Intervenants :

Éric Freyssinet, Lieutenant-Colonel de gendarmerie

Olivier Iteanu, Avocat, Président d’honneur de l’Isoc France

Modérateur :

Christophe BYS, journaliste, administrateur de l’Isoc France

Après quelques mots de bienvenue, la Présidente Odile Ambry introduit Jean-Marc Lilla, Senior Manager Organization Membership EMEA de l’Isoc Monde,  venu spécialement de Genève pour assister à la réunion.

Jean-Marc Lilla rappelle l’objectif de l’Isoc : préparer l’arrivée du deuxième milliard d’utilisateurs sur l’internet, notamment dans les pays émergents.

Pour réaliser cet objectif, l’Isoc peut s’appuyer sur ses 93 chapitres locaux, dont l’Isoc France, et ses 30 000 membres répartis à travers le monde. Les Chapitres sont des courroies de transmission indispensables entre l’Isoc Monde et le terrain.

L’Isoc investit également dans les générations futures. Lors du Salon World Télécom 2009, qui vient de se dérouler à Genève, l’Isoc Monde a lancé le programme « next Internet generation leaders ».

À partir de 2010, 20 à 30 jeunes, âgés de 20 à 35 ans, seront sélectionnés chaque année par l’ISOC et formés, notamment par des cours en ligne, afin de constituer la future génération des leaders de l’Internet. Leur formation portera entre autres sur la question des standards, des politiques publiques...

Elle leur ouvrira la porte à des conférences internationales, telles que les réunions de l’IETF (Internet Engineering Task Force) ou du FGI (Forum de la Gouvenance Internet).

La question de l’identité est, bien sûr, un des piliers de l’action de l’Isoc. C’est donc avec beaucoup d’intérêt que Jean-Marc suivra les débats. D’autant qu’il rappelle les résultats d’une étude récente : il y aurait en France 213 000 cas d’usurpation d’identité chaque année, pour un coût total de 500 millions € pour la communauté.

Christophe BYS ouvre le débat en demandant au lieutenant-colonel Éric Freyssinet de définir ce qu’est l’identité numérique.

Éric Freyssinet rappelle que l’identité n’est pas un concept monolithique. Quand on parle d’identité, on peut parler :

• de l’identité civile des personnes physiques (le nom) ;
• de l’identité des personnes physiques par rapport aux autres (fils de..., cousin de…) ;
• de l’identité des personnes morales ;
• de l’identité de groupes de personnes physiques ou morales (membre de...) ;
• de l’identité de machines, dans des réseaux de communication, derrière lesquelles se trouvent des personnes physiques ou des personnes morales.

Ce qui pose problème, c’est la preuve de l’identité.

Hier, l’identité des personnes physiques pouvait se prouver par témoins. Deux témoins étaient nécessaires. Aujourd’hui, nous sommes passés au document.

L’usurpation est alors le procédé visant à mentir sur son identité et à prendre celle de quelqu’un d’autre afin d’obtenir un gain, un service, une prestation sociale ou un document d’identité dans le but d’échapper à ses responsabilités ou simplement de nuire à la personne dont on a pris l’identité

Le phénomène est connu et étudié.

L’étude dont parlait Jean-Marc en introduction est d’ailleurs tout ce qu’il y a de plus officielle. Elle a été conduite par le Credoc (Centre de recherche pour l’étude et l’observation des conditions de vie) et s’intitule « Les Français face à l’usage frauduleux de leurs documents papiers ».

Il est intéressant de noter le nom de la personne l’ayant financée : la société FELLOWES. FELLOWES est un spécialiste de la destruction de documents.

De plus cette étude s’est portée sur les victimes : 300 personnes interrogées selon les données communiquées. Beaucoup d’entre elles faisaient référence à des cas d’usurpation de numéro de carte bancaire et pas de d’usurpation d’identité « pure ». Toujours est-il que l’usurpation d’identité est un sujet en vogue. Cette semaine (12-18 octobre 2009) est par exemple celle de la « fraude à l’identité » en Angleterre.

Pour en revenir à l’étude du Credoc, les chiffres sont trompeurs car ils additionnent différentes choses sous le label général d’usurpation d’identité.

Le nombre de cas d’usurpation d’identité en France est plus proche de150 000 par an (chiffre 2008).

