Vous êtes sur la page 1sur 183

OLiViER iTEANU

10 scnarios pour la matrise juridique de son identit sur Internet

DU MME AUTEUR Internet et le droit. Aspects juridiques du commerce lectronique, ditions Eyrolles, 1996 Le Nouveau march des tlcoms. Conseils juridiques pour lentreprise, en collaboration avec Marianne VORMES, ditions Eyrolles, 1998 Tous cybercriminels. La fin dInternet?, Jacques-Marie Laffont diteur, 2004

CHEZ lE MME dITEUR S. BORDAGE et coll., Conduite de projet Web, 2008 O. ANDRIEU, Russir son rfrencement Web, 2008 A. BOUCHER, Ergonomie Web, 2007 . SLOM, Sites web. Les bonnes pratiques, 2007 A. FERNANDEZ-TORO, Gestion de la scurit informatique, 2007 L. BLOCH, C. WOLfHUGEL, Scurit informatique. Principes et mthodes, 2007 M. LUCAS, PGP & GPG. Assurer la confidentialit de ses mails et fichiers, 2006 J. BAttELLE, La rvolution Google, 2006 F. DUMESNIL, Les podcasts. couter, sabonner et crer, 2006 F. LE FESSANt, Le peer-to-peer, 2006 C. BCHEt, Crer son blog en 5 minutes, 2006 S. BLONDEEL, Wikipdia. Comprendre et participer, 2006

OLIVIER ITEANU

Avec la contribution de Olivier Salvatori

DITIONS EYROLLES 61, bd Saint-Germain 75240 Paris Cedex 05 www.editions-eyrolles.com

Le code de la proprit intellectuelle du 1er juillet 1992 interdit en effet expressment la photocopie usage collectif sans autorisation des ayants droit. Or, cette pratique sest gnralise notamment dans les tablissements denseignement, provoquant une baisse brutale des achats de livres, au point que la possibilit mme pour les auteurs de crer des uvres nouvelles et de les faire diter correctement est aujourdhui menace. En application de la loi du 11 mars 1957, il est interdit de reproduire intgralement ou partiellement le prsent ouvrage, sur quelque support que ce soit, sans autorisation de lditeur ou du Centre Franais dExploitation du Droit de Copie, 20, rue des GrandsAugustins, 75006 Paris. Groupe Eyrolles, 2008, ISBN : 978-2-212-12255-8

Mise en page : TyPAO Dpt lgal : avril 2008 N dditeur : 7717 Imprim en France

Prface

Dans le monde qui nous entoure, chaque individu est en perptuelle interaction avec son environnement. Lorsquil sagit dtablir un change, un accord entre deux individus, on peut parler de transaction. Une transaction peut avoir lieu car, un instant donn, des conditions de conance ont t tablies entre les deux individus. Ces conditions de conance sont souvent implicites et dpendent fortement du contexte : le boulanger accepte de me vendre du pain si jai quelques euros en poche, mais hsitera le faire si je lui prsente un billet de 500 euros, moins quil me connaisse depuis des annes, auquel cas il acceptera peut-tre de me faire de la monnaie. Chaque transaction amne un change durant lequel les individus doivent partager des informations qui permettent dtablir une relation de conance. Ces informations, rattaches la personne (mon visage pour le boulanger qui me vend du pain tous les matins, ma carte dabonn pour le contrleur SNCF), constituent une part de mon identit. Dans le monde physique, pour des raisons avouables ou non, on peut chercher tricher avec son identit de deux manires diffrentes : par le dguisement (sinventer une fausse identit) ou par lusurpation (emprunter une autre identit que la sienne). Plus la transaction prsente un enjeu important, plus les conditions de conance sont drastiques et plus les individus cherchent se prmunir contre la triche. Ainsi, si je souhaite acheter un ordinateur en payant par chque, on me demandera certainement de prouver mon identit en prsentant un document ofciel (carte didentit, passeport).
V

LIDENTIT NUMRIQUE EN QUESTION

Lavnement des systmes et rseaux informatiques, sur lesquels on peut accder des contenus et des applications, a multipli les occasions pour les individus dtablir des transactions numriques, cest--dire des transactions ralises non pas avec un autre individu, mais avec un systme informatique (un distributeur de billets, un site Web, etc.). En essence, les conditions ncessaires au succs dune transaction numrique sont similaires celles du monde physique : il faut tablir la conance en partageant des informations didentit. Dans le monde informatique, la fraude sur lidentit est pourtant dune nature bien diffrente : dune part, elle est plus facile falsier (comment faire le lien de manire certaine avec un individu, une personne physique ?) ; dautre part, elle saffranchit de toutes les frontires physiques (on peut voler un numro de carte bancaire depuis nimporte o, alors quil faut accder au portefeuille de la victime pour voler la carte elle-mme). Au nal, toutes ces informations didentit numrique semblent se propager et se reproduire librement sur les rseaux, tant et si bien quil nest plus possible de les matriser (quelle information est disponible pour qui et pour quoi faire ?). Dans le prsent ouvrage, Me Olivier Iteanu tente de trouver une dnition ce quon appelle lidentit numrique, den donner les principales caractristiques et de montrer, par des exemples concrets, comment cette identit peut rvler, parfois notre insu, de nombreuses informations notre sujet. Son propos, qui est celui dun avocat spcialis dans les nouvelles technologies, associe vulgarisation technique et analyse juridique. Sil soulve de nombreuses interrogations, ce nest que pour montrer la ncessit dune prise de conscience collective des enjeux associs aux identits numriques, pour notre socit comme pour les citoyens qui la composent. Thierry RUDOWSKI, BT France.

VI

Remerciements

Cet ouvrage a ncessit le concours de nombreuses comptences dans les domaines technique, conomique, socital et juridique. Ma gratitude va dabord Cyril Gollain, Fatiha Morin, Thierry Rudowski et toute lquipe de BT France, qui mont constamment soutenu et mont fait bncier sans rserve de leur exprience dans le domaine de la gestion des identits numriques en entreprise. Je remercie galement Pascal Lointier, dAig Europe, prsident du Clusif, Grard Peliks, dEADS, membre du forum Atena, Herv Schauer et Jean-Pierre Doussot, ex-RSSI de la banque Neuize-OBC, pour leur expertise de lconomie des rseaux et des questions de scurit lies lidentit numrique, Paul Soriano, Jean-Michel Yolin et Frdric Engel de Livo, pour les aspects socitaux et conomiques, Stphane Botzmeyer et Mohsen Souissi, pour leur excellente connaissance de lOpenID, Loc Damilaville, de lAfnic et DNS News, qui ma entretenu de la question des noms de domaine avec Jean-Christophe Vigne dEuroDNS et Sbastien Bachollet de lIsoc, Serge Soudoplatoff, pour sa matrise des mondes virtuels, enn Daphne Hesse et Sylvain Rougeaux, qui ont travaill avec enthousiasme mes cts pour la partie juridique. Jespre que ces prcieuses contributions ont abouti un ouvrage quilibr, dans lequel les volutions majeures que nous avons constates et tent danalyser, sont correctement restitues.

VII

Table des matires

Prface ........................................................................................... Avant-propos ............................................................................... Organisation de louvrage ............................................................ CHAPITRE I Construire une identit numrique ..................................... Le pseudo ........................................................................................ Le nom de domaine et lURL ........................................................ Le-mail ........................................................................................... Ladresse IP ..................................................................................... Systme didentit numrique ...................................................... En conclusion ................................................................................. CHAPITRE II Lanonymat .................................................................................. Problmatiques de lanonymat .................................................... Les sept rgles de lanonymat sur Internet .................................. 1. Ne jamais rvler son identit ................................................ 2. Utiliser un pseudo .................................................................. 3. Choisir un nom de domaine sans rapport avec son identit relle ........................................................... 4. Recourir aux webmails ........................................................... 5. Accder Internet partir dun accs public ........................
IX

V 1 3

5 7 9 12 14 18 20

23 24 25 26 27 27 28 29

LIDENTIT NUMRIQUE EN QUESTION

6. Utiliser un anonymiseur ........................................................ 7. Chiffrer (crypter) les communications ................................. Vers un droit lanonymat ? ......................................................... La position de la loi ....................................................................... Un anonymat bien tempr .......................................................... En conclusion ................................................................................. CHAPITRE III Sur mes traces ............................................................................. Obligations lgales de conserver les traces ................................. Cybersurveillance sur le lieu de travail ....................................... coutes sur la ligne ........................................................................ En conclusion ................................................................................. CHAPITRE IV Les limites de choix et dusage du pseudo ........................ Limites au choix du pseudo .......................................................... Droits et limitations dusage du pseudo ..................................... En conclusion ................................................................................. CHAPITRE V Le nom de domaine entre proprit intellectuelle et identit numrique .............................................................. Nom de domaine versus marque .................................................. Raret et cybersquatting ............................................................. Conit marque/nom de domaine, qui gagne ? ......................... OpenID, ou lURL comme systme didentit numrique global ...................................................................................... En conclusion ................................................................................. CHAPITRE VI Statut juridique du mot de passe ......................................... Lauthentication .......................................................................... Le mot de passe .............................................................................. Condentialit ............................................................................
X

29 32 32 36 41 42

45 47 51 56 58

59 61 63 67

69 70 72 77 80 82

83 85 86 86

TABLE DES MATIRES

Dtenteur lgitime ...................................................................... Moyen de preuve ........................................................................ Signature ..................................................................................... Protection du mot de passe par la loi ........................................... Authentication faible/forte ........................................................ En conclusion ................................................................................. CHAPITRE VII La carte didentit dans le rseau ......................................... Du livret ouvrier la carte nationale didentit biomtrique ... Google, une autre carte didentit dans le rseau ? ............... Google et le droit franais .......................................................... MySpace et Facebook ..................................................................... Qui peut tre un fournisseur didentit numriques sur les rseaux ? .............................................................................. En conclusion ................................................................................. CHAPITRE VIII Le registre didentit numrique .......................................... Le registre de ltat civil ................................................................ Comment le Whois est devenu un registre didentit en ligne .. Registre et fournisseur didentit ................................................. En conclusion ................................................................................. CHAPITRE IX Limage attaque ....................................................................... Le droit limage ........................................................................... Apprciation critique du rle de la loi dans la dfense de limage ........................................................................................ En conclusion ................................................................................. CHAPITRE X Lusurpation didentit ............................................................ Usurpation didentit et Internet .................................................
XI

87 88 89 89 93 95

97 98 105 107 109 111 113

115 116 118 125 126

127 127 133 136

137 139

LIDENTIT NUMRIQUE EN QUESTION

Les techniques de collecte dune identit .................................... Phishing, pharming, spoong ................................................... Lusurpation didentit et le droit ................................................ Vide juridique ............................................................................. En conclusion ................................................................................. CHAPITRE XI Google plus fort que le casier judiciaire ............................ Le casier judiciaire national automatis ...................................... Les dcisions judiciaires publies sur Internet ........................... En conclusion ................................................................................. Conclusion ....................................................................................

141 142 144 146 149

151 153 158 162 165

XII

Lidentit numrique nest plus virtuelle : elle est tout fait relle. Kim CAMERON, Les sept lois de lidentit numrique , internetactu.net, juin 2007.

Avant-propos

Usurpations didentits en grand nombre, violations rptes de la vie prive des individus, constitution de bases de donnes gigantesques, chage gnralis Quelque chose ne va pas dans le monde dInternet et des rseaux. Au centre de ce maelstrm, lidentit numrique. La premire raison cette situation tient ce que lidentit sur le rseau des rseaux a t lorigine dlaisse par les pionniers dInternet. la diffrence dInternet, bien des rseaux informatiques ont t conus de telle faon que lidentit de laccdant soit vrie lentre du rseau. Par exemple, le rseau informatique des cartes bancaires permet, partout dans le monde, en tout temps et toute heure, de procder des retraits dargent en espces. Ce rseau est rserv un public qui sauthentie pralablement et obligatoirement au double moyen dune carte dlivre par une banque et de la saisie dun code condentiel personnel. Sauf fraude, lanonymat ny a pas sa place. Internet, quant lui, ne se proccupe pas didentier ses utilisateurs, mme si ces derniers y accdent majoritairement via des fournisseurs daccs qui les ont identis. Il existe de nombreuses faons dchapper cette identication (accs publics, anonymiseurs , etc.). linverse, face ce vide, certains oprateurs organisent des communauts dutilisateurs prdtermins et slectionns, dont ils exigent lidentication pralable. Le professeur de droit Lawrence Lessig 1 a dcrit
1. Lawrence LESSIG, Code and Other Laws of Cyberspace, Boston, Basic Books, 1999.

LIDENTIT NUMRIQUE EN QUESTION

comment son universit, Boston, lun des premiers centres dducation et de recherche dans le domaine du droit, rservait laccs Internet des machines pralablement autorises et vries. Dans ces conditions, sauf usurper une identit ou pirater une machine, la personne connecte est immdiatement identie, sans possibilit danonymat. Une telle organisation nest toutefois possible que lorsque la communaut est peu importante et que des ressources (contrle par un oprateur humain, moyens techniques) existent pour grer les identications pralables. Pourquoi la question de lidentit a-t-elle t dlaisse par les pionniers dInternet ? Selon certains, ses fondateurs ont pris le parti de favoriser lanonymat parce quils estimaient quil pouvait la fois garantir la libert dexpression et assurer le principe dgalit des internautes. Dautres avancent lhypothse que ces pionniers souhaitaient laisser chacun le choix de son identit en nimposant pas un systme didentit unique. Enn, et plus simplement, il est possible que les pionniers aient privilgi la simplicit daccs au rseau, qui est dailleurs la base de son succs, en excluant toute identication pralable obligatoire. Quoi quil en soit, labsence de traitement de lidentit a ouvert des brches qui ont conduit la situation actuelle, o la dfense de lidentit numrique est devenue un problme. En entreprise, lidentit numrique est aussi omniprsente. Tout nouveau venu se voit attribuer de manire quasi systmatique des identiants et mots de passe pour accder son ordinateur et lintranet de lentreprise. Il dispose en outre dune adresse e-mail pour changer avec ses collgues, les clients, les fournisseurs. Les problmes soulevs par lidentit numrique semblent moins criants dans ce contexte. Lemployeur, dans le cadre de son pouvoir de direction, sait normaliser les relations au sein de lentreprise. Chartes dusage Internet, contrats de travail, notes de service, cybersurveillance se multiplient pour grer au mieux les identits numriques. Des normes juridiques et pratiques voient le jour, dont la loi et les tribunaux sanctionnent les abus, notamment les atteintes la vie prive sur le lieu de travail. Mais salaris et employeurs ne savent pas toujours o se situent les limites juridiques de ces nouveaux usages et leurs responsabilits.
2

AVANT-PROPOS

Les questions souleves par lidentit en gnral sont aussi anciennes que la socit des hommes, et lon peine toujours en donner une dnition unanime. De la philosophie aux sciences sociales en passant par les sciences naturelles, chacun fournit la sienne. Notre propos nest pas den dresser linventaire ni de proposer une dnition thorique de lidentit lheure numrique. Nous nous bornerons tablir des constats du point de vue juridique : Aux cts des fondements gntiques, biologiques, psychologiques, sociologiques et culturels de lidentit, sen ajoute un nouveau : le contexte numrique. Ce contexte a gnr une nouvelle identit, que nous appelons identit numrique . Lidentit numrique est partout prsente dans lespace public quest Internet comme dans lentreprise, mais cette prsence nest pas norme de manire satisfaisante. Elle safrme au travers dune multitude didentiants numriques non ou mal grs. Lidentit numrique est probablement lune des clefs de comprhension de la socit de linformation dans laquelle nous sommes entrs, et elle dpasse largement la seule question identitaire. La difcult, voire limpossibilit didentier les internautes explique, par exemple, pourquoi les pouvoirs publics peinent tant lutter contre la contrefaon, en dpit dun train de mesures rpressives qui se multiplient danne en anne.

