en est équipée, soit respectivement 8,3 et 1,1 millions de
personnes. En Espagne et au Portugal, où elles sont obligatoires
également, le déploiement est en cours avec respectivement
25 et 3,5 millions de cartes distribuées à mi-2012.
L’Allemagne a distribué 10 millions de cartes depuis 2010. La
Lituanie, la Lettonie et la République tchèque ont également
commencé à distribuer les leurs. Ainsi, plusieurs dizaines de
millions de citoyens européens disposent déjà d’outils d’identité
numérique émis par les États.
Pour faciliter l’usage de l’identité numérique dans toute
l’Union européenne, la Commission européenne a présenté
en 2012 un projet de règlement sur l’identification électronique
et les services de confiance pour les transactions électroniques
au sein du marché intérieur. Ce projet créerait des
règles communes dans toute l’Union européenne pour
l’authentification forte. Selon ce projet de texte, chaque État
DÉTAIL Et la France ?
En France, un projet semblable a été lancé en 2004 par le ministère de l’Intérieur. Plusieurs
fois repoussée, une loi créant une carte d’identité électronique a été adoptée par
le Parlement en 2012. Cependant, le Conseil constitutionnel a censuré les dispositions
concernant les fonctionnalités d’identité numérique utilisables sur Internet (« puce eservices
»). En l’état actuel des textes, la carte nationale d’identité électronique française,
si elle est lancée, serait donc seulement un titre d’identité et de voyage. L’insertion
éventuelle de fonctionnalités d’identité numérique dans cette carte nécessiterait un nouveau
texte de loi. En 2013, le gouvernement a relancé une réflexion sur ce sujet.
114 •Loi et Internet
pourrait notifier à la Commission des systèmes d’identité
numérique qui respectent les conditions suivantes :
1. Les identités sont émises par cet État, pour son compte ou
sous son contrôle.
2. Elles servent au moins à accéder aux services d’administration
électronique.
3. L’État garantit l’identité du titulaire.
4. L’État garantit la disponibilité en ligne, gratuite et 24/7 des
éléments de vérification. Il n’impose aucune spécification
technique particulière pour accepter l’identité électronique.
Si ce projet est adopté, les États membres de l’Union devront
reconnaître les identités électroniques émises par les autres
États et inscrites sur la liste publiée par la Commission, et les
accepter pour leurs services d’administration électronique. Ce
texte ne crée aucune obligation pour un État de l’Union de
délivrer ou de faire délivrer des identités numériques, ni de
notifier à la Commission celles qu’il délivre ou fait délivrer.
Toutefois, il n’y a pas que l’État qui puisse vérifier l’identité
d’une personne et lui remettre une puce électronique utilisable
sur Internet. Des entités parapubliques ou privées sont
également en capacité de le faire. C’est ainsi qu’en Europe
existent d’autres systèmes, où les émetteurs des identités
numériques ne sont pas l’État. Parfois, ces systèmes coexistent
avec une carte d’identité électronique, comme en Suède où
les entreprises et les universités peuvent équiper leurs salariés
ou leurs étudiants de cartes reconnues officiellement dans tout
le pays. En Finlande, en Estonie, en Norvège et de nouveau
en Suède, banques et opérateurs mobiles équipent leurs
clients ; en Italie, ce sont les régions et les chambres de com-
Ce projet est en cours de discussion et ne devrait pas être adopté (avec éventuellement
des modifications) avant 2014.
La e-réputation • 115
merce qui développent des offres. Parfois, ces systèmes non
étatiques constituent la seule solution d’identité numérique
disponible, comme en Suisse, en Autriche ou en Norvège, où
la Loterie nationale représente le principal émetteur… Les
outils remis aux internautes sont toujours basés sur la même
technologie que les cartes d’identité électroniques, mais le
format du support peut varier (clé USB sécurisée, téléphone
mobile…). Ces formats facilitent l’utilisation de l’identité
numérique pour des navigations en situation de nomadisme,
que ce soit sur un ordinateur portable, sur une tablette ou sur
un smartphone, et sont donc en phase avec l’importante augmentation
de l’Internet mobile, qui est sur le point de dépasser
l’Internet fixe. Au total, le nombre d’internautes européens
dotés de ces outils non étatiques est du même ordre de grandeur
que celui des porteurs de cartes d’identité électroniques.