Mais du point de vue du droit, il faut être précis. Le fait d’emprunter l’identité d’autrui ne constitue pas forcément un délit, ou en tout cas pas celui d’usurpation d’identité.

Car, à l’heure actuelle, pour qu’il y ait usurpation d’identité au sens de la loi, il faut que les faits commis par l’usurpateur aient pu avoir des conséquences pénales pour la personne dont l’identité a été usurpée.

Olivier Iteanu continue sur la lancée d’Éric. L’usurpation d’identité sur l’nternet est la traduction d’un mal plus profond.

L’identité en général est un système à 4 éléments :

• des identifiants ;
• un registre d’identité regroupant ces identifiants ;
• des titres d’identité délivrés sur la base du registre ;
• un tiers certificateur garantissant l’intégrité de l’ensemble.

Ce système permet de donner des droits et des devoirs aux personnes qu’il identifie.

Aujourd’hui en France, c’est une évidence pour chacun que le tiers certificateur est l’État. Personne ne remet cela en cause.

Ce n’est pas vrai dans d’autres pays. La Grande-Bretagne par exemple : la police s’est opposée au projet de carte d’identité nationale car elle considérait que l’intervention de l’État en ce domaine pourrait créer des tensions avec la population.

Ce n’est pas vrai non plus sur l’internet. Prenons l’exemple de Facebook. Facebook est aujourd’hui devenu « un tiers certificateur » majeur pour des millions de personnes, sans aucune garantie légale, par la seule force de l’usage.

C’est un des enjeux forts pour l’Isoc. Le système d’identité numérique globale doit être un bien commun.

Concernant l’usurpation d’identité en ligne proprement dite, deux projets de réforme sont actuellement à l’étude, au Sénat (proposition de loi portée par un Sénateur) et à l’Assemblée Nationale (projet gouvernemental).

Mais on est loin de l’État « tiers certificateur » sur l’internet.

Le projet de carte d’identité numérique sécurisée va dans ce sens.

À côté de la fonction d’identification traditionnelle (« vos papiers s’il vous plaît ! »), la carte d’identité numérique sécurisée a une dimension de services.

Elle pourrait permettre d’accéder à des services de commerce en ligne, de signer des contrats électroniques, de déposer des plaintes à distance, de voter ...

Mais l’État a pris du retard. Aujourd’hui, pour être connu sur l’internet, il faut avoir une page sur Facebook, son blog...

Comment vérifie-t-on l’identité dans ces cas ? On ne la vérifie pas. Sauf lorsqu’un paiement intervient entre l’internaute et la personne lui fournissant le service. Dans ce cas, on rebascule dans un système d’identité « traditionnel » : le système bancaire.

Christophe ouvre maintenant le débat avec la salle.

 PREMIÈRE QUESTION : Peut-on usurper un pseudo ?

Éric et Olivier soulignent un point fondamental avec l’internet : la multiplicité des identités. Un pseudonyme est bien un élément d’identité, même quand il est futile. Par conséquent, il peut être usurpé.

Pour Éric, il s’agit cependant souvent de cas « de voisinage » : l’auteur de l’usurpation va chercher à nuire à un autre pseudonyme dans son environnement direct sur l’internet (par exemple au sein d’un « chat »). C’est un phénomène qu’on connaissait déjà au tout début de l’internet « grand public » avec les chambres de discussion IRC.

Ces situations ont cependant rarement des conséquences pénales et ne tombent pas sous le coup du délit d’usurpation d’identité au sens de la loi. Elles se règlent souvent grâce aux fonctions de modération existant dans les espaces d’échange ou de « chat ».

Par exemple sur IRC, des « robots » ont été créés très tôt afin d’assurer l’authentification des pseudonymes se connectant aux chambres de discussion et donc de prévenir le vol de pseudonymes.

Dans l’expérience d’Éric et d’Olivier, il y a donc très peu de cas d’usurpation de pseudonymes « pure », cas où le pseudonyme est usurpé seul pour discréditer son légitime propriétaire.

L’usurpation est dans de nombreux cas la première étape de ce qu’on appelle en droit un « accès et maintien non autorisé dans un système de traitement automatisé de données ».

Il s’agit d’utiliser les codes d’accès d’un tiers pour se connecter à un terminal informatique afin de réaliser des actes de malveillance (effacement ou « vol » de documents ; implantation de logiciels malveillants, spywares, chevaux de Troy...).