Organisation de louvrage
Par cet ouvrage, nous souhaitons engager une rexion juridique ouverte et accessible tous sur lidentit numrique. La problmatique de lidentit numrique mle des questions techniques, juridiques et organisationnelles. Ces questions reclent des enjeux fondamentaux pour le devenir de la socit de linformation. Pour aider le lecteur comprendre ces questions et ces enjeux, nous avons organis louvrage en onze chapitres. Le chapitre I commence par introduire les problmatiques juridiques gnrales poses par les identiants numriques. Ces identiants sont indispensables la construction dune identit numrique.
3

LIDENTIT NUMRIQUE EN QUESTION

Le chapitre II soulve la question de lanonymat sur les rseaux et de son traitement par la loi : est-il lgal, et si oui dans quelles limites ? Le chapitre III se penche sur les traces. Pour contrer lanonymat, le lgislateur a rendu la collecte des traces obligatoire. Nous verrons quels sont les contours exacts de cette obligation de traage et constaterons quelle vise bien plus que les seuls fournisseurs daccs Internet. Les chapitres IV VI dtaillent ces identiants numriques omniprsents que sont le pseudo, le nom de domaine et le mot de passe et les abordent au travers des difcults juridiques spciques quils soulvent. Les chapitres VII et VIII portent sur les titres et les registres didentit. Tout systme didentit, quil soit numrique ou non, dlivre des titres didentit, comme la carte nationale didentit, et gre un registre didentit, comme le registre de ltat civil. Mais comment peuvent senvisager des titres et des registres dans un systme didentit numrique ? Les chapitres IX XI se penchent sur trois symptmes propres Internet, consquences de labsence dun systme didentit numrique global : la lutte pour la dfense du droit limage et contre les nouvelles formes dusurpation didentit, notamment le phishing , ainsi que la difcult dchapper son identit numrique du fait de lomniprsence des moteurs de recherche qui collectent et enregistrent tout. Lidentit numrique engendre de multiples problmes. Si nous sommes encore loin davoir apport toutes les solutions, au moins pouvons-nous nous poser les bonnes questions. Pour cela, une claire vision juridique de ces problmes est ncessaire. Cet ouvrage ne vise rien dautre qu apporter cette pierre ldice.

CHAPITRE I

Construire une identit numrique

Un systme didentit, quil soit rel ou lectronique, est fond sur des identiants : prnoms, nom, date et lieu de naissance, numro de Scurit sociale, etc., dans le monde rel ; pseudo, adresse de messagerie, nom de domaine, adresse IP, etc., dans celui des rseaux. Dans le monde rel, il existe des identiants socles encadrs par ltat et le droit. Dans le monde numrique, lhomme semble saffranchir des obligations juridiques et tatiques pour crer ses propres identiants. Devenu numrique, lidentiant se dsacralise et passe du stock au ux. Linternaute vit de plus en plus sous plusieurs identits, soit par souci de cacher son identit relle, soit par jeu, soit par schizophrnie. La notion de pseudonymat, contraction de pseudonyme et danonymat, se rpand du fait de labsence dinteractions physiques entre les internautes. Ces nouvelles pratiques ne vont pas sans difcults. Chacun veut matriser son identit pour dcider comment, par qui et quand il veut et peut tre joint. Or, la multiplicit des identits est difcile grer. Paradoxalement, nous verrons que limpression de libert que procurent les identits multiples est des plus trompeuse. Les identiants numriques peuvent se dnir comme autant de signes qui caractrisent un individu de son point de vue, partiellement ou totalement, de manire dnitive ou temporaire, dans le contexte lectronique. Ces signes sont crs et grs en ligne. Comme indiqu prcdemment,
5

LIDENTIT NUMRIQUE EN QUESTION

ces identiants numriques sont le pseudonyme, devenu pseudo, ladresse de messagerie, ou e-mail, le nom de domaine Internet, lURL et ladresse IP. Cette dnition comporte en elle-mme deux exclusions : les objets et les sujets virtuels, ou avatars. Mme si Internet connecte et connectera de plus en plus dobjets, voire de robots, aux rseaux en leur attribuant une adresse IP, chacun reconnat quun objet na pas de volont propre et quil nest donc pas un sujet de droit. En revanche, lobjet a un matre, un gardien, qui assume une responsabilit au titre de sa garde 1. Les avatars nont pas davantage de volont propre, mais ils possdent un matre, ce qui ne va pas sans consquences que nous verrons au chapitre IV. Selon un second niveau, nous entendons par identiants numriques tous les attributs classiques de la personnalit, tels que le nom patronymique ou de famille, ladresse postale, etc., mais manipuls par des outils principalement logiciels mis disposition du public. Nous verrons que ces attributs classiques peuvent correspondre tout autant une identit relle qu une identit virtuelle, construite de toutes pices ou achete. Il convient enn de distinguer les notions didentiant, didentication et dauthentication. La construction dune identit numrique et sa gestion peuvent passer par quatre phases : 1. Inscription : lutilisateur cre un identiant numrique (pseudo) et, le plus souvent, accompagne cette cration dune dclaration de donnes didentit. 2. Vrication : les modes de vrication sont extrmement variables. Certains services se contentent denvoyer un message de conrmation une adresse lectronique de contact dclare an de vrier que cette adresse existe. Dautres utilisent des moyens plus sophistiqus, tels
1. Responsabilit du fait des choses rgie par larticle 1384, alina 1, du Code civil : On est responsable non seulement du dommage que lon cause par son propre fait, mais encore de celui qui est caus par le fait des personnes dont on doit rpondre, ou des choses que lon a sous sa garde.

CONSTRUIRE UNE IDENTIT NUMRIQUE

que la vrication des formats des champs (comme le numro de tlphone, constitu de dix chiffres et correspondant un plan de numrotation national) ou linterrogation de bases de donnes externes pour vrier la cohrence dune adresse, la validit dun moyen de paiement, etc. 3. Identication : cest le processus par lequel est retrouv dans le systme lidentiant numrique cr et vri aux phases prcdentes. 4. Authentication : tape de vrication que lutilisateur est bien le propritaire de lidentiant revendiqu. Les mthodes dauthentication sont classiquement ranges dans trois catgories : ce que je sais et que je suis seul connatre (mot de passe, etc.) ; ce que je possde (badge, etc.) ; ce que je suis (empreintes digitales, etc.). Les identiants numriques sont donc bien la base de la construction de lidentit numrique. Nous allons voir les principales caractristiques techniques, sociologiques et lgales de ces nouveaux identiants.

Le pseudo
Dans le monde numrique, les changes relvent essentiellement du domaine du texte. Pour exister, le blogueur, le participant un forum, le correspondant doivent se nommer. Si lon interroge un individu quel quil soit et quon le somme de donner son identit, sa premire rponse sera immanquablement son nom. Ltre humain est un tre social, destin vivre au milieu des autres et interagir avec eux. Le nom est un premier moyen dinteraction. Il revt dailleurs la plus haute importance pour lhomme, mme sil nen a pas toujours conscience. Dans le monde rel, il reoit ce nom de ses parents la naissance en mme temps quun prnom qui lui est choisi et quil conservera toute sa vie, sauf cas particuliers. Pour cette raison, certains voient dans le nom la perptuation dune tradition, de valeurs. Dans la tradition judo-chrtienne, ces mmes prnoms et nom gureront sur sa tombe aprs sa mort. Labandon ou le changement de nom ou de prnom traduit souvent un changement profond de vie de la personne. Le droit rgit et surveille troitement un tel changement, quil porte sur le nom ou sur le prnom 1.
7

LIDENTIT NUMRIQUE EN QUESTION

Dans les trois religions monothistes, la conversion saccompagne toujours dun changement de nom. Dans certaines traditions, on considre mme que, sans prdterminer un destin, le prnom attribu par les parents lenfant peut lui confrer certaines caractristiques 1. On dit que tout au long de sa vie lhomme dispose de trois noms : celui donn par ses parents (identit reue ou subie), celui qui lui sera attribu par ses amis et celui quil acquerra par lui-mme (identit choisie, construite ou achete), ce dernier tant jug suprieur aux deux autres : cest ce quon appelle se faire un nom . Le mot pseudonyme vient du grec pseudnoumos, et est fond sur le radical pseuds, menteur. Il sagit donc au sens littral dun faux nom. Avec le temps, il a pris le sens de nom demprunt, se distinguant ainsi du surnom, ou sobriquet. Attribu par lindividu lui-mme, il est librement et volontairement choisi 2. Nom demprunt, le pseudonyme peut aussi se dnir comme un nom de fantaisie, librement choisi par une personne physique dans lexercice dune activit particulire [] an de dissimuler au public son nom vritable 3 . Il existe toute une tradition littraire de recours au pseudonyme. De grands crivains, tels Franois-Marie Arouet (Voltaire), Marguerite Donnadieu (Marguerite Duras) ou Frdric Dard (San Antonio), ont eu recours ce que lon appelle aussi parfois un nom de plume. Durant la Seconde Guerre mondiale, de nombreux rsistants ont eu recours au pseudonyme. Jacques Delmas a ainsi choisi Chaban, quil a conserv aprs la guerre en lajoutant son nom pour devenir Jacques
1. Art. 60 et suivants du Code civil. 1. Cest une des thses de la Kabbale (Matityahu GLAZERSON, Whats in a Name. The Spiritual Link between the Name of a Person and his Soul, Ed. JHRL, 2005). 2. Le surnom, ou sobriquet, est une dsignation impose son porteur par lusage des tiers, qui sajoute et mme souvent en pratique se substitue au nom patronymique. Il ne rsulte pas dun choix personnel aux ns de dissimuler sa vritable identit au public et cest ce qui le diffrencie du pseudonyme (JurisClasseur Civil, Annexes, V, Nom, Fasc. 50). 3. Grard CORNU, Vocabulaire juridique, PUF, 2005. Cette dnition est galement retenue par la jurisprudence (Cass., 1re chambre civile, 23 fvrier 1965, JCP, 1965, II, 14255, note P. Neveu).

CONSTRUIRE UNE IDENTIT NUMRIQUE

Chaban-Delmas, Premier ministre du gnral de Gaulle et maire de Bordeaux. Beaucoup dautres rsistants ont fait le choix de conserver leur pseudonyme de combattant comme nom patronymique. Dans le monde des rseaux, le recours au pseudonyme est trs rpandu. On parle son propos plutt de pseudo. Ce raccourci terminologique traduit en fait une volution dans lusage du pseudonyme. Sur Internet, le recours au pseudo est quasi obligatoire pour accder un grand nombre de services et dans des situations prcises auxquelles doit faire face linternaute. Il peut lui tre demand de sidentier lentre dun site Internet, intranet ou extranet, pour discuter dans un forum, sabonner une lettre dinformation ou participer un jeu, obtenir des informations ou acheter en ligne. Le pseudo correspond une identit cre le plus souvent dans linstant, et gnralement jetable. Le succs du pseudo vient du fait qu la diffrence du nom et du prnom, il ne permet pas une complte identication dun individu. Selon un sondage ralis en 2005 par la FING (Fondation Internet nouvelle gnration 1), 35 % des personnes interroges ont dit recourir au pseudo pour protger leur vie prive, 21 % pour ne pas tre reconnues et 4 % pour jouer quelquun dautre . Nous verrons au chapitre IV que le choix dun pseudo connat des limites dordre lgal. Nous aborderons galement la question de la protection ventuelle du pseudo par le droit des marques et passerons en revue les limitations imposes par la loi lusage du pseudo.

Le nom de domaine et lURL


Chaque ordinateur connect Internet est dot dune adresse dite IP, constitue dune suite de chiffres difcile mmoriser. Les prcurseurs du rseau Internet ont imagin dassocier une adresse IP un nom intelligible et intangible, appel nom de domaine. Saisir un nom de domaine sur un navigateur Internet revient retrouver ladresse IP qui lui est associe un instant donn.
1. www.ng.org.

LIDENTIT NUMRIQUE EN QUESTION

Quand un utilisateur souhaite accder un site Internet, par exemple www.voyagessncf.fr, il saisit dans son navigateur cette adresse compose dun domaine Internet, .fr, aussi appel extension ou sufxe, et dun radical, voyagessncf. Lordinateur met ensuite une requte spciale destination dun serveur spcialis, appel serveur DNS, qui lui rpond en retournant ladresse IP de lordinateur hbergeant ledit site. Cette adresse IP est compose dune suite de chiffres, de type 204.200.195.117. Ainsi, lordinateur sait quelle machine se connecter pour accder au site vis. Le nom de domaine est attribu par un organisme de droit priv, gnralement une socit commerciale, appel unit ou bureau denregistrement, en anglais registrar. Nous verrons au chapitre V que cette attribution des noms de domaine se fait le plus souvent en ligne, selon des rgles peu formalistes et en quelques minutes. Nous verrons aussi que cette procdure originale ne va pas sans poser problme eu gard la proprit intellectuelle. Une URL (Uniform Resource Locator) est une chane de caractres utilise pour fournir une adresse nimporte quelle ressource Internet : document HTML, image, forum, bote aux lettres lectronique, etc. LURL permet dindiquer aux logiciels (navigateurs Internet, clients de messagerie lectronique, etc.) comment accder ces ressources. Les informations contenues dans une URL peuvent comprendre le protocole de communication, un nom dutilisateur, un mot de passe, une adresse IP, un nom de domaine, un numro de port, etc. Chaque lien hypertexte du Web est construit avec lURL de la ressource pointe. Par exemple, si vous dcidez de visiter la page Mentions lgales du site du quotidien Le Monde, votre navigateur vous renverra ladresse http://www.lemonde.fr/web/article/0,1-0@2-3388,36-875325,0.html , une URL compose du protocole de communication utilis (http), du nom de domaine (lemonde.fr) et du chemin daccs vers la page souhaite (web/article/0,1-0@2-3388,36-875325,0.html). Un systme didentit global, appel OpenID 1, permet dattribuer une URL comme identiant unique pour accder tous les sites ou services
1. www.openid.net.

10

CONSTRUIRE UNE IDENTIT NUMRIQUE

compatibles. La socit Orange, par exemple, propose ce systme ses abonns. Agissant en fournisseur didentit, Orange attribue une URL un utilisateur pralablement authenti (par exemple openid.orange.fr/ un_identiant_choisi_par_lutilisateur), lequel utilisateur peut ensuite se connecter au moyen de son OpenID tous les services compatibles. Il lui suft de saisir cette URL lentre du service dans le champ prvu cet effet. Le fournisseur de service vrie en temps rel et en ligne lidentit dclare auprs du fournisseur didentit, en loccurrence Orange, qui demande lutilisateur de sauthentier. Lavantage de ce systme est dviter l'utilisateur davoir crer un identiant et un mot de passe diffrents pour chaque service auquel il souhaite accder. Le fournisseur de service peut disposer de certaines informations sur lindividu, si ces dernires ont t collectes par le fournisseur didentit (ici Orange) avec laccord explicite de lindividu pour quelles soient transfres aux fournisseurs de service compatibles. Nous reviendrons au chapitre V sur ce projet crdible de systme didentit numrique global.
Peut-on tre propritaire dun nom de domaine ?
La question de la proprit dun nom de domaine Internet est directement lie celle de sa valeur. Le changement de nom de domaine Internet par une entreprise qui a pris lhabitude dchanger avec ses clients, fournisseurs, partenaires et salaris au moyen de ce nom reprsente un cot important 1. Cest encore plus vident lorsque lentreprise ralise des transactions commerciales sur son site. Selon nous, il ne fait aucun doute que lentreprise doit pouvoir compter le nom de domaine Internet parmi ses actifs. Il existe cependant une cole de pense contraire, quoique minoritaire, gnralement constitue des pionniers dInternet, pour plaider que le nom de domaine est une ressource technique publique et ce titre non appropriable. Jusquen 1994, les noms de domaine taient distribus gratuitement par un organisme amricain de droit public. Au cours de lanne 1994, une entreprise commerciale a pris le relais et fait de la vente des noms de domaine une activit lucrative. Aujourdhui, le nom de domaine sinscrit sans conteste dans le commerce juridique, et toutes oprations sont possibles son propos : le cder ou le concder, selon des contrats conclus, enregistrs et excuts,

1. Loc DAMILAVILLE, Patrick HAUSS, Stratgies de nommage slectionner et scuriser ses noms de domaine sur lInternet , Domaines Info, 2007.

11

LIDENTIT NUMRIQUE EN QUESTION


donnant lieu paiement. Lorsque le nom de domaine est associ un site de commerce lectronique, la jurisprudence le qualie denseigne 1. LAfnic 2, association charge de la gestion de la zone de nommage .fr, a longtemps rsist lvidence. Aujourdhui encore, sa charte de nommage comporte des traces de cette ancienne doctrine. Au terme de proprit , lAfnic prfre celui, dailleurs plus juste juridiquement, de droit dusage . En effet, la proprit est un droit absolu et perptuel, alors quun nom de domaine est forcment limit dans le temps, car soumis la double condition dun renouvellement et du paiement dune redevance associe. Larticle 8 de la charte de nommage de lAfnic nonce quelle dispose dun droit de reprise et dun droit de premption notamment dans le cas dun terme quil savrerait ncessaire dintroduire dans la liste des termes fondamentaux non attribuables. Le droit de reprise ne peut sexercer sans un pravis de 6 (six) mois, ramen 3 (trois) mois en cas durgence motive, permettant au titulaire de choisir un autre nom de domaine et de sassurer dune parfaite migration3 .