Enfin, les grands acteurs américains d’Internet se lancent eux
aussi sur le marché de l’identité numérique. En effet, Facebook,
Google, Apple, PayPal… comptent des centaines de
millions de clients qu’ils connaissent très bien et dont ils
peuvent sécuriser facilement l’identité en la reliant à un
compte bancaire ou à une puce (carte SIM d’un iPhone par
exemple). Ils ont ainsi la capacité de proposer rapidement à
des millions d’internautes une identité numérique facile à utiliser,
qu’ils pourront valoriser en vendant aux sites web le
« service » constitué par la vérification d’identité. Facebook
Connect (authentification faible puisque Facebook ne vérifie
pas si l’internaute s’inscrit sous son vrai nom) est déjà accepté
par plus de 7 millions de sites dans le monde. PayPal (identité
consolidée par l’existence du compte bancaire associé) est
accepté comme identité numérique des internautes par
l’administration électronique britannique. Google+ et Microsoft
Account ont lancé en 2013 leur authentification « à deux
facteurs », en couplant le mot de passe habituel à l’envoi d’un
SMS sur le téléphone portable de l’internaute (identité consolidée
par l’existence de l’abonnement mobile). Google a
116 •Loi et Internet
annoncé travailler à la distribution de certificats sur clés USB
sécurisés, ce qui serait l’équivalent des systèmes non étatiques
décrits précédemment, mais à l’échelle mondiale. Enfin,
PayPal expérimente un système de paiement en boutique avec
un compte PayPal, en communiquant au commerçant la
photo du titulaire du compte à des fins de vérification d’identité.
Ces acteurs globaux, qui disposent déjà de comptes pour
presque tous les internautes et qui peuvent valider les identités
de ces derniers à un coût marginal très faible, ont de fortes
chances de dominer le monde de l’identité numérique dans
les années à venir.
LE POINT DE VUE DU SPÉCIALISTE Olivier Itéanu, avocat à la Cour d’appel
de Paris, fondateur de la société d’avocats Itéanu, chargé
d’enseignement aux universités de Paris XI et de Paris I,
représentant européen auprès de l’ICANN
Peut-on agir de manière anonyme sur Internet ?
L’anonymat absolu n’existe pas sur Internet. Il vaudrait mieux parler de pseudonymat,
c’est-à-dire d’une identification empruntant des identifiants non répertoriés par les autorités
publiques et autogérés. Pourquoi répondre non à l’anonymat ? Parce que les obligations
de traçabilité sont désormais bien ancrées dans la Loi ; elles signifient que toutes
traces laissées sur les réseaux doivent être collectées et enregistrées. Elles concernent en
premier lieu les opérateurs de communications électroniques, ex-« opérateurs de
télécoms », plus généralement les intermédiaires techniques, parmi lesquels au premier
chef les hébergeurs, qui ont une obligation légale de procéder à cette traçabilité en
conservant toute trace pendant un an à compter de son enregistrement. Ces opérateurs
et intermédiaires répondent quotidiennement ensuite à des centaines de demandes présentées
par les autorités publiques ou par des personnes privées ayant obtenu une
injonction de la justice. À cela s’ajoute que ces traces sont exploitées au sein des organisations
dans le cadre de la cybersurveillance, dont la légalité est étroitement surveillée
par la justice. Enfin, si on ajoute à tout cela, les interceptions et captations de sécurité de
tous les services de police et agences de renseignements d’un bon nombre d’États avancés
dans le monde, on se rend compte qu’il est difficile de parler d’un anonymat absolu
sur Internet.
La e-réputation • 117
Quelles sont les limites légales au choix et à l’usage d’un pseudonyme ?