 DEUXIÈME QUESTION : Le chiffre de 213 000 (ou 150 000) cas d’usurpation d’identité n’est-il pas extrêmement élevé ?

Pour Éric, ce chiffre est faible en comparaison à la situation dans d’autres pays. Aux États-Unis par exemple, le nombre de cas d’usurpation d’identité est proportionnellement à la population bien plus élevé. Pourquoi ? Parce qu’en France nous sommes protégés depuis 1978 par la loi Informatique et Libertés et la Cnil.

Aux États-Unis, le numéro de sécurité sociale est utilisé comme identifiant unique et sa seule possession permet de se reconstituer une identité complète. En France au contraire, il n’y a pas d’identifiant unique. L’identité est éclatée et donc mieux protégée contre des cas d’usurpation d’identité pure.

 TROISIÈME QUESTION : Est-ce que mon nom ne devrait pas être protégé comme une marque, en particulier pour les travailleurs indépendants ?

Olivier et Éric pointent la différence fondamentale entre le nom et la marque : la marque est dans le commerce juridique. Elle est protégée par un dépôt auprès d’un organisme (l’INPI) pour identifier un produit ou un service.

Le nom du travailleur indépendant n’est donc pas protégé en soi. Il l’est s’il est déposé comme marque.

Par exemple . C’est effectivement le nom d’un individu mais, dans le commerce, c’est surtout une marque déposée pour désigner des produits de maroquinerie, des vêtements...

 QUATRIÈME QUESTION : Aujourd’hui, on nous dit qu’il faut être un stratège de son identité. Mais quid du droit à l’anonymat ?

Sur cette question, Olivier invite à lire le rapport du Sénateur Yves DÉTRAIGNE qui développe l’idée de l’hétéronymat.

Le Sénateur définit l’hétéronymat comme le fait que chaque individu puisse se forger de véritables personnalités alternatives, distinctes de la personnalité civile qui les exploite. Afin d’éviter que ce droit ne serve à commettre des infractions, ces identités alternatives pourraient être déposées auprès d’un organisme chargé de les gérer. En cas d’infractions par exemple, la justice pourrait demander l’identité civile de la personne.

On créerait donc un droit à l’anonymat sur l’internet mais en l’encadrant par la loi.

L’idée est que :

 chacun d’entre nous publie des grains d ‘information personnelle sur le réseau, sans forcément les maîtriser ;

 notre voisin peut aussi publier des grains d’information sur nous ;

 nous laissons derrière nous un grand nombre de traces, indélébiles (adresse IP...).

Au final, il y a donc quantité d’informations qui circule sur l’internet, de façon éparse et plus ou moins déconnectée.

Il faut garder la possibilité de séparer ses identités tout en permettant qu’à un moment donné et dans certaines circonstances bien définies il soit possible de réaliser un recoupement des informations présentes sur le réseau avec l’identité civile de la personne à laquelle ces informations se rattachent.

Éric complète les propos d’Olivier en pointant le problème de la protection des personnes qui veulent pouvoir s’exprimer dans certains pays où la protection des droits de l’homme est en question.

Il faut trouver un équilibre entre le besoin de s’exprimer et les règles à respecter en société.

Aujourd’hui, le débat sur l’anonymat est sur la table mais l’élément qui manque est souvent l’outil technique pour le mettre en œuvre. Peut-être l’Isoc a-t-elle un rôle à jouer ici ? En tout cas, c’est un domaine auquel l’innovation technologique doit s’intéresser.

Au-delà d’un possible droit à l’anonymat en ligne, il y a aussi le problème du sentiment d’anonymat : celui des premières fois où l’on va sur l’internet.

On a l’impression d’être seul, de pouvoir faire ce que l’on veut. Rien n’est plus faux. Même lorsqu’un site web est déclaré à la Cnil, qu’il respecte toutes les recommandations en matière de vie privée, de protection des données personnelles, vous êtes tracé.

 CINQUIÈME QUESTION : Le web est un support comme il en existe d’autres, mais aussi un espace où on peut être soi. Dans cet espace, il y a des endroits où on a besoin de sécurité, d’un espace de certification (pour le e-recrutement, le commerce en ligne). En revanche, quand je suis sur un espace de passion, d’échange d’intérêts, je n’ai pas forcément envie d’être identifiée. Par exemple j’aime la photographie. Je veux montrer mes œuvres en ligne mais je ne veux pas forcément que les personnes qui me connaissent au travail ou ailleurs connaissent ce pan de ma vie. J’ai donc besoin de ne pas être identifiée en tant que moi. Dans la vraie vie, il y a des endroits où on est identifié et des endroits ou on ne l’est pas. Il faut aussi pouvoir scinder sa vie sur l’internet.