Le-mail
Le terme anglais email (electronic mail) a dabord t francis en ml . La commission gnrale de terminologie et nologie du ministre de la Culture est ensuite revenue sur sa dcision pour faire le choix de courriel , dorigine qubcoise 4. Le-mail est un des services le plus populaires dInternet. Dans son principe, il permet le transfert de messages entre interlocuteurs et lchange de chiers textuels, graphiques et sonores. Il dispose des avantages combins du courrier postal et de la communication tlphonique. Cest en quelque sorte une lettre postale transmise instantanment de manire lectronique.
1. TGI de Paris, 31e chambre correctionnelle, 8 avril 2005, ministre public/Nicole T. : Lappellation dun site correspond, sur le plan lectronique, lenseigne ( propos du nom de domaine soldeurs. com utilis en dehors des priodes lgales de soldes en France). 2. Association franaise pour le nommage Internet en coopration. Le mot coopration traduit bien cette cole de pense qui dfend un Internet libre et gratuit, dans lequel les noms de domaine sont de pures informations techniques. LAfnic est une association rgie par la loi du 1er juillet 1901 constitue par la volont commune de lInria et de ltat. 3. Charte de nommage de lAfnic, 15 janvier 2007 (entre en vigueur la n de 2007). 4. Journal ofciel, 20 juin 2003.

12

CONSTRUIRE UNE IDENTIT NUMRIQUE

Le-mail est gnralement associ un espace de stockage de correspondances diffuses par voie lectronique. Appel BAL (bote lettres lectronique), cet espace de stockage est hberg sur un serveur dit de messagerie. Une adresse lectronique est compose dun nom de domaine Internet prcd du signe technique caractristique @, ou arobase, ou encore at ( chez en langue anglaise), lui-mme prcd dun identiant. Le nom de domaine Internet comme le nom prcdant larobase peuvent servir identier lmetteur dun e-mail. Le message lectronique lui-mme comporte deux parties distinctes : le corps du message et len-tte. Ce dernier est constitu de plusieurs champs, ladresse e-mail du ou des destinataires, ladresse e-mail de lexpditeur, le sujet du message, la possibilit dune copie conforme ou carbon copy (Cc :), voire dune copie conforme invisible ou blind carbon copy (Cci :). Le-mail offre en outre diffrentes fonctions, telles que joindre un chier, rpondre , ou Reply, faire suivre , ou Forward, et le Carnet dadresses. Au nal, le-mail est un condens assez rare didentiants numriques.
Le-mail est-il assimilable une correspondance prive ?
Dans certains cas, le courrier lectronique peut sans aucun doute tre assimil une correspondance prive. Larticle premier de la loi du 10 juillet 19911 prvoit en effet que le secret des correspondances mises par la voie des communications lectroniques est garanti par la loi . La violation de ce secret tombe sous le coup de larticle 226-15 du Code pnal, qui punit dun an demprisonnement et de 45 000 euros damende le fait, commis de mauvaise foi, douvrir, de supprimer, de retarder ou de dtourner des correspondances arrives ou non destination et adresses des tiers, ou den prendre frauduleusement connaissance . Cette protection juridique ne vaut toutefois que dans la mesure o ces correspondances revtent un caractre priv, cest--dire lorsquelles sont destines une (ou plusieurs) personne physique ou morale, dtermine ou individualise.

1. Loi n 91-646 du 10 juillet 1991 relative au secret des correspondances mises par la voie des tlcommunications.

13

LIDENTIT NUMRIQUE EN QUESTION


Certains types de correspondances prsentent un caractre unilatral et relaient une information impersonnelle. Ainsi les e-mails publicitaires et le Spam ne relvent pas de la correspondance prive. Il en va de mme des e-mails adresss aux listes de diffusion et autres newsletters. La question du secret des correspondances prives se pose galement dans le cadre de la relation de travail qui unit un employeur et son salari. Il sagit de savoir si lemployeur peut prendre connaissance des e-mails envoys et reus par le salari. On sait depuis larrt Nikon de la chambre sociale de la Cour de cassation du 2 octobre 2001 que lemployeur ne peut [] prendre connaissance des messages personnels mis par le salari et reus par lui grce un outil informatique mis sa disposition pour son travail1 . Durant plusieurs annes, cette jurisprudence sest conrme. Lemployeur ne pouvait accder la bote lettres lectronique de son salari sans laccord de celui-ci ou sans autorisation judiciaire. Cependant, la jurisprudence rcente a nuanc cette apprciation. Par deux arrts de la Cour de cassation rendus le mme jour, le 18 octobre 2006 2, les juges considrent que les dossiers et chiers crs par un salari grce loutil informatique mis sa disposition par son employeur sont prsums, sauf si le salari les identie comme tant personnels, avoir un caractre professionnel, de sorte que lemployeur peut y avoir accs hors sa prsence . Bien que visant uniquement laccs au disque dur de lordinateur mis la disposition du salari, on peut lgitimement penser que cette dnition stendra la messagerie lectronique. Cet quilibre nal semble prserver tout la fois les liberts individuelles du salari et les besoins de lentreprise.

Ladresse IP
On appelle adresse IP (Internet Protocol) le numro qui identie tout matriel informatique (ordinateur, routeur, tlphone IP, etc.) connect un rseau informatique utilisant le protocole Internet. Cest cette adresse qui permet aux ordinateurs connects Internet dentrer en communication sur le rseau. Le numro constituant ladresse IP comporte, dans la version 4 du protocole Internet (IPv4), quatre nombres compris entre 0 et 255, spars par des points, comme 212.134.19.159. IPv6 a t dvelopp en rponse
1. www.legalis.net. 2. Cass., chambre sociale, 18 octobre 2006, pourvoi n 04-48025, Bulletin, 2006, V, n 308, p. 294.

14

CONSTRUIRE UNE IDENTIT NUMRIQUE

au besoin grandissant dadresses IP. Le dveloppement extrmement rapide dInternet a conduit la saturation des adresses IPv4 disponibles. Une adresse IPv6 comporte 8 nombres, compris entre 0 et 65 535 (nots en hexadcimal), spars par des deux-points, comme 1FFF:0:A88:85A3:0:0:AC1F:8001. On dispose ainsi denviron 3,4 1038 adresses, soit plus de 667 millions de milliards par millimtre carr de surface terrestre. Il existe deux types dadresses IP : les adresses xes et celles dites dynamiques. Les adresses IP xes ont pour particularit dtre assignes dnitivement un matriel informatique par un FAI (fournisseur daccs Internet). A contrario, une adresse IP dynamique est attribue au matriel qui se connecte pour un temps limit, appel session . Ladresse IP dynamique est renouvele chaque connexion au rseau Internet. Les adresses IP dynamiques sont gnralement utilises lorsque la connexion de lordinateur au rseau Internet nest pas permanente. Un utilisateur dInternet est identi, tout au long de sa connexion au rseau, par ladresse IP qui lui a t attribue par son FAI. Laccs Internet nest accord par le FAI quaprs authentication de lutilisateur. Une fois ce dernier connect Internet, chaque requte quil effectue sur le rseau est identie comme provenant de cette adresse IP. Tout au long de sa navigation sur le Web et de son utilisation du rseau Internet, lutilisateur est identi comme connect au moyen de cette adresse IP. Dans le cas de la navigation Web, cette information est indispensable aux serveurs Web recevant une requte de lutilisateur (par exemple la requte dafchage de la page daccueil dun site) pour dterminer quelle adresse doit tre envoy le rsultat de la requte. Ce rsultat, constitu des donnes constitutives de textes, dimages, etc., est organis en paquets, dont lenveloppe porte ladresse IP du destinataire, permettant de router la rponse vers lmetteur de la requte. En rsum, chaque personne connecte au rseau Internet est constamment identie au moyen de son adresse IP, et ce quel que soit le service quelle utilise. Par le biais du jour et de lheure de connexion ainsi que de ladresse IP, il est possible didentier la machine qui a visit un site Web donn, quelles que soient les suites de cette visite : achat, tlchargement, change dans le cadre dun forum de discussion, chat , etc.
15

LIDENTIT NUMRIQUE EN QUESTION

Ladresse IP relve davantage du domaine de lidentiant que de celui de lidentit. On imagine mal en effet quun individu se dnisse par son adresse IP. En outre, ladresse IP est le plus souvent un identiant subi, et non choisi. Nous verrons au chapitre III relatif aux traces que ladresse IP est une donne fondamentale de la surveillance des rseaux et que, dans ces conditions, la question de son statut juridique revt une importance majeure.
Ladresse IP est-elle une donne caractre personnel ?
Lenjeu de cette question est fondamental : si ladresse IP peut tre qualie de donne caractre personnel, sa collecte et son enregistrement, dans le cadre dactivits de surveillance, sont soumises lensemble des rgles dictes par la Loi informatique et liberts (dclaration du traitement la CNIL 1, droit daccs et de rectication, droit de sopposer au traitement pour des motifs lgitimes, etc.) et donc au contrle de la CNIL. Prenons le cas dune organisation qui surveille ses salaris en collectant les adresses IP en entre et sortie de son systme dinformation. Si ladresse IP est une donne caractre personnel, le traitement qui rsulte de cette collecte doit tre pralablement dclar la CNIL. dfaut, le reprsentant lgal de lorganisation est passible des peines maximales de cinq ans demprisonnement et de 300 000 euros damende. De plus, ladresse IP ne peut tre produite en justice titre de preuve : son traitement tant illgal, le tribunal rejetterait immanquablement la pice. linverse, si ladresse IP nest pas qualie de donne caractre personnel, elle chapperait au contrle de la CNIL, le traitement issu de la collecte des adresses IP ne devrait pas tre pralablement dclar, et le contrle sur la collecte des adresses IP sen trouverait largement amoindri. Jusquen 2007, la situation semblait limpide puisque la CNIL, rappelant de faon constante que les donnes sont considres comme caractre personnel ds lors quelles concernent des personnes physiques identies directement ou indirectement2 , assimilait ladresse IP une donne caractre personnel. Un consensus stait dgag et la question semblait entendue. Ctait sans compter sur la cour dappel de Paris, qui a adopt une position diamtralement oppose et a mis nouveau cette problmatique au centre de toutes les interrogations.

1. Commission nationale de linformatique et des liberts, www.cnil.fr. 2. http://www.cnil.fr/index.php?id=1686.

16

CONSTRUIRE UNE IDENTIT NUMRIQUE


Par deux arrts davril 20071, la cour dappel de Paris a considr que les adresses IP, collectes lors de la recherche et de la constatation dactes de contrefaon, ne pouvaient constituer des donnes caractre personnel au motif que celles-ci ne permettraient pas didentier, mme indirectement, des personnes physiques. Selon elle, le relev de ladresse IP de lordinateur ayant servi linfraction entre dans le constat de sa matrialit et pas dans lidentication de son auteur . Elle ajoutait que cette srie de chiffres en effet ne constitue en rien une donne indirectement nominative relative la personne . Une telle analyse branle profondment la notion de donne caractre personnel que la loi apprhende pourtant de faon trs large. Larticle 2 de la loi du 6 janvier 1978 modie en 2004 considre comme donne caractre personnel toute information relative une personne physique identie ou qui peut tre identie, directement ou indirectement, par rfrence un numro didentication ou un ou plusieurs lments qui lui sont propres. Pour dterminer si une personne est identiable, il convient de considrer lensemble des moyens en vue de permettre son identication dont dispose ou auxquels peut avoir accs le responsable du traitement ou toute autre personne . De plus, cette dcision va totalement lencontre de la position non seulement de la CNIL, mais de ses homologues europens, qui ont rcemment rappel que ladresse IP constituait une donne caractre personnel. Toutefois, si cette jurisprudence peut dstabiliser, elle ne saurait inquiter outre mesure tant sa logique est peu convaincante. Si les numros de tlphone ou de Scurit sociale sont considrs comme des donnes caractre personnel, alors quil ne sagit que de suites de numros, il est difcile de comprendre ce qui pousse les magistrats considrer ladresse IP comme une srie de chiffres et adopter dans le mme temps son gard un raisonnement diffrent. Quelques mois aprs ces deux dcisions, des juges de premire instance sont dailleurs revenus la position antrieure. Le tribunal de grande instance de Saint-Brieuc a considr, le 6 septembre 20072, que ladresse IP de la connexion associe au fournisseur daccs constitue un ensemble de moyens permettant de connatre le nom de lutilisateur et a conclu que ces informations taient des donnes caractre personnel ayant concouru indirectement lidentication de linternaute. Autant darguments faisant douter de la porte des arrts de la cour dappel de Paris et de leur impact juridique rel.

1. CA de Paris, 13e chambre, section B, 27 avril 2007, Guillemot ; CA de Paris, 13e chambre, section A, 15 mai 2007, Sbaux. 2. TGI de Saint-Brieuc, 6 septembre 2007, ministre public, SCCP, SACEM/J. P.

17

LIDENTIT NUMRIQUE EN QUESTION

Systme didentit numrique


Tout identiant prend gnralement place au sein dun systme que lon peut appeler systme didentit . Ce systme est habituellement compos de quatre lments qui interagissent les uns avec les autres : Les identiants eux-mmes. Pour quun identiant soit unique un individu, il doit tre recens dans un registre ou une base de donnes, tenu et gard par un tiers prenne et de bonne moralit. Les identiants renseignent sur les individus auxquels ils se rattachent. Ces renseignements sont consigns dans des titres didentit qui permettent leur authentication. Les identiants donnent des droits, mais aussi des devoirs ceux auxquels ils se rattachent. Le systme didentit na dailleurs de raison dtre quau regard de ce quatrime lment. Le systme tat civil dun individu franais est constitu dun certain nombre didentiants (nom, prnoms, date et lieu de naissance). Ces derniers sont conservs dans le registre de ltat civil tenu par ltat. Ils renseignent sur lindividu. Des titres didentit, notamment la carte nationale didentit, consignent ces informations. Enn, ces identiants donnent des droits ou des autorisations, tels que le droit de vote la majorit. Un tel systme global nexiste pas pour lidentit numrique. Lorsque des services fournis sur le rseau ont besoin didentits, ils mettent en place leur propre systme didentit, le plus souvent constitu dun pseudo et dun mot de passe. On parle alors didentit contextuelle, cest--dire qui dpend du contexte. Si je souhaite accder Infogreffe, le registre du commerce et des socits en ligne, ce service me cre une identit cet effet. Mais si je souhaite accder ensuite au registre des marques de lINPI 1, je dois initier une nouvelle dmarche auprs de cet organisme pour obtenir une deuxime identit numrique. Si je rejoins mes amis sur Facebook, je devrai initier
1. Institut national de la proprit industrielle, www.inpi.fr.