Le pseudonyme est destiné à s’afficher en public. Il doit donc, comme tout message
public, respecter l’ordre public (lutte contre le racisme, l’antisémitisme et l’homophobie
principalement) et le droit des tiers (injure ou diffamation de tiers). En outre, comme le
pseudonyme peut servir à des tas de choses d’ordre commercial ou pas, son titulaire doit,
en fonction de cet usage, s’interroger sur le respect du droit des marques. Par ailleurs, il
faut s’inquiéter de vérifier qu’on ne se trouve pas sur un cas d’usurpation d’identité. Tout
cela paraît au final un catalogue de droits privatifs difficile à appréhender par le simple
internaute. En réalité, derrière ces règles, il y a beaucoup de bon sens paysan que chacun
ressent. J’ajouterai enfin, qu’à l’inverse, on peut imaginer qu’un pseudonyme se
trouve dans le commerce juridique, c’est-à-dire qu’il donne lieu à vente (cession) ou
location (concession). Ces opérations seront facilitées si le pseudonyme est déposé à titre
de marque, ce qui est tout à fait possible.
Quel est le statut juridique des avatars ?
À ce jour, il n’existe pas de statut juridique des avatars. Pour autant, l’avatar n’est pas
totalement absent de notre corpus juridique. Par exemple, on en trouve trace dans les dispositions
particulières relatives à la pédophilie, soit l’article 227-23 du Code pénal. Les
textes punissent « l’image ou la représentation d’un mineur lorsque cette image ou cette
représentation présente un caractère pornographique », ce qui clairement s’applique au
cas de l’avatar. Le dernier alinéa prévoit même que « les dispositions du présent article
sont également applicables aux images pornographiques d’une personne dont l’aspect
physique est celui d’un mineur ». La jurisprudence a ainsi déjà dit en 2007 que les dispositions
que nous rappelons sur la pédophilie s’étendent « aux images non réelles représentant
un mineur imaginaire, telles que des dessins ou des images résultant de la transformation
d’une image réellea ». Elle a condamné une société pour avoir diffusé des dessins
animés mettant en scène un jeune enfant ayant des relations sexuelles avec des femmes
adultes. La diffusion d’images représentant un avatar d’apparence mineur, en pleine activité
sexuelle, alors même qu’aucun enfant n’est impliqué, devrait tomber sous le coup de
ce texte. Au-delà de ce cas encore isolé, il n’est pas du tout exclu que le droit s’intéresse à
l’avatar dans les années à venir. Le droit n’est pas réservé aux êtres faits de chair et de
sang. L’exemple des personnes morales et des sociétés est là pour le confirmer.
a. Cour de cassation, chambre criminelle, 12 septembre 2007 : Dalloz 2008 n° 2 p.827.
118 •Loi et Internet
Comment protéger sa vie privée, y compris sur les réseaux sociaux ?
Il y a au moins trois mesures à prendre. En premier lieu, être le stratège de son identité,
c’est-à-dire limiter la révélation de cette identité et des éléments qui la composent seulement
lorsque c’est pertinent, et uniquement à des personnes de confiance. Réagir à toute
atteinte à votre identité, dès connaissance d’une tentative d’atteinte telle qu’une usurpation.
Il existe désormais un ensemble de règles juridiques en vigueur qui permettent de
réagir dès la tentative. Par exemple, pour l’usurpation d’identité, l’article 226-4-1 du
Code pénal qui réprime « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou
plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité
ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération », en le
punissant « d’un an d’emprisonnement et de 15 000 € d’amende ». Cette démarche
consistant à porter plainte auprès d’un commissariat, d’une brigade de gendarmerie ou
par courrier adressé au parquet du tribunal de grande instance dont on dépend, est
défensive ; elle tend à prévenir les conséquences de l’atteinte à l’identité, par exemple des
créanciers qui poursuivraient celui qu’ils croiraient être le débiteur. Il faut donc se placer
tout de suite en victime, la plainte y aidera. Enfin, il ne faut pas hésiter à rechercher l’origine
de cette atteinte, alerter ses proches, car c’est souvent là que se trouve le fautif.
R Olivier Itéanu, L’identité numérique en question, Eyrolles, 2008

Leçon Précédent

Retour à la/au Cours

Leçon Suivante