Éric est tout à fait d’accord. Il faut trouver le bon équilibre. Dans quel cas est-il nécessaire de décliner son identité réelle et dans quel cas cela n’est-ce pas nécessaire ? C’est un point important du débat en cours.

Éric propose effectivement l’idée d’une carte d’identité électronique (étatique ou non selon les pays) qui ne fournirait que les informations utiles, par exemple l’information sur la majorité du porteur pour les sites réservés aux personnes majeures (ou aux mineurs).

 SIXIÈME QUESTION : Qu’en est-il des propositions de réforme actuellement en discussion sur l’usurpation d’identité ?

Éric et Olivier indiquent qu’aujourd’hui, deux propositions de réforme sont en discussion, l’une au Sénat, l’autre à l’Assemblée nationale dans le cadre du projet Loppsi. Le projet Loppsi (présenté par le gouvernement) devrait revenir en discussion au Parlement au printemps.

Ces deux textes traitent d’usurpation d’identité mais ne la définissent pas de la même façon.

Tout l’enjeu est de produire un texte clair qui servira de cadre aux tribunaux.

Pour Éric, l’identité définie ce soir est très large. Elle est donc difficile à encadrer. Il serait intéressant que les débats parlementaires permettent de la définir plus précisément.

Pour Olivier, il faut faire attention à ne pas trop entrer dans les détails. La loi n’est qu’un cadre interprété par le juge selon les circonstances de chaque espèce. Par exemple dans le cas du site web , le juge a fait prévaloir la liberté d’expression sur le droit des marques.

 SEPTIÈME QUESTION : Quid des Mormons qui proposent aux mairies de numériser gratuitement leurs registres d’état civil et constituent ainsi des bases de données généalogiques qui se retrouvent ensuite sur l’internet, à portée de clic ?

Éric souligne qu’en France, nous sommes protégés. Les registres d’état civil les plus récents, concernant les personnes encore en vie, ne sont pas accessibles.

Les registres de naissance et de mariage de l’état civil ne sont consultables que passé un délai de soixante-quinze ans à compter de leur clôture par exemple.

Éric et Olivier rappellent cependant qu’à côté de cela on trouve en ligne énormément d’information sur l’identité des gens : dans le Journal officiel, le cadastre... Tout cela est en libre accès.

Il y a aussi les actes de naissance. Normalement les copies intégrales d’actes de naissance ne peuvent être délivrées qu’à la personne concernée. Mais toutes les précautions ne sont pas toujours prises et l’on peut faire beaucoup de choses avec une copie intégrale d’acte de naissance.

 HUITIÉME QUESTION : Les auteurs d’usurpation d’identité en ligne se protègent-ils contre les risques d’identification, par exemple en maquillant les traces techniques qu’ils laissent derrière elles ?

Éric distingue plusieurs types de cas. Dans les cas de « voisinage » (le petit ami délaissé qui laisse des messages sur des sites de rencontres en se faisant passer pour son ex-partenaire), l’auteur de l’usurpation prend souvent peu de précautions pour dissimuler son identité réelle. Mais avec les débats en cours sur le téléchargement illégal, il y aura peut-être une prise de conscience des risques et on voit déjà des gens se « surprotéger » pour commettre des faits bénins.

On est donc dans une situation où, si tout le monde se protège, les forces de l’ordre devront demander des moyens techniques d’investigation plus poussés et donc un renforcement des lois. Cela va entraîner une nouvelle montée des moyens de camoufler son identité, etc. C’est sans fin.

En conclusion, Éric et Olivier soulignent ce paradoxe : là où on veut se protéger tous les jours contre l’intrusion dans sa vie privée, sur l’internet on est au contraire amené à se dévoiler pour créer un réseau, relier des liens. Les informations sont données et partagées volontairement quand, dans le même temps, on demande leur protection.

Odile clôt la soirée en annonçant le prochain événement de l’Isoc France : une journée « Vie privée / Vie publique au travail » le 22 janvier 2010 à l’Université Paris-Dauphine, en partenariat avec le master 226 Gestion des Télécommunications et des Nouveaux Médias.