18

CONSTRUIRE UNE IDENTIT NUMRIQUE

encore une autre dmarche. Enn, si je frquente un blog sur la posie et y fais part rgulirement de mes commentaires, le blogueur me demandera une autre identit mais il peut aussi accepter un commentaire anonyme de ma part. Transposons les quatre lments constitutifs dun systme didentit lidentit numrique, et voyons les premires questions que cette transposition soulve : Identiants numriques : doivent-ils composer, partiellement ou totalement, avec ceux du monde rel ? Peut-on btir un systme didentit numrique exclusivement sur les identiants numriques ou partiellement seulement ? Registre en ligne : peut-on imaginer la cration dun tel registre recensant lensemble des identiants numriques, linstar du registre de ltat civil ? Carte didentit rseau : nous avons vu quun systme didentit global dlivrait des titres partir de son registre, la manire la carte nationale didentit ; peut-on envisager une qui soit ddie aux usages du rseau ? Droits et devoirs numriques : lensemble de ces questions se pose dans un contexte o sentrecroisent les obligations contradictoires danonymat et de traabilit gnralise encadres par la loi. Faire du commerce ou consommer dans le cadre du e-commerce, agir comme citoyen ou plus simplement sexprimer en public (blogs, forums, etc.) sont autant dactivits qui peuvent dpendre de la production dune identit numrique scurise. Un systme didentit numrique global peut revtir diffrentes formes : Centralis : un unique fournisseur didentit possde lintgralit des informations concernant un individu. Ltat pourrait tre ce fournisseur sil ntait totalement absent des rseaux. Distribu ou dcentralis : de multiples fournisseurs didentit gnralistes ou spcialistes possdent, selon leur spcialit, une ou plusieurs informations concernant un individu. La banque fournira les coordonnes bancaires, lemployeur attestera dattributions professionnelles, etc.
19

LIDENTIT NUMRIQUE EN QUESTION

Propritaire ou ouvert : le systme sera dit propritaire si la technologie utilise appartient un seul acteur et ouvert si les spcications de cette technologie sont librement et gratuitement utilisables par tous. Ces options techniques dterminent de vrais choix de socit. Par exemple, derrire loption dun seul fournisseur didentit centralis se cache le cauchemar du Big Brother de George Orwell. Ou encore, un systme didentit numrique global fond sur une technologie ouverte prmunit en quelque faon contre le risque dappropriation dinformations condentielles par des intrts privs. Dans le monde rel, lidentit est garantie ou contrle par les autorits publiques. Lidentit numrique volue quant elle entre des mains invisibles et sans socle de rfrence. Elle chappe ltat et, surtout, son titulaire en a perdu partiellement le contrle. Dans le monde numrique, lidentit est un produit , qui prend place dans une conomie de march et suscite des convoitises. Corrlativement, lidentit numrique se consomme, cest--dire sachte, se vend, se prte et se vole. Elle doit donc disposer dune protection lgale.

En conclusion
Depuis lavnement de lInternet grand public, il y a dix ans, les juristes rptent lenvie que le rseau des rseaux nest pas une zone de nondroit. Cest mme devenu une sorte de tarte la crme que lon ressort chaque soubresaut de lactualit, quand les mdias stonnent que rien ne soit fait pour combattre les contrefaons ou les atteintes manifestes la vie prive. Sil est vrai que le droit sapplique Internet, on oublie trop souvent que les principes de base du systme juridique europen et franais sont bouleverss par ce nouveau moyen de communication, notamment en ce qui concerne lidentit. Dans le monde rel, il existe une identit socle encadre par ltat et le droit. Dans le monde numrique, lhomme saffranchit la fois de la tradition et des obligations tatiques pour crer sa propre identit. Les identiants numriques se multiplient, se consomment, se jettent, et ces nouvelles pratiques gnrent des
20

CONSTRUIRE UNE IDENTIT NUMRIQUE

problmatiques juridiques nouvelles. Aussi un systme didentit numrique globale serait-il le bienvenu, pour peu quil respecte un certain nombre de valeurs. En novembre 2004, Kim Cameron, architecte logiciel en charge des questions de lidentit chez Microsoft, a lanc une discussion sur son blog 1 sur le thme de lidentit numrique. De cette discussion publique sont ns sept principes que cet expert reconnu a appels les sept lois de lidentit numrique . Ces sept principes, qui sont la base de systmes didentit numrique globaux en cours dexprimentation, comme OpenID ou Windows CardSpace de Microsoft, peuvent se rsumer comme suit 2 : 1. Contrle par lutilisateur et consentement. Lutilisateur doit pouvoir contrler les informations quil divulgue. 2. Divulgation minimale. Un systme didentit numrique quel quil soit ne doit pas divulguer plus dinformations que ncessaire dans un contexte donn. Par exemple, on na pas besoin de dcliner son identit pour boire dans un bar, sauf prouver quon est majeur. 3. Parties lgitimes. Le systme didentit doit tre organis de telle faon quil ne diffuse les informations quaux personnes ayant un motif lgitime les recevoir. Par exemple, au cours dun paiement en ligne, la transaction ne devrait impliquer que lacheteur, sa banque (seul fournisseur didentit lgitime dtenir les coordonnes bancaires) et le cybercommerant (seul consommateur didentit lgitime les lui demander). Les informations divulgues ne doivent circuler quentre ces trois parties. 4. Identit dirige. Kim Cameron distingue les identiants omnidirectionnels, visibles de tous (URL), et les identiants unidirectionnels, limits une transaction prcise et entre des parties connues . Un systme didentit numrique doit proposer les deux types didentiants selon le contexte.
1. http://www.identityblog.com. 2. Kim CAMERON, interview, internetactu.net, juin 2007.

21

LIDENTIT NUMRIQUE EN QUESTION

5. Pluralisme doprateurs et de technologies. Il est inutile de prciser quel serait le danger de voir un seul oprateur et une seule technologie matriser toute lidentit numrique. 6. Intgration humaine. Dune certaine manire, Kim Cameron entend rappeler par ce principe quun systme didentit nest pas seulement technique et organisationnel et quil doit tre centr sur lhomme. 7. Exprience cohrente. Lidentit numrique doit tre pour lutilisateur aussi cohrente que celle en vigueur dans le monde rel. De nombreux systmes pchent par leur extrme complexit. Esprons que ces principes simples deviendront ceux du nouveau monde qui souvre nous, dont lidentit numrique constituera le pilier central.

22

CHAPITRE II

Lanonymat

Le 21 septembre 1998, le quotidien Libration publiait un article intitul Les nouveaux athltes du travail . Interrog par une journaliste, un dirigeant de la socit franaise Ubisoft, lun des principaux diteurs mondiaux de jeux vido, y exposait sa vision de lentreprise moderne : une communaut dhommes et de femmes concentrs sur la seule russite commerciale de la socit, sans soucis pour leur temps de travail et leurs acquis sociaux. En raction cet article, un groupe de salaris dUbisoft lanait, le 15 dcembre 1998, le site Internet Ubifree 1. Le site fermera cent six jours plus tard, le 31 mars 1999. Entre-temps, il aura suscit beaucoup de commentaires et dinterrogations. Lide matresse dUbifree tait rsume dans le titre du message daccueil : Voici venu le temps du syndicat virtuel . Dans une lettre ouverte leur prsident, le groupe de salaris ragissait larticle de Libration : Ces propos sont scandaleux. Ils laissent croire un tat desprit unanime, celui dune collectivit de jeunes imbciles prts tout pour assurer la russite commerciale de lentreprise, obsds par son expansion, nprouvant que du mpris envers leurs droits sociaux les plus lmentaires. Et cest l une reprsentation fantaisiste, mensongre, une reprsentation insultante lgard des employs de votre socit. Vous
1. Le site est accessible titre darchive ladresse http://membres.lycos.fr/ubifree/.

23

LIDENTIT NUMRIQUE EN QUESTION

ignorez, sans doute, quun grand nombre dentre eux sont trs insatisfaits de leurs conditions de travail. Dailleurs comment pourriez-vous en tre inform, puisque la prcarit de la plupart des emplois rend impossible toute forme dexpression individuelle et quil en va de mme lchelle collective de par labsence de reprsentation du personnel ? Monsieur [X (le dirigeant dUbisoft)], ni aucun responsable, nest cens parler au nom de tous. Or le personnel dUbisoft na aucun moyen de se faire entendre. Cette situation est inacceptable. Larticle introductif se concluait ainsi : Ce site accueillera la parole de tous, employs et responsables. Nous nous chargerons de sa mise jour hebdomadaire et assurerons, bien entendu, lanonymat des intervenants. Depuis lors, lauteur des premires pages du site Ubifree a mis n son anonymat : aprs deux ans passs au sein de la socit Ubisoft, il a dmissionn et sexprime rgulirement en public sur cette initiative 1. Communiquer de la sorte, cest--dire de manire anonyme, est-il lgal ? Lanonymat sur Internet a ses partisans et ses dtracteurs, et les dbats entre les uns et les autres sont souvent passionns. Doit-on et peut-on lutter contre lanonymat sur Internet ? Doit-on rendre lanonymat illgal ou, au contraire, doit-on lriger en droit ? Quel est le statut juridique de lanonymat aujourdhui, si toutefois il en possde un ?

Problmatiques de lanonymat
Lanonymat soulve des questions difciles, sur les plans la fois moral, philosophique et juridique 2. Ces questions prennent un relief particulier dans la socit de linformation, dans laquelle les internautes, usagers du tlphone mobile, dtenteurs dune carte bancaire ou dune carte tlphonique et demain dune carte puce sans contact RFID sont continuellement tracs. Lanonymat apparat ds lors comme un recours possible contre les abus du traage. linverse, lanonymat peut tre un masque
1. Pierre MOUNIER, Jrmie Lefebvre : un rebelle chez Ubisoft , www.homo-numericus.net. 2. ric CAPRIOLI, Anonymat et commerce lectronique, Actes des premires journes internationales du droit et du commerce lectronique, octobre 2000.

24

LANONYMAT

derrire lequel dvelopper toute une srie dactes portant atteinte aux droits de tiers (diffamation, injure) ou lordre public. Selon une premire dnition, agir de manire anonyme, cest agir sans laisser de trace 1 . De ce point de vue, lanonymat nexiste pas dans le monde numrique. La grande masse des utilisateurs des rseaux y laisse quantit de traces susceptibles dtre identiantes. Par exemple, accder Internet, cest obligatoirement disposer dune adresse IP mise disposition par un fournisseur daccs. Cette adresse IP est enregistre par les machines du rseau qui identient de la sorte un titulaire, gnralement un fournisseur daccs, lequel sait lui-mme qui ladresse IP a t attribue. De mme, tlphoner consiste le plus souvent utiliser une ligne tlphonique qui identie un abonn enregistr par un oprateur. Selon une autre dnition communment admise 2, lanonymat consiste ne pas se dclarer lauteur dun fait, dun crit . Dans le monde numrique, le recours des pseudos ou des adresses e-mail ne laissant apparatre aucune identit visible peuvent tre les vecteurs dune certaine anonymisation. Notre propos nest pas de nous livrer une apologie de lanonymat. Cependant, dans le contexte actuel de surveillance gnralise dInternet, il faut reconnatre lanonymat la vertu de constituer une protection efcace pour lindividu et ses liberts. Rappelons toutefois que lanonymat doit tre utilis dans les limites de la loi. Lanonymat est dailleurs tout relatif, puisquil peut tre lev par les juges et les tribunaux, qui disposent de prrogatives fortes pour obtenir lidentication dactes anonymes illgaux.

Les sept rgles de lanonymat sur Internet


tre anonyme nest pas tre dnu didentit, mais refuser de divulguer son identit en la masquant. Pour y parvenir dans les rseaux numriques, il faut dployer quantit de ruses et defforts. Certains se cantonnent nutiliser que les accs publics Internet (cybercafs, accs Wi-Fi publics, etc.). Dautres recourent des machines distinctes, lune rserve un
1. Dnition donne par Thierry NABETH et Mireille HILDEBRANDT, Inventory of Topics and Clusters , in Furure of Identity in the Information Society, www.dis.net. 2. Dnition du dictionnaire Larousse universel.

25

LIDENTIT NUMRIQUE EN QUESTION

usage anonyme et nettoye systmatiquement aprs usage de tous cookies et historiques, lautre dusage courant. Pour les utilisateurs de comptence moyenne, voici quelques rgles simples permettant dobtenir un anonymat relatif sur les rseaux numriques.

1. Ne jamais rvler son identit


Pour agir anonymement, il convient autant que possible de ne pas rvler ni agir sous son identit relle. De nombreux services ne requirent aucune identication pralable, ni mme de signature visible. Visiter un site Web, une page personnelle ou un blog ne requiert pas didentication pralable auprs de lditeur du site. Il est mme possible dinteragir avec un service sans fournir didentication. Dune manire gnrale, cest le cas du Web dit 2.0, qui consiste en la mise en commun dinformations issues de contributeurs le plus souvent anonymes. Chacun peut y apporter une contribution non signe, qui apparat comme anonyme, et seule ladresse IP du contributeur est enregistre. Une kyrielle dautres services, tels que forums de discussion ou blogs, invitent leurs visiteurs dposer des contenus (vido, audio, commentaire) sans exiger didentication pralable. Certains services sur le Web exigent une identication pralable. Pour rester anonyme, lutilisateur du service na dautre choix que de dclarer une identit et des attributs qui ne sont pas rels. Pour savoir si une telle manipulation est licite, lutilisateur doit vrier les conditions dutilisation du service quil sengage respecter. Celles de DailyMotion, par exemple, nexigent pas la dclaration dune identit relle 1. En revanche, celles du service concurrent You Tube stipulent que lorsque vous crez votre compte, vous devez fournir des informations compltes et exactes 2 . On peut constater que cette disposition manque de prcision puisquune identit peut tre complte et exacte sans tre ncessairement relle. Selon nous, ds lors quun utilisateur fournit des informations qui le caractrisent, comme un pseudo, il se conforme aux conditions dutilisation de You Tube.
1. http://www.dailymotion.com/legal/privacy (novembre 2007). 2. http://fr.youtube.com/t/terms (novembre 2007).

26

LANONYMAT

Si les conditions dutilisation dun service mentionnent lobligation de dclarer des informations exactes et relles permettant lditeur du site dentrer en contact avec lutilisateur, le fait de dclarer une autre identit que lidentit relle autoriserait lditeur du site suspendre le service lutilisateur. En outre, si une fausse dclaration devait engendrer un prjudice envers lditeur du service ou un tiers, lutilisateur pourrait tre poursuivi et redevable de dommages et intrts. Dans les cas extrmes, la dclaration dune fausse identit peut tre considre comme une escroquerie et relever du droit pnal (voir le chapitre IV).

2. Utiliser un pseudo
Pour cacher son identit relle, il est possible de recourir un pseudonyme, ou pseudo, sans rapport avec lidentit relle de son titulaire. On parle dans ce cas de pseudonymat . Le pseudo permet dinteragir avec le rseau sans rvler son identit relle. Il est trs facile de crer un blog sous un pseudo et de sy exprimer librement sans dvoiler son identit relle. Le clbre blog Journal dun avocat est ainsi sign de Me Eolas 1, pseudonyme dun avocat du barreau de Paris. Prcisons quun pseudonyme nest pas toujours et automatiquement synonyme danonymat. Il nest que de songer lemploi quen font les artistes. Il nen reste pas moins que la pratique nouvelle du pseudo dans un but danonymat est dsormais bien installe sur Internet.

3. Choisir un nom de domaine sans rapport avec son identit relle


La plupart des noms de domaine Internet sont choisis librement. Les units ou bureaux denregistrement de noms de domaine Internet diffusent des annuaires de ces noms de domaine. Appels Whois , ces annuaires, le plus souvent librement accessibles en ligne, renseignent sur les noms des titulaires de noms de domaine Internet. En rgle gnrale, les units denregistrement imposent ces titulaires de dclarer une identit relle. Certaines de ces units ne publient
1. http://www.maitre-eolas.fr/.

27

LIDENTIT NUMRIQUE EN QUESTION

toutefois que partiellement lidentit dclare par le titulaire dun nom de domaine.

4. Recourir aux webmails


Les internautes peuvent utiliser des adresses e-mail sous forme de webmails. Les webmails sont des services dadresses lectroniques gratuites proposs par des socits telles que Yahoo !, Google Gmail ou Windows Live Mail (ex-Hotmail), pour ne citer que les plus emblmatiques. Ils permettent leurs usagers de grer leur courrier partir dune interface Web. Les messages envoys et reus sont stocks sur les serveurs du fournisseur de service. Le compte webmail ncessite un identiant et un mot de passe choisis par le titulaire du compte. Pour bncier dun tel compte, il suft gnralement de dclarer une identit quelconque, qui peut tre un pseudo. Les conditions gnrales de service imposent souvent la dclaration dune identit relle, mais cette obligation contractuelle est peu respecte. La sanction pour le dfaut de dclaration relle se limite lexclusion du service, sauf en cas de fraude. Yahoo ! France oblige linternaute accepter ses conditions gnrales de services avant de lui fournir une adresse webmail et un espace de stockage : Vous vous engagez i) fournir des informations vraies, exactes et compltes, et ii) les maintenir et les remettre jour rgulirement. La fourniture de ces informations et leur maintien jour de faon permettre votre identication sont des conditions dterminantes de votre droit dutiliser le Service 1. On peut obtenir une adresse webmail en quelques minutes seulement. Il suft de se connecter la page daccueil dun de ces fournisseurs, de suivre les instructions, de slectionner le bon service et de fournir des informations personnelles peu ou pas contrles. Ladresse e-mail ainsi que lespace de stockage sont quasiment attribus en temps rel, et ladresse est immdiatement oprationnelle.
1. Conditions dutilisation des services Yahoo ! France (septembre 2007).

28

LANONYMAT

Lorsque les informations personnelles donnes par lutilisateur sont inexactes, celui-ci peut considrer quil peut naviguer et interagir au moyen de cette adresse e-mail de manire anonyme.

5. Accder Internet partir dun accs public


Au premier trimestre de 2006, le Forum des droits sur lInternet 1 valuait trois mille le nombre de points daccs publics Internet en France. Cybercafs, bibliothques, jardins publics dans les grandes villes : les accs publics se multiplient, et cest par millions que les internautes se connectent dsormais Internet par ce biais. la diffrence des accs individuels, rservs aux abonns identis, les accs publics sont ouverts tous, gnralement sans identication pralable.

6. Utiliser un anonymiseur
Le moyen le plus sophistiqu pour obtenir lanonymat est de passer par des sites dits anonymiseurs . Le but de ces sites est de faire chec au systme didentication par adresse IP. Il sagit de permettre linternaute dutiliser un serveur mandataire (proxy en anglais) an de constituer un relais intermdiaire entre lui et le service Internet quil souhaite utiliser. Le service Internet destinataire reoit les requtes par le biais du serveur mandataire et ne dispose ds lors que de ladresse IP de ce dernier. Le site anonymouse.org fournit un service gratuit danonymisation de la navigation Web. Les gures 2.1 2.3 illustrent lutilisation dun anonymiseur.

1. Association cre linitiative du gouvernement Jospin le 14 mars 2006 (www.foruminternet.org).

29

LIDENTIT NUMRIQUE EN QUESTION

Figure 2.1 Informations de traabilit de ladresse IP et de la conguration dun ordinateur connect au site de la CNIL (www.cnil.fr)

Figure 2.2 Processus danonymisation du site anonymouse.org

30

LANONYMAT

Figure 2.3 Informations de traabilit fournies par la CNIL aprs anonymisation de la navigation

Des services commerciaux tels que anonymizer. com confrent une anonymisation plus ou moins efcace. Si la plupart dentre eux permettent lutilisateur de se prsenter comme un internaute auquel est affecte ladresse IP du proxy, certains dentre eux vhiculent dans des en-ttes supplmentaires (notamment le champ HTTP_X_FORWARDED_FOR) des informations quils relayent relatives ladresse IP relle du demandeur. Le chanage de plusieurs de ces systmes permet de renforcer lanonymisation, un proxy tant chan un ou plusieurs autres proxy. Dautres services, appels remailers , permettent une anonymisation de lenvoi des e-mails en retirant de leurs en-ttes les informations permettant den identier lexpditeur. Enn, certains outils danonymisation en peer-to-peer, tels que TOR (The Onion Router), Freenet ou GNUnet, mettent en uvre un routage anonymis et chiffr. Seule ladresse IP du dernier pair est rvle au destinataire nal, les pairs intermdiaires se contentant de relayer les
31

LIDENTIT NUMRIQUE EN QUESTION

requtes chiffres, donc inintelligibles, au pair le plus proche, et ainsi de suite. Il est ds lors trs difcile de remonter la chane des pairs jusqu linitiateur de la requte. Le problme principal de ce type de service est sa lenteur, puisque la requte doit tre relaye n fois avant darriver bon port.

7. Chiffrer (crypter) les communications


Selon la dnition donne par larticle 29 de la LCEN 1, on appelle cryptologie toute technique matrielle ou logicielle permettant de transformer des donnes, quil sagisse dinformations ou de signaux, laide de conventions secrtes ou pour raliser lopration inverse, avec ou sans convention secrte. Le fait de transformer une information claire au moyen de conventions secrtes (cryptographie symtrique) prives ou publiques (cryptographie asymtrique), an de ne pas la rendre accessible au public et/ou pour en garantir lauthenticit, constitue un acte de cryptologie. Pendant trs longtemps, la cryptologie a t considre comme une arme de guerre. Son statut a ensuite volu, dabord en 1990 puis en 1996, loccasion de diffrentes lois de libralisation du secteur des tlcommunications 2. Le rgime de la cryptologie est aujourdhui quasi libralis. Les e-mails envoys en clair sur les rseaux sont susceptibles dtre intercepts. La cryptographie permet de rserver la lecture des e-mails aux seuls destinataires choisis par lexpditeur. Il est recommand de chiffrer (crypter) galement les chiers attachs aux e-mails.

Vers un droit lanonymat ?


Les partisans de lanonymat dans les rseaux numriques souhaitent quil soit protg par la loi ou, tout le moins, quil ne soit pas interdit. Ils font valoir ce titre plusieurs arguments.
1. Loi n 2004-575 du 21 juin 2004, dite Loi pour la conance dans lconomie numrique. 2. Loi n 90-1170 du 29 dcembre 1990 sur la rglementation des tlcommunications et loi n 96-659 du 26 juillet 1996 de rglementation des tlcommunications.

32

LANONYMAT

Dabord, lanonymat rpond la volont dclare des citoyens de ne pas laisser leurs donnes caractre personnel en libre accs, au risque de les voir happes par de gigantesques bases de donnes, commencer par celles des moteurs de recherche de type Google. Il est incontestable que nos donnes caractre personnel sont devenues lenjeu dune marchandisation de grande ampleur. La face immerge de liceberg est le Spam, ou message non sollicit, ces centaines de-mails qui polluent nos botes lettres lectroniques. La collecte dadresses lectroniques est le pralable ncessaire ces agissements, laquelle collecte se fait le plus souvent de manire illicite, sans notre accord pralable. Laisser notre adresse e-mail sur un forum de discussion, signer une contribution sur un blog, acheter un nom de domaine et une ou plusieurs adresses e-mail associes nous font courir le risque de voir notre adresse aspire et, par voie de consquence, notre bote lettres lectroniques dborder de messages non sollicits. Lanonymat est la meilleure dfense contre de telles pratiques. Ceux quon commence appeler les marchands de vie prive peuvent toutefois se montrer plus subtils. Ils nous observent lorsque nous naviguons sur Internet. Les moyens quils utilisent pour cela sont multiples. Ils vont du cookie 1 des techniques permettant didentier la langue utilise par le navigateur du visiteur, le pays partir duquel celui-ci sest connect, voire ladresse IP utilise, les habitudes de connexion, dachat, etc. Ces informations ont beau tre partielles, puisque couples une identication, elles nen ont pas moins une forte valeur marchande,

1. Voici la dnition quen donne lencyclopdie en ligne Wikipdia : Les cookies sont de petits chiers texte stocks par le navigateur Web sur le disque dur du visiteur dun site Web qui servent (entre autres) enregistrer des informations sur le visiteur ou sur son parcours dans le site. Le webmestre peut ainsi reconnatre les habitudes dun visiteur et personnaliser la prsentation de son site pour chaque visiteur ; les cookies permettent alors de garder en mmoire combien darticles il faut afcher en page daccueil ou encore de retenir les identiants de connexion une ventuelle partie prive : lorsque le visiteur revient sur le site, il ne lui est plus ncessaire de taper son nom et son mot de passe pour se faire reconnatre, puisquils sont automatiquement envoys par le cookie.

33

LIDENTIT NUMRIQUE EN QUESTION

car elles permettent dtablir un prol de consommation qui intresse les professionnels du marketing 1. L encore, la seule solution pour lutter contre ces pratiques est lanonymat, et cest pourquoi il doit tre prserv et protg par la loi. Un autre argument avanc par les dfenseurs de lanonymat sur Internet tient au syndrome Big Brother. Ce nest plus le dmarchage commercial non sollicit qui est en cause ici, mais la peur du contrle. Pour contrler une population entire, il faut dabord identier qui fait quoi et o. Cette volont de contrle est vidente dans les tats non dmocratiques. Mais mme dans une dmocratie, les citoyens peuvent faire lobjet de pressions ou dintimidations. Protg par lanonymat, un citoyen anonyme doit pouvoir exprimer sans crainte ses positions, tout en tant labri de pressions, parfois mme de poursuites judiciaires inities dans le seul but de le faire taire. Ctait largument avanc par le site Internet Ubifree pour justier lanonymat de ses contributeurs. Sils avaient t identis, ceux-ci auraient pu encourir la sanction de leur employeur. Lassociation Reporters sans frontires 2 recommande ainsi expressment le recours lanonymat pour la mise en uvre de blogs dans les pays o la libert dexpression nest pas garantie an dchapper la censure et la rpression. Certains vont plus loin et revendiquent pour lanonymat le statut de droit constitutionnel. Aux tats-Unis, un fort courant universitaire appelle faire reconnatre le droit lanonymat par la Constitution 3, au mme titre que la libert de pense et dexpression. Le professeur Lawrence Lessig, de la Harvard Law School de Boston, prtend quant lui que la suppression de lanonymat porterait atteinte aux principes dgalit de

1. Arnaud BELLEIL, E-Privacy, le march des donnes personnelles : protection de la vie prive lge dInternet, Dunod, 2001. 2. Reporters sans frontires, Guide pratique du blogger et du cyberdissident, 2004 (disponible en PDF sur le site de lassociation, ladresse www.rsf.org). 3. Julie E. COHEN, A Right to Read Anonymously : a Closer Look at Copyright Management in Cyberspace , Connecticut Law Review, n 28, 1996.

34

LANONYMAT

la socit. Lidentication pralable des internautes amnerait les diffrents services du rseau distinguer et mme discriminer entre ceux qui les intressent, cest--dire ceux fort pouvoir dachat, systmatiquement favoriss, et les autres.
Quand les grandes marques jouent lanonymat
Le marketing invisible, ou furtif (stealth marketing), est une nouvelle technique consistant, pour des agences de publicit, sintroduire dans des forums, crer des blogs, etc., pour le compte de marques, sans jamais rvler leur vritable dessein. Elles tablissent ainsi une relation avec des internautes pour les pousser lachat sous couvert dun discours bien videmment favorable la marque. Nous nessayons pas de censurer la critique, mais plutt de la diluer dans un ot de buzz positif , a dclar Franois Collet, responsable de lagence Heaven, qui dclare tre intervenu de cette manire pour la XBox de Microsoft1.

Du ct des opposants lanonymat sur Internet, on invoque dabord ses limites. Les boutiques en ligne, par exemple, en tant que commerce distance, requirent une identication pralable. Gnraliser lanonymat et lriger en droit serait, selon eux, condamner les achats sur Internet, alors quils constituent lun des principaux facteurs de diffusion de laccs au rseau au plus grand nombre. La criminalit et le terrorisme sont dautres limites videntes lanonymat. Pour les services de police et de justice, lanonymat sur Internet et la volatilit des informations numriques sont des cueils majeurs. Les dtracteurs de lanonymat dnoncent en outre la possibilit offerte ainsi aux internautes dassouvir leurs fantasmes les plus sombres. La libert qui leur est donne tant sans limite, elle peut encourager et faciliter les comportements dviants, inciviques, voire dlictueux ou criminels. Enn, lanonymat est souvent associ par ses opposants la dlation et aux attaques personnelles, la manire des lettres anonymes , et rime avec irresponsabilit et lchet.
1. Yves EUDES, Le Monde, 1er fvrier 2005, cit par Viviane MAHLER, Souriez, vous tes cibls, Albin Michel, 2007.

35

LIDENTIT NUMRIQUE EN QUESTION

La position de la loi
Disons-le sans dtour : lanonymat sur les rseaux nest pas hors la loi, condition quil ne serve pas de support des activits illicites. Par exemple, le dlit descroquerie est dni par larticle 313-1 du Code pnal comme le fait, soit par lusage dun faux nom ou dune fausse qualit, soit par labus dune qualit vraie, soit par lemploi de manuvres frauduleuses, de tromper une personne physique ou morale et de la dterminer ainsi, son prjudice ou au prjudice dun tiers, remettre des fonds, des valeurs ou un bien quelconque, fournir un service ou consentir un acte oprant obligation ou dcharge . Le recours lanonymat peut soutenir de telles manuvres frauduleuses , caractrisant le dlit descroquerie, si la recherche de lanonymat visait intentionnellement commettre un dlit. Cela dit, aucun texte de loi ne condamne par avance lanonymat. Il nexiste pas non plus de texte de loi lui reconnaissant expressment une validit juridique. Ni condamn, ni reconnu, lanonymat vit donc en droit dans une sorte de clandestinit. En labsence de texte rpressif, on pourrait certes estimer que lanonymat est lgal en droit franais, mais, comme nous allons le voir, labsence de reconnaissance explicite engendre des hsitations lgislatives uctuant au gr des contextes et des poques. On peut observer deux grands mouvements juridiques contradictoires. Lun considre lanonymat comme le garant de la protection des liberts individuelles et du respect de la vie prive. Cet esprit se retrouve dans la loi informatique et liberts de 1978 1, dont larticle 28 prvoit que toute personne physique a le droit de sopposer, pour des motifs lgitimes, ce que des donnes caractre personnel la concernant fassent lobjet dun traitement . La notion de motifs lgitimes a t abondamment commente 2 et analyse par les tribunaux. Tous
1. Loi n 78-17 du 6 janvier 1978 relative linformatique, aux chiers et aux liberts, modie par la loi n 2004-801 du 6 aot 2004 relative la protection des personnes physiques lgard des traitements de donnes caractre personnel. 2. Andr DE LAUBADRE, Loi relative linformatique, aux chiers et aux liberts, AJDA, 1978 ; Xavier LINANT DE BELLEFONDS, Alain HOLLANDE, Pratique du droit de linformatique, Delmas, 2002.

36

LANONYMAT

considrent quelle sapprcie au cas par cas mais peut parfaitement recouvrir la volont dune personne quon respecte sa vie prive. Certaines lgislations spciques protgent expressment lanonymat. Tel est le cas du Code de la proprit intellectuelle, qui prvoit le cas des uvres anonymes. Larticle L113-6 de ce code prvoit ainsi que cest lditeur ou le producteur qui reprsente lauteur anonyme, tant que celui-ci na pas dclar son identit. Le code prvoit dailleurs dans ce cas une dure de protection spcique de soixante-dix ans aprs premire publication dune uvre et non de soixante-dix ans aprs la date de dcs de lauteur, laquelle nest pas connue. Le second mouvement lgislatif et jurisprudentiel oppos lanonymat a pris de lampleur dans la priode rcente grce ou cause dInternet. Il sest notamment signal en France avec larrt altern.org/Estelle H. du 10 fvrier 1999 1. Altern.org tait un hbergeur gratuit qui avait pris le parti daccepter des hbergements sans identier ses clients. Mademoiselle Estelle H., lpoque pouse bien connue dun grand chanteur franais, se plaignait que sept photos prives la reprsentant taient hberges par altern.org. Ce dernier ntait ni lauteur des clichs, ni lditeur des pages. La cour dappel a pourtant retenu son encontre quen offrant, comme en lespce, dhberger et en hbergeant de faon anonyme, sur le site altern.org quil a cr et quil gre, toute personne qui, sous quelque dnomination que ce soit, en fait la demande aux ns de mise disposition du public ou de catgories de publics, de signes ou de signaux, dcrits, dimages, de sons ou de messages de toute nature qui nont pas le caractre de correspondances prives, altern.org excde manifestement le rle technique dun simple transmetteur dinformations et doit, dvidence, assumer lgard des tiers aux droits desquels il serait port atteinte dans de telles circonstances, les consquences dune activit quil a, de propos dlibrs, entrepris dexercer dans les conditions susvises . Altern.org a t condamn prs de 50 000 euros de dommages et intrts (300 000 francs titre principal), ce qui constituait un trs lourd quantum
1. CA de Paris, arrt du 10 fvrier 1999, Estelle H./Valentin (www.legalis.net).

37

LIDENTIT NUMRIQUE EN QUESTION

pour quelques photos prives et un hbergement gratuit. Il est vident que le recours une prestation anonyme a fortement et ngativement inuenc la cour. La volont de lutter (sans le dire) contre lanonymat se retrouve dans la lgislation europenne, qui impose lobligation didentication au commerant lectronique et au responsable de la publication dune communication publique par voie lectronique, autrement dit tout site Web, page personnelle ou blog. Le statut du commerce lectronique est encadr par une directive communautaire du 8 juin 2000 1, qui institue au sein du march intrieur europen un cadre garantissant la scurit juridique et la transparence du commerce lectronique pour les entreprises ainsi que pour les consommateurs. En France, ces dispositions ont t transposes dans la LCEN le 21 juin 2004 2, qui dnit le commerce lectronique comme lactivit conomique par laquelle une personne propose ou assure distance et par voie lectronique la fourniture de biens ou de services . Larticle 19 de cette loi impose au cybercommerant des obligations didentication et de transparence et le place en situation dillgalit sil ne sidentie pas selon les critres imposs. Lanonymat devient donc hors la loi dans ces cas prcis. Les mentions obligatoires didentication sont la raison sociale ou les nom et prnoms des commerants personnes physiques, leur lieu dtablissement, leur adresse de courrier lectronique, ainsi que leurs coordonnes tlphoniques, leur numro dinscription au registre du commerce ou au registre des mtiers, leur capital social, ladresse de leur sige social, leur numro de TVA intracommunautaire et enn, le cas chant, lautorit laquelle leur activit est soumise sil sagit dune activit rglemente. Malgr ces obligations lgales, nombreux sont les commerants sur Internet qui persistent rester dans lanonymat, soit par volont, soit par
1. Directive 2000/31/CE du Parlement europen et du Conseil du 8 juin 2000 relative certains aspects juridiques des services de la socit de linformation, et notamment du commerce lectronique, dans le march intrieur. 2. Loi n 2004-575 du 21 juin 2004, dite loi pour la conance dans lconomie numrique (LCEN).

38

LANONYMAT

ignorance de la loi. Le rapport de la DGCCRF (Direction gnrale de la concurrence de la consommation et de la rpression des fraudes) de 2006 fait un constat rvlateur concernant ces mentions obligatoires 1. Sur un total de 5 038 oprations de contrle effectues en 2006, la DGCCRF a constat quun tiers des socits contrles se trouvaient en infraction pour certaines mentions obligatoires. Les secteurs les plus surveills sont les loteries et concours, les sonneries tlphoniques et lhtellerie en ligne. Aprs contrle, prs de 90 % des entreprises se seraient mises en conformit avec la loi. Selon ces mmes dispositions, le commerant sur Internet doit permettre un accs facile, direct et permanent utilisant un standard ouvert 2 . La mention standard ouvert a pour objet dviter que lutilisateur soit contraint dacqurir des logiciels spciques pour accder des informations obligatoires. A priori, un lien hypertexte sur la page daccueil sufrait satisfaire cette obligation 3. Dautres dispositions lgales destines lutter contre lanonymat sont insres dans la LCEN du 21 juin 2004. Elles ont trait au droit de la presse et concernent tous les sites Web, dont les responsables deviennent, au regard de la loi et par la seule mise disposition du public des contenus de leur site, des directeurs de publication. La loi distingue selon que lditeur du site est un professionnel ou non. Un diteur est considr comme professionnel ds lors que son activit est dditer un service de communication au public en ligne . Sagissant de lditeur non professionnel, la loi le soumet des obligations de dclaration minores. Fait remarquable et symptomatique, la loi reconnat cet diteur non professionnel le droit de prserver son anonymat , tout en le soumettant des obligations de dclaration 4. Le tableau 2.1 rcapitule les obligations des uns et des autres en matire didentication.
1. Bilan 2006 du rseau de surveillance Internet de la DGCCRF disponible ladresse http://www.mine.gouv.fr/directions_services/dgccrf. 2. Art. 19 de la LCEN. 3. Christiane FRAL-SCHUHL, Journal du Net, 15 dcembre 2004. 4. Art. 6, III, 2 de la LCEN.

39

LIDENTIT NUMRIQUE EN QUESTION


Tableau 2.1 Obligations didentication des diteurs de site Web
Situation juridique diteur personne physique professionnel (article 6.III.1a LCEN) Obligations de mise dispositiona Nom Prnom Domicile Numro de tlphone Numro dinscription au RCS ou au registre des mtiers Noms des directeur, codirecteur de publication et responsable de la rdaction Nom, dnomination ou raison sociale et numro de tlphone de lhbergeur Dnomination ou raison sociale Sige social Numro de tlphone Numro dinscription au RCS ou au registre des mtiers Capital social Adresse Noms des directeur, codirecteur de publication et responsable de la rdaction Nom, dnomination ou raison sociale et numro de tlphone de lhbergeur Nom, dnomination ou raison sociale et adresse de lhbergeur, sous rserve de lui avoir communiqu tous les lments didentication personnelle prvus ci-avant pour lditeur personne physique professionnel

diteur personne morale professionnel (article 6.III.1b LCEN)

diteur non professionnel (article 6.III.2 LCEN)

a. Dcret n 2007-750 du 9 mai 2007, qui ajoute lobligation de mettre en ligne le numro Siren pour les entreprises.

Lindication de ces mentions obligatoires a pour objectif principal de permettre aux tiers dexercer un droit de rponse ou de notier la mise en ligne dun contenu illicite. Certains auteurs ont dnonc la quasi-inexistence de sanctions en cas de non-respect des obligations didentication 1. En ralit, le manquement ces obligations est puni dune amende pouvant aller jusqu 750 euros par infraction constate (contravention de 4e classe) 2. De plus,
1. Cdric MANARA, Mentions lgales dun site Web, gare aux contraventions , Journal du Net, 21 mai 2007. 2. Art. 131-13 du Code pnal et R.123-237 du Code du commerce.

40

LANONYMAT

et surtout, si cette obligation didentication fait dfaut et que cette absence cre un prjudice une personne en particulier, tel que limpossibilit de faire jouer un recours, la victime peut en obtenir rparation en justice.

Un anonymat bien tempr


Au regard des textes et de la jurisprudence, lanonymat sur les rseaux numriques doit tre tempr pour au moins deux motifs. Limmense majorit des internautes souscrit un abonnement auprs dun fournisseur daccs, ou FAI, pour accder au rseau. Il en va de mme pour la tlphonie mobile. Les FAI et oprateurs ont lobligation de se dclarer auprs de lArcep (Autorit de rgulation des communications lectroniques et des postes). Larticle L33-1 du CPCE (Code des postes et des communications lectroniques) dispose que ltablissement et lexploitation des rseaux ouverts au public et la fourniture au public de services de communications lectroniques sont libres sous rserve dune dclaration pralable auprs de lAutorit de rgulation des communications lectroniques et des postes . Le mme code prvoit que le dfaut de dclaration est puni de peines maximales dun an demprisonnement et de 75 000 euros damende. Les oprateurs sont donc clairement recenss et identis. Ils sont lis leurs clients par contrat, et les clients sont identis avec certitude, ne serait-ce que pour des questions de paiement. Un FAI attribue chaque client des donnes techniques de connexion nominatives (ligne tlphonique, compte, etc.). chaque connexion, les serveurs du FAI attribuent automatiquement au client une adresse IP parmi la plage dadresses IP qui lui ont t attribues. Avec cette adresse IP, le client signe chacune de ses interactions sur le rseau Internet. Comme on le voit, on est trs loin de lanonymat Le lgislateur a parfaitement compris cette dimension technique puisquil la intgre sa faon dans la loi. Prenant acte de limpossibilit dimposer, sauf des personnes ayant un moment donn un statut particulier sur Internet, lidentication pralable, il a impos, dans des cas qui sont
41

LIDENTIT NUMRIQUE EN QUESTION

loin dtre dnis avec prcision, la collecte obligatoire des donnes techniques de connexion aux oprateurs 1 et toute personne dont lactivit est doffrir un accs des services de communication au public en ligne et celles qui assurent, mme titre gratuit, pour mise disposition du public par des services de communication au public en ligne , lobligation de dtenir et conserver les donnes de nature permettre lidentication de quiconque a contribu la cration du contenu ou de lun des contenus des services dont elles sont prestataires 2. BNP Paribas a t condamne par la cour dappel de Paris 3 pour navoir pu produire de telles donnes de connexion en justice, les juges considrant que la banque donnait accs Internet ses salaris et tait donc redevable de cette obligation. Sils conrment cette jurisprudence, les tribunaux auront dnitivement condamn lanonymat sur les rseaux numriques, imposant toutes les organisations, entreprises et administrations de surveiller et collecter les donnes de toutes personnes auxquelles elles donnent accs au rseau.

En conclusion
Lanonymat sur les rseaux numriques vit au moins trois paradoxes : Internet, le premier de ces rseaux, a t conu pour prserver lanonymat. Cest l une des explications de son succs. Pourtant, jamais citoyens, utilisateurs, consommateurs, salaris nauront t autant traqus du fait des moyens que ce rseau procure en termes de traabilit. ce jour, lanonymat est un moyen de dfense efcace du citoyen contre la marchandisation et le contrle de la vie prive. Pourtant, la loi, expression de lintrt gnral, sans rendre illgale la pratique de lanonymat, la pourchasse en secret. Le lgislateur impose en effet aux oprateurs et toutes les organisations donnant accs au rseau
1. Art. L34-1 du Code des postes et des communications lectroniques et dcret n 2006-358 du 24 mars 2006 relatif la conservation des donnes des communications lectroniques. 2. Loi n 2004-575 du 21 juin 2004 (LCEN). 3. CA de Paris, 4 fvrier 2005, arrt publi en intgralit sur le site du Forum des droits sur lInternet (www.foruminternet.org).

42

LANONYMAT

ou stockant des donnes de surveiller, tracer et conserver toutes les donnes didentication. Compte tenu de cette obligation didentication sous peine de sanctions pnales, les acteurs professionnels sorganisent pour tracer les ux. De ce fait, ils organisent la lutte contre lanonymat. Lanonymat na pas de statut juridique. Cette situation cre une ambigut que lon retrouve jusque dans la Ntiquette , ces rgles de bonne conduite sans valeur juridique, conues lorigine essentiellement pour les groupes de discussion ou newsgroup 1. Larticle 3.1.1 xant les rgles gnrales pour les listes de diffusion stipule que les postages via des serveurs danonymat sont accepts dans certains groupes de nouvelles et dsapprouvs dans dautres . On ne saurait tre moins prcis Le droit franais ne pourra se passer longtemps dafrmer clairement sa doctrine sur la lgalit ou non de lanonymat. Cette question fondamentale gt au cur de toutes les problmatiques de la socit de linformation (droit dauteur, vie prive, etc.). Elle pourrait bien devenir demain le pivot de nos liberts individuelles et collectives. Si le droit lanonymat nest pas absent de la loi informatique et liberts, il nest pas pour autant clairement afrm. Pour notre part, nous militons pour que lanonymat soit lev au rang de droit constitutionnel, de droit de lhomme. Un tel droit devrait, par exemple, imposer lanonymisation par dfaut ou lobligation pour les fournisseurs daccs de conserver anonyme toute donne collecte. Le commerce na rien craindre de cette volution. Il devra simplement organiser un march de lidentication pour rendre des services ou vendre des produits. Quant aux autorits publiques, elles ne devraient rien avoir craindre non plus de cette situation. Lanonymat pourrait tre lev dans des circonstances particulires et sous le contrle dun juge, seul capable de vrier lusage non abusif de toute demande tendant lever un anonymat. Finalement, le droit lanonymat nest-il pas le meilleur atout pour que la conance sinstalle durablement dans les rseaux numriques ?
1. RFC 1855, Netiquette Guidelines , traduite par Jean-Pierre Kuypers.

43

CHAPITRE III

Sur mes traces

World Press Online est une agence de presse prsente dans de nombreux pays. Le 8 dcembre 2003, deux de ses agents, reprsentant le groupe en Allemagne, Suisse et Autriche pour lun et aux tats-Unis pour lautre, reoivent un e-mail leur annonant la fermeture prochaine de la socit. Linformation a de quoi surprendre. Elle est en fait errone et a manifestement pour but de dstabiliser les relations de World Press Online avec ses agents. Ladresse utilise par lmetteur de le-mail est distribue par Yahoo ! et est de type pseudo@yahoo.fr. World Press Online obtient de Yahoo ! ladresse IP du corbeau qui a cr le compte partir duquel a t mis le message frauduleux. Cette adresse IP identie lordinateur dune banque, BNP Paribas. Pour retrouver le corbeau, il reste World Press Online trouver qui, la BNP, a attribu cette adresse IP au jour et heure dits, probablement lun de ses salaris. Interroge par lettre recommande avec accus de rception le 20 fvrier 2004 puis par une sommation dlivre par huissier de justice le 24 juin 2004, BNP Paribas ne rpond pas. World Press Online dcide de saisir en procdure durgence (rfr) le tribunal de commerce de Paris. Le 12 octobre 2004, ce dernier fait droit la requte et ordonne la BNP de rpondre la socit World Press Online sous astreinte de 200 euros par jour de retard pendant trente jours pass un dlai de huit jours aprs la signication de lordonnance [] en particulier de communiquer lidentit
45

LIDENTIT NUMRIQUE EN QUESTION

et plus gnralement toute information de nature permettre lidentication de lexpditeur du message lectronique du 8 dcembre 2003 . En excution de cette ordonnance, BNP Paribas adresse, le 2 novembre 2004, World Press Online un courrier dans lequel elle indique ne pas tre en mesure de dire qui elle a attribu en interne ladresse IP releve par Yahoo ! dans la mesure o ladresse IP [xxx] correspond une machine qui concentre tous les ux de la navigation entre les postes du groupe BNP en France et pour partie ltranger . BNP Paribas nest donc pas en mesure daider World Press Online identier lauteur du message en litige. La question pose la justice, et laquelle la cour dappel de Paris rpondra, est dune porte qui dpasse le cadre de ce litige : BNP Paribas a-t-elle lobligation de dtenir cette information et de la communiquer World Press Online ? Si la rponse est positive, cela signie que la BNP se doit de tracer tous les ux sortant de ses machines qui changent en interne et avec lextrieur. Larrt de la cour dappel de Paris du 4 fvrier 2005 1 afrme : La socit BNP Paribas est tenue, en application de larticle 43-9 de ladite loi [loi du 1er aot 2000], de dtenir et conserver les donnes de nature permettre lidentication de toute personne ayant contribu la cration dun contenu des services dont elle est prestataire et, dautre part, communiquer ces donnes sur rquisitions judiciaires. Cet arrt provoque aussitt de vives ractions. Nous sommes tous des FAI , titre le blog ouvaton , reprochant la cour davoir assimil BNP Paribas un fournisseur daccs Internet. Le Forum des droits sur lInternet diffuse un communiqu dont le titre rsume parfaitement la situation : Accs tu donneras, donnes tu conserveras. Pourtant, la cour dappel na fait dans ce cas quappliquer la loi. La traabilit est obligatoire, ont afrm les juges. Sommes-nous ds lors entrs dans une socit de surveillance sans en avoir une relle conscience ? Le prsident de la CNIL le reconnatra lui-mme dans le rapport annuel de

1. Arrt publi en intgralit sur le site du Forum des droits sur lInternet (www.foruminternet.org).

46

SUR MES TRACES

cette institution au titre de lanne 2006 1. Le fait est que les moyens de communication lectronique actuels, Internet et services mobiles en tte, et de demain, avec la RFID et les nanotechnologies, organisent une surveillance des populations de plus en plus invisible.

Obligations lgales de conserver les traces


Deux textes de loi diffrents imposent la conservation des traces, communment appeles donnes techniques de connexion. Nous allons voir tout la fois que les justications apportes ces obligations de traage sont diffrentes selon les textes, que les populations concernes sont beaucoup plus diverses quon ne le croit et que les obligations en question concernent bien plus que de simples donnes de connexion. La loi prvoit dans tous les cas des sanctions pnales (peines demprisonnement et amendes) pour les contrevenants. La premire de ces obligations gure larticle L34-1 du Code des postes et des communications lectroniques (CPCE), lancien Code des postes et tlcoms : pour les besoins de la recherche, de la constatation et de la poursuite des infractions pnales, et dans le seul but de permettre, en tant que de besoin, la mise disposition de lautorit judiciaire dinformations , les oprateurs de communications se voient imposer de conserver certaines catgories de donnes techniques . La population concerne est parfaitement identie : il sagit des oprateurs de communications lectroniques, cest--dire les anciens oprateurs de tlcommunications (Orange France Tlcom, SFR, Neuf Cegetel, Tele2, etc.) et les fournisseurs daccs Internet. Ces acteurs disposent dun statut. Ils ont lobligation de se dclarer auprs de lAutorit de rgulation des communications lectroniques et des postes (Arcep), qui tient jour la liste des oprateurs sur son site Web 2, et payent cette dernire des taxes administratives en fonction de leur chiffre daffaires. En particulier, ils contribuent nancirement au service universel (droit au tlphone,
1. 27e rapport dactivit (2006) de la CNIL Alerte la socit de surveillance , questions Alex Trk, prsident de la CNIL, p. 11. 2. www.arcep.fr.

47

LIDENTIT NUMRIQUE EN QUESTION

cabines publiques tlphoniques, etc.), toujours gr par Orange France Tlcom ce jour. Bien que les oprateurs soient parfaitement identis et encadrs par la loi, larticle L34-1 du CPCE ne prcise ni la dure ni la nature exacte des donnes techniques quils doivent conserver. Ces prcisions ont t apportes par un dcret du 24 mars 2006 1 pris en application de larticle L34-1 du CPCE : la dure de conservation des donnes techniques est xe un an compter du jour de leur enregistrement. Au-del, loprateur a lobligation de les dtruire. Le dcret dnit aussi les types de donnes concernes par la conservation, mais il est rdig dune telle faon que toutes les informations dtenues par les oprateurs sont vises, y compris les donnes purement administratives (voir tableau 3.1).
Tableau 3.1 Donnes de communications lectroniques conserver obligatoirement par les oprateurs (dcret n 2006-358 du 24 mars 2006)
a) Les informations permettant didentier lutilisateur. b) Les donnes relatives aux quipements terminaux de communication utiliss. c) Les caractristiques techniques ainsi que la date, lhoraire et la dure de chaque communication. d) Les donnes relatives aux services complmentaires demands ou utiliss et leurs fournisseurs. e) Les donnes permettant didentier le ou les destinataires de la communication. f) Pour la tlphonie seulement, en plus des donnes listes prcdemment, celles permettant didentier lorigine et la localisation de la communication.

La lecture des donnes numres par le dcret comme techniques a de quoi tonner. Dans la catgorie des informations permettant didentier lutilisateur , il semble que de simples donnes administratives, comme les donnes sollicites par loprateur pour louverture dune ligne (nom, prnom, adresse), soient considres comme des donnes techniques de connexion. En ralit, le dcret oblige loprateur conserver toutes les
1. Dcret n 2006-358 relatif la conservation des donnes des communications lectroniques.

48

SUR MES TRACES

donnes en possession desquelles il se trouve et, surtout, les produire sur demande : un juge dinstruction, le parquet ou un simple plaignant quel quil soit, autoris en justice au vu dune simple requte, peuvent obtenir en toute lgalit ces informations dun oprateur. Le dcret dispose que les oprateurs sont ddommags par ltat lorsquils sont requis par une autorit judiciaire pour fournir des donnes conserves. Enn, larticle L30-3 du CPCE prvoit une peine demprisonnement maximale dun an et une amende maximale de 75 000 euros pour les oprateurs qui ne respecteraient pas la conservation des donnes techniques de connexion dans les conditions lgales. Un second texte de loi, dune nature et dune justication nettement diffrents du premier, impose la conservation des donnes. Selon larticle 6, II, de la loi du 21 juin 2004 (LCEN) 1, les personnes dont lactivit est doffrir un accs des services de communication au public en ligne et celles qui assurent, mme titre gratuit, pour mise disposition du public des services de communication au public en ligne ont lobligation de dtenir et conserver les donnes de nature permettre lidentication de quiconque a contribu la cration du contenu ou de lun des contenus des services dont elles sont prestataires . Dans ce texte, le fondement de la conservation des donnes est tout autre que la lutte contre la dlinquance pnale. Il sagit en ralit de limiter les atteintes aux droits de tiers diffams ou injuris en public sur les rseaux. Le texte prvoit des sanctions pnales dun an demprisonnement et de 75 000 euros damende 2 et prcise quun dcret du Conseil dtat aprs avis de la CNIL viendra dnir les donnes concernes, ainsi que leur dure et les modalits de leur conservation. ce jour, aucun dcret na t publi. Pour ajouter la confusion, le texte qualie ces donnes dlments dinformation , faisant douter de leur caractre technique. Par rapport aux dispositions du Code des postes et des communications lectroniques, deux termes importants font dfaut dans ce texte : oprateurs et donnes techniques . Autrement dit qui est concern par
1. Loi n 2004-575 du 21 juin 2004 (LCEN). 2. Article 6, VI, de la LCEN.

49

LIDENTIT NUMRIQUE EN QUESTION

lobligation de conserver quoi ? Cest ce texte qui a t appliqu par la cour dappel de Paris dans le cas rapport en dbut de chapitre et qui a abouti la condamnation de BNP Paribas 1. la diffrence des dispositions du CPCE, on se trouve dans une rglementation la fonction et non par rapport un statut prdtermin. En dautres termes, toute personne qui endosse la fonction de fournisseur daccs Internet ou de fournisseur dhbergement est tenu par lobligation de conservation. Et ce, mme si, sur un plan technique, elle nassure aucune de ces deux fonctions. Dans de telles conditions, une entreprise vis--vis de ses salaris, un tablissement scolaire vis--vis de ses lves ou des parents vis--vis de leurs enfants peuvent tre considrs comme des fournisseurs daccs ou des hbergeurs et se trouver dbiteurs de lobligation pnalement sanctionne en cas de violation. On peut stonner dune telle acception, mais elle correspond ltat desprit du lgislateur des annes 2000, dsempar face un outil dont il a le sentiment quil lui chappe.
Puces RFID et golocalisation
Les puces RFID font une perce inattendue dans le grand public : dans un grand magasin de Villeneuve-dAscq, dans le Nord, trois mille personnes se sont inscrites un systme de paiement par bracelet lectronique ; dans une bote de nuit de Barcelone, le statut de VIP a t accord aux ftards qui acceptent de se laisser implanter sous la peau une puce de crdit de 1 000 euros pour payer leurs consommations. En France, la carte Navigo de la SNCF et de la RATP est la premire application grand public de la golocalisation2. La CNIL a lanc en 2005 une consultation sur la golocalisation en entreprise pour localiser transporteurs, commerciaux, etc. La golocalisation des objets utiliss par les salaris, et donc indirectement des salaris eux-mmes, ncessite des formalits lgales pralables : information des salaris (afchage, notes de services) et consultation des organismes reprsentatifs du personnel. Il ne sagit pas pour lentreprise de recueillir un accord mais dinformer les salaris et leurs reprsentants de la prise de connaissance ventuelle de lemployeur de donnes les concernant.

1. Dans cette affaire, la cour na pas fait application de la LCEN mais dune loi qui lui est antrieure reprise par la LCEN : la loi n 2000-719 du 1er aot 2000 modiant la loi n 86-1067 du 30 septembre 1986 relative la libert de communication. 2. V. MAHLER, Souriez, vous tes cibls, op. cit.

50

SUR MES TRACES


De manire gnrale, lentreprise qui envisage de recourir la golocalisation doit le justier. Le contrle opr par ce moyen peut tre jug disproportionn et donc illgal par un tribunal. En outre, si les donnes issues de la golocalisation font lobjet dune collecte, dun enregistrement ou dun traitement, lemployeur doit satisfaire aux obligations prescrites par la loi informatique et liberts.

Cybersurveillance sur le lieu de travail


Les employeurs ont depuis longtemps manifest la volont de surveiller lusage par les salaris des moyens mis leur disposition. La loi reconnat dailleurs cette surveillance licite, par principe, dans le cadre du pouvoir de direction de lemployeur. Les technologies de linformation des annes 2000 vont cependant donner un nouvel essor cette surveillance, appele cybersurveillance car elle se concentre sur les technologies et services Internet (Web et e-mail). Les employeurs justient la cybersurveillance par le risque juridique nouveau cr par lutilisation dInternet sur le lieu de travail. On parle de lutte contre la fraude interne, Internet ntant quun des moyens de cette fraude. Il est vrai que lavnement dInternet dans les entreprises a signi louverture de leur systme dinformation sur lextrieur. Les deux services les plus populaires dInternet, le Web et le-mail, sont massivement utiliss sur le lieu de travail pour des besoins professionnels mais aussi personnels. Les ux entrants, chiers tlchargs, e-mails avec chiers attachs notamment se sont multiplis. Certains de ces ux peuvent poser problme sur le plan lgal et engager la responsabilit juridique de lemployeur lorsquil sagit dimages pdophiles tlcharges ou de musiques ou vidos pirates, par exemple. Dans ces conditions, la surveillance des ux entrant et sortant parat lgitime. Cependant, certains estiment que cette justication de lutte contre la fraude interne nest que prtexte et quil sagit en ralit, de contrler la productivit des salaris au travail, voire de surveiller leur loyaut vis--vis de lentreprise. Le droit franais se montre soucieux que les liberts fondamentales reconnues tout citoyen le soient galement en entreprise. Par exemple, les plus hautes juridictions ont rafrm depuis longtemps que louverture des armoires personnelles en labsence des employs et sans information
51

LIDENTIT NUMRIQUE EN QUESTION

pralable tait abusive 1. De mme, la fouille des salaris est troitement rglemente, exigeant des circonstances particulires, telles que le vol, la prsence de tiers et le consentement desdits salaris 2. Par principe, la cybersurveillance est autorise par la loi lintrieur de trois limites explicites, qui sont la transparence, la discussion collective et le principe de proportionnalit : Transparence. Larticle L121-8 du Code du travail impose qu aucune information concernant personnellement un salari ou un candidat un emploi ne peut tre collecte par un dispositif qui na pas t port pralablement la connaissance du salari ou du candidat lemploi . Les salaris doivent donc tre informs de lexistence du contrle et des techniques utilises. Cette information peut se faire par voie dafchage ou de note de service. Discussion collective. Larticle L432-2-1 alina 3 du Code du travail dispose que le comit dentreprise doit tre inform et consult, pralablement la dcision de mise en uvre dans lentreprise, sur les moyens ou les techniques permettant un contrle de lactivit des salaris . Il nest aucunement question dobtenir laccord des reprsentants du personnel, mais simplement de recueillir leur avis. Principe de proportionnalit. Larticle L120-2 du Code du travail pose le principe que nul ne peut apporter aux droits des personnes et des liberts individuelles ou collectives des restrictions qui ne seraient pas justies par la nature de la tche accomplir ni proportionnes au but recherch . Pour prendre un exemple grossier, sil sagit de contrler un usage professionnel des moyens mis disposition du salari, le respect de la proportionnalit commande quil ny ait pas dcoute des conversations tlphoniques aucunement utile au regard du but recherch. Ajoutons que larticle L122-43 du Code du travail impose que toute sanction prononce par un employeur soit proportionne la faute commise et que les dispositions de larticle 9 du Code civil sur le respect de la vie prive sappliquent galement au salari.
1. Conseil dtat, dcret D1990, 12 juin 1987, p. 134. 2. Cass., chambre criminelle, 12 dcembre 1987, droit ouvrier, 1989, p. 18.

52

SUR MES TRACES

La cybersurveillance ne peut concerner que les documents de travail du salari et les volumes changs partir ou destination de sa machine. En tout tat de cause, il existe un sanctuaire que lemployeur ne peut atteindre quavec prcaution : la bote lettres lectronique et les correspondances quelle renferme, qui sont toutes protges par la loi. Le viol de correspondance prive, cest--dire la prise de connaissance des courriers, quils soient sur papier ou sous forme lectronique, est sanctionn par la loi pnale. Tout employeur qui saventure prendre connaissance de ces correspondances linsu du salari est passible de poursuites pnales. Larticle 226-15 du Code pnal punit le fait, commis de mauvaise foi, douvrir, de supprimer, de retarder ou de dtourner des correspondances arrives ou non destination et adresses des tiers, ou den prendre frauduleusement connaissance ainsi que le fait, commis de mauvaise foi, dintercepter, de dtourner, dutiliser ou de divulguer des correspondances mises, transmises ou reues par la voie des tlcommunications ou de procder linstallation dappareils conus pour raliser de telles interceptions . Dans les deux cas, les sanctions maximales sont lourdes : un an demprisonnement et 45 000 euros damende 1. Seules deux hypothses nous semblent pouvoir autoriser lemployeur accder la bote aux lettres (bal) et aux e-mails dun salari : Soit il opre linvestigation sous le contrle judiciaire. Dans un premier temps, il aura ventuellement procd, sur ordonnance dun juge, la copie du disque dur de lordinateur du salari. Cette copie aura t faite par huissier, ventuellement sous contrle dun expert indpendant. Dans un second temps, toujours sur autorisation judiciaire, il pourra procder louverture de la bal et des e-mails. Soit il a lautorisation du salari lui-mme. Il conviendra de manier ce cas avec prcaution, le salari pouvant toujours se rtracter par la
1. Pour les personnes dpositaires de lautorit publique ou charges dune mission de service public, il y a lieu de faire appliquer larticle 432-9 du Code pnal, qui punit le fait d ordonner, de commettre ou de faciliter hors les cas prvus par la loi, linterception ou le dtournement des correspondances mises, transmises ou reues par la voie des tlcommunications, lutilisation ou la divulgation de leur contenu .

53

LIDENTIT NUMRIQUE EN QUESTION

suite et faire valoir des coercitions qui auraient dtermin un consentement non clair. En dehors de ces hypothses, il nous semble que toute initiative de lemployeur court le risque, et seulement le risque, de lillicit, car la jurisprudence nest pas bien xe dans ce domaine. Par deux arrts rendus le 18 octobre 2006, la Cour de cassation a jet le trouble. Dans la premire affaire 1, un salari avait t licenci pour faute grave pour avoir chiffr son poste de travail linsu de son employeur, interdisant du mme coup ce dernier laccs ce poste. La Cour de cassation en a prot pour dicter une prsomption de professionnalit aux contenus des postes de travail en entreprise :
Les dossiers et chiers crs par un salari grce loutil informatique mis sa disposition par son employeur pour lexcution de son travail sont prsums, sauf si le salari les identie comme tant personnels, avoir un caractre professionnel de sorte que lemployeur peut y avoir accs hors sa prsence ; [] la cour dappel, qui a constat que M. [X] avait procd volontairement au cryptage de son poste informatique, sans autorisation de la socit, faisant ainsi obstacle la consultation, a pu dcider, sans encourir les griefs du moyen, que le comportement du salari, qui avait dj fait lobjet dune mise en garde au sujet des manipulations sur son ordinateur, rendait impossible le maintien des relations contractuelles pendant la dure du pravis et constituait une faute grave.

Dans une seconde affaire, les mmes juges ont considr que les documents dtenus par le salari dans le bureau de lentreprise mis sa disposition sont, sauf lorsquil les identie comme tant personnels, prsums avoir un caractre professionnel, en sorte que lemployeur peut y avoir accs hors sa prsence . Aucune de ces affaires ne concerne le courrier lectronique proprement parler, mais certains commentateurs nont pas hsit considrer que, par extension, la rgle pose sy appliquait 2. Ainsi, sauf ce que le salari ou un de ses expditeurs ait clairement indiqu dans le sujet de
1. Cass., chambre sociale, 18 octobre 2006, Jrmy L. F./Techni-Soft, www.legalis.net. 2. ric BARBRY, Vincent DUFIEF, Cybersurveillance des salaris : la Cour de cassation simplie le dbat , www.journaldunet.com.

54

SUR MES TRACES

le-mail ou par toute autre signaltique quil tait personnel , tout e-mail appartiendrait lentreprise, et celle-ci pourrait y accder sans laccord du salari. lheure o sont crites ces lignes, nous ne pouvons afrmer que cette jurisprudence est retenue de manire dnitive. Il nous semble cependant que le bon quilibre entre droit de contrle de lemployeur et liberts individuelles du salari commande effectivement que lemployeur puisse accder la bote lettre lectronique de son salari dans des cas prcis (absence ou disparition subite du salari, par exemple) dans le but dassurer la continuit du service. Dans le mme temps, il nous parat vident que lemployeur ne doit aucunement prendre connaissance de courriers que le salari a pris la peine de marquer comme personnels . Une bonne solution consisterait rappeler ces rgles dans les documents normatifs qui rgissent la relation entre lemployeur et le salari. Soit ces rgles seront rappeles dans le contrat de travail, soit elles le seront dans la charte dusage de lentreprise. Nous recommandons galement que lemployeur prcise que si, par erreur, il prend connaissance de courriers lectroniques personnels dun salari, il sengage, dune part, nen conserver aucune copie et, dautre part, ne les exploiter daucune faon dans sa relation avec le salari (par exemple, dans le cadre dun licenciement). De cette faon, lquilibre recherch nous semble atteint. Le tableau 3.2 rcapitule ce qui peut tre trac par la cybersurveillance.
Tableau 3.2 Lgalit des contrles dans le cadre de la cybersurveillance
Type de contrle Accs au nombre de messages changs Accs aux intituls des messages Taille des messages Nature des pices jointes Contenus des messages Logiciel de ltrage des URL Logiciel anti-spam ouvrant les e-mails Lgalit Oui Oui Oui Oui Non mais/oui mais Oui Nona

a. Dans ce cas, les entreprises offrent souvent un logiciel anti-spam en option leurs salaris. Sils acceptent le logiciel, les salaris sont, dune part, informs du fonctionnement du logiciel, et, dautre part et corrlativement, invits donner leur autorisation louverture automatique de leurs e-mails par ce logiciel.

55

LIDENTIT NUMRIQUE EN QUESTION

La question de la cybersurveillance et du contour de sa licit est importante, non seulement au plan des principes, mais galement sur un plan pratique. Il est peu probable que lemployeur soit condamn un an de prison ferme pour simplement accder quelques e-mails personnels. En revanche, cest souvent loccasion dun litige avec le salari, notamment en cas de licenciement contest, que la question du respect de la correspondance prive se pose. Dans ce cas, lemployeur ne peut fonder le licenciement sur un courrier lectronique dont il aurait pris connaissance de faon illicite. Tout lment de preuve quil aurait collect cette occasion serait jug illicite et rejet par les tribunaux.

coutes sur la ligne


Un dispositif juridique, connu sous le nom dinterceptions, prvoit la possibilit de captation de contenus. Du temps du monopole de France Tlcom, ce dispositif tait appel coutes . Ces interceptions sont de deux types : soit elles sont autorises par lautorit judiciaire, le juge des liberts la requte du procureur de la Rpublique pour le agrant dlit 1 ou le juge dinstruction 2 dans le cadre dune instruction judiciaire en cours au titre dune infraction punie dune peine minimale de deux ans demprisonnement ; soit elles relvent des interceptions dites de scurit. Dans le premier cas, cest le juge qui contrle la rgularit des interceptions et les encadre, notamment dans le temps. Les enregistrements sont mis sous scells et peuvent tre retranscrits, lensemble tant consultable par toute personne ayant accs au dossier dinstruction, notamment la personne mise en examen et son avocat. Dans le second cas, les interceptions sont hors de contrle de lautorit judiciaire et sont encadres par une loi de 1991 3. Elles sont autorises titre exceptionnel par le Premier ministre. La loi limite le recours
1. Art. 74-2 du Code de procdure pnale. 2. Art. 100 du Code de procdure pnale. 3. Loi n 91-646 du 10 juillet 1991 relative au secret des correspondances mises par la voie des tlcommunications.

56

SUR MES TRACES

ces coutes quatre cas. Il sagit de la recherche de renseignements intressant la scurit nationale (espionnage dtat), la sauvegarde des lments essentiels du potentiel scientique et conomique de la France (espionnage industriel), la prvention du terrorisme et enn la criminalit et la dlinquance organises. Si le Premier ministre ordonne des coutes, il doit le faire par crit et motiver sa dcision en la rattachant lune de ces quatre catgories. Lautorisation a une dure maximale de quatre mois, mais la loi ne prvoit pas de limites son renouvellement. Les enregistrements oprs dans le cadre des coutes ont une dure de vie limite dix jours aprs quils ont t raliss. Cela signie en pratique que ces enregistrements doivent tre retranscrits par crit, cet crit pouvant tre conserv tant quil est indispensable . lorigine, la loi ne prvoyait aucun mcanisme de contrle de ces interceptions dun genre spcial. Cette anomalie pour une dmocratie a t rpare par une loi de dcembre 1992 instituant une autorit administrative indpendante, la Commission nationale de contrle des interceptions de scurit. Tout citoyen peut interroger cette commission base Paris par lettre recommande avec accus de rception pour savoir si des coutes de scurit ont t opres son propos. La commission ralise alors un contrle pour savoir si les coutes existent et si les conditions prvues ont t respectes et elle informe le citoyen quelle a opr ce contrle. Pour autant, le citoyen ne peut savoir sil a fait lobjet dinterceptions ni pourquoi, quand et avec quel rsultat. Ce dispositif ne serait pas complet si la loi nimpliquait pas les oprateurs de tlcommunications, appels aujourdhui oprateurs de communications lectroniques. Comme nous lavons vu, ceux-ci sont tenus en premier lieu de fournir aux autorits publiques toutes informations sur leurs abonns. Sils ne le font pas, ils encourent une peine de six mois demprisonnement et une amende maximale de 7 500 euros. Mais ce nest pas tout : ltat impose aux oprateurs de mettre en place, leurs frais, les moyens ncessaires lapplication de la loi n 91-646 du 10 juillet 1991 relative au secret des correspondances mises par la voie des communications lectroniques par les autorits habilites en vertu
57

LIDENTIT NUMRIQUE EN QUESTION

de ladite loi 1 . Les oprateurs doivent donc disposer de matriels et logiciels permettant ces interceptions, lesquelles sont de surcrot ralises leurs frais. Ainsi, on le sait trop peu, tout un dispositif lgal et rglementaire est-il en place pour raliser des coutes via tout type de communications lectroniques, y compris la tlphonie sur IP. Les autorits ne font dailleurs pas mystre que ces coutes sont de plus en plus nombreuses 2.

En conclusion
Lobligation de traage mise en place par la loi a de quoi inquiter. Elle est devenue lune des premires causes de dance vis--vis du rseau cites par les utilisateurs. Dans les entreprises comme hors delles, lobligation de tracer et de conserver les donnes concerne de plus en plus dacteurs, et pas seulement les oprateurs de communications lectroniques, dont les FAI. La gnralisation du traage traduit le malaise des autorits publiques et judiciaires face Internet et son apparent anonymat. Le lgislateur semble compenser par des obligations lgales ce que la technique ne peut lui offrir de prime abord, savoir un systme didentit numrique global, obligatoire et able. Il ne faudrait pas que la loi aille trop loin dans cette voie, sous peine, sans le vouloir, de constituer une socit de surveillance qui susciterait le rejet et la perte de conance des populations.

1. Art. D98-7 du CPCE. 2. Le Forum des droits sur lInternet (www.forum-internet.org) a compil lensemble des textes lgaux en relation avec les interceptions dites de scurit. Pour une prsentation succincte de la Commission nationale de contrle des interceptions (35, rue Saint-Dominique, 75007 Paris), voir http://www.premier-ministre.gouv.fr/ acteurs/premier_ministre/services-premier-ministre_195/commission-nationalecontrole-interceptions_50832.html.

58

CHAPITRE IV

Les limites de choix et dusage du pseudo

Extrait de quelques changes, ou ls de discussions, lus sur un forum public au format Web hberg par un portail qui dveloppe des thmatiques sur la beaut et la sant 1 : Pitchounette21, le 8 janvier 2007 : Je suis amoureuse de mon voisin de palier, que faire ? Veloutedecarotte26, le 9 janvier 2007 : Courage ! ! ! ! Lyon1234567, le 9 janvier 2007 : Jai pas de palier, jhabite une maison individuelle Feedesbullesdesavon, le 9 janvier 2007 : C quoi un palier ? ? ? ? ? ! ! ! ! ! ! Lily 1805, le 10 janvier 2007 : Palier ou pas (encore) li (lol 2)
1. An de prserver lanonymat des contributeurs, les pseudos et contenus des messages ont t modis. Par souci de rapporter des changes vritables, le sociolecte (crit qui modie les rgles orthographiques ou grammaticales) ainsi que les fautes dorthographe et de syntaxe sont reproduits tels quels. 2. Laughing out loud (rire aux clats).

59

LIDENTIT NUMRIQUE EN QUESTION

Bernard49, le 10 janvier 2007 : :$ ET ou eske j pourai trouver ton palier ? ? merci ;) a-gucci, le 10 janvier 2007 : ay, on atteint des abimes Sur Internet comme ailleurs, lhomme a besoin de se nommer pour exister et pour changer avec lautre, mme pour des changes de la plus grande simplicit. Le pseudonyme, qui se dnit comme un nom de fantaisie, librement choisi par une personne physique dans lexercice dune activit particulire [] an de dissimuler au public son nom vritable 1 , est trs largement utilis sur les rseaux. Cest mme lidentiant numrique roi de lInternet. On parle son propos de pseudo . Lun des secrets de son succs tient ce que le pseudo ne permet pas une identication complte dun individu. Lautre secret de son succs tient ce que le pseudo constitue souvent une sorte didentit jetable, cre pour un besoin immdiat et aussitt abandonne ou, plus simplement, oublie. Enn, son succs tient simplement au fait que de nombreux services sur Internet exigent un pseudo. Le recours au pseudonyme comme au pseudo est lgal en droit franais. Il peut mme prendre sa place aux cts du nom sur la carte nationale didentit, la condition que soit produit un acte de notorit dlivr par un juge dinstance du lieu de rsidence. On trouve galement la trace du pseudo dans le domaine du droit dauteur. Le statut des uvres pseudonymes est reconnu par le Code de la proprit intellectuelle. Larticle L113-6 de ce code prcise que les auteurs des uvres pseudonymes sont reprsents dans lexercice de [leurs] droits par lditeur ou le publicateur originaire, tant quils nont pas fait connatre leur identit civile et justi de leur qualit . Les rgles relatives la dure de protection des droits dauteur sont mme spciques pour les uvres pseudonymes. Traditionnellement xe en fonction
1. G. CORNU, Vocabulaire Juridique, op. cit. Cette dnition est galement retenue par la jurisprudence (Cass., 1re chambre civile, 23 fvrier 1965, JCP, 1965, II, 14255, note P. Neveu).

60

LES LIMITES DE CHOIX ET DUSAGE DU PSEUDO

de la dure de vie de lauteur, la dure de protection dans le cas dune uvre dont lidentit relle de lauteur nest pas connue est xe compter du 1er janvier de lanne civile suivant celle o luvre a t publie 1 . Cependant, il existe des limites lgales au choix et lusage dun pseudo.

Limites au choix du pseudo


Le choix dun pseudo nest pas un acte neutre. Il est dailleurs bord par des limites juridiques quil importe de connatre. Destin tre exhib en public, le pseudo doit, sil constitue un message intelligible, respecter lordre public. Il ne peut donc aucunement constituer un propos raciste, antismite ou ngationniste. Il ne doit pas non plus constituer une injure ni une parole diffamante lencontre dune personne identiable ou dun groupe de personnes identiables. Concernant les droits des tiers, en particulier des marques dposes lINPI 2, le Code de la proprit intellectuelle fait gurer les pseudonymes parmi les signes pouvant tre dposs comme marque. Larticle L711-11 du code dnit la marque comme un signe qui sert distinguer les produits ou services. Il prcise que peuvent notamment constituer un tel signe les dnominations sous toutes les formes telles que : mots, assemblages de mots, noms patronymiques et gographiques, pseudonymes, lettres, chiffres, sigles . Le mme code interdit quiconque de prendre une marque si elle porte atteinte un droit antrieur et au droit de la personnalit dun tiers, notamment son nom patronymique, son pseudonyme 3 . Ainsi, non seulement le pseudonyme dispose, dfaut dun statut lgal, dune existence juridique, mais il dispose en tant que tel dune protection. supposer quil soit tabli lusage dun pseudo, son titulaire pourrait faire annuler une marque postrieure qui serait dpose et reproduirait ou imiterait le pseudo.
1. Art. L 123-3 du Code de la proprit Intellectuelle. 2. Institut national de la proprit industrielle, www.inpi.fr. 3. Art. L711-4 du Code de la proprit intellectuelle.

61

LIDENTIT NUMRIQUE EN QUESTION

Cest ce qua rappel la Cour de cassation dans un arrt du 25 avril 2006 1. La plus haute juridiction constatait quune artiste interprte dans le domaine de la musique avait adopt un pseudonyme. Or son producteur, avec lequel elle allait entrer en conit, avait dpos ce mme pseudonyme titre de marque une date postrieure. La cour a constat que le producteur avait sign un contrat avec lartiste sous son pseudonyme et quil ne pouvait donc ignorer lexistence du pseudonyme. Ayant fait ce constat, la cour a rappel quun dpt de marque tait entach de fraude lorsquil tait effectu dans lintention de priver autrui dun signe ncessaire son activit . Aussi le pseudonyme antrieur devait-il provoquer la nullit de la marque postrieure. Le fait quun pseudo puisse tre dpos en tant que marque ou quil puisse annuler une marque induit deux consquences immdiates pour le dtenteur dun pseudo. Avant usage, il doit dabord vrier que son pseudo nenfreint pas un autre pseudo ou un pseudo dpos titre de marque. Nous recommandons en la matire dadopter une attitude nuance et pragmatique. Si le choix du pseudo est temporaire ou limit un usage priv, la dmarche dune recherche dantriorit parat exagre, dautant quune telle dmarche a un cot. En revanche, sil reprsente un signe distinctif servant, par exemple, un blog, lequel est destin recevoir du trac, voire de la publicit, il faut senqurir de lexistence de marques pralables au choix du pseudo. La seconde consquence de la possibilit de dposer un pseudo titre de marque est quil peut acqurir une protection accrue de par son dpt en tant que marque. L aussi, une telle dmarche, au cot non ngligeable, nest entreprendre que si elle est justie en termes dactivit commerciale. La troisime limite au choix dun pseudo est lexistence dun nom patronymique prexistant. Le plus souvent, le pseudo reproduit le patronyme dune personnalit connue. La question de savoir si un pseudonyme peut reproduire ou non le nom patronymique dun tiers savre dlicate. Ce tiers pourrait en effet faire valoir que la reproduction de son nom, voire de son pseudo, constitue une usurpation de son identit.
1. Cass., chambre commerciale, 25 avril 2006, pourvoi n 04-15641.

62

LES LIMITES DE CHOIX ET DUSAGE DU PSEUDO

Comme nous le verrons au chapitre X, en droit pnal, lusurpation didentit nest pas sanctionne de faon autonome mais uniquement lorsquelle entrane un risque pour la victime de lusurpation. Pour que lusurpation didentit devienne une infraction condamnable pnalement, deux conditions cumulatives doivent tre runies : Lusurpation didentit doit avoir pour consquence de faire peser un risque pnal sur le tiers usurp. Ce dlit ne peut donc tre invoqu que si lusurpation est utilise aux ns de commettre une infraction. Cest clairement le cas de la vengeance, dans laquelle le dlinquant utilise le nom dun tiers dans le but de le compromettre. Il peut, par exemple, faire usage de ce nom dans un forum de discussion et y tenir des propos contraires lordre public pour inciter la poursuite judiciaire lencontre du tiers usurp. Le texte lgal vise le nom dun tiers. Le lien juridique entre lutilisation dun nom et les poursuites pnales contre la victime de cette usurpation doit tre clairement tabli 1. Le simple fait que le pseudo reproduise le nom patronymique dun tiers nest pas sufsant en tant que tel pour le faire qualier dusurpation didentit. Il faut que ce choix saccompagne dun usage particulier. Quant savoir si le titulaire dun pseudo court un risque en reproduisant un pseudo existant, il nous semble que lusurpation didentit nest pas constitue, sauf saccompagner dun des usages dcrits la section suivante.

Droits et limitations dusage du pseudo


Est-on propritaire de son pseudonyme ? La proprit est dnie par le Code civil comme le droit de jouir et disposer des choses de la manire la plus absolue, pourvu quon nen fasse pas un usage prohib par les lois ou par les rglements 2 . La notion de choses tant entendue de manire extensive, il peut en tre dduit que lon est propritaire de son pseudo.
1. Cass., chambre criminelle, 29 mars 2006. 2. Art. 544 du Code civil.

63

LIDENTIT NUMRIQUE EN QUESTION

Il existe en droit franais un courant doctrinal qui afrme que le nom serait lobjet dun droit de proprit au sens de larticle 544 du Code civil. Sa simple atteinte, mme sans faute, sufrait fonder une action en justice. Cest ce qua reconnu une trs ancienne jurisprudence qui relve que le demandeur doit tre protg contre toute usurpation de son nom mme sil na subi de ce fait aucun prjudice 1 . Dans ces conditions, on ne voit pas pourquoi le pseudo obirait une loi diffrente. Il ne fait aucun doute, notamment au regard des dispositions du Code de la proprit intellectuelle, que le pseudo sinscrit dans le commerce juridique. tre dans le commerce juridique signie que le pseudo peut tre cd, acquis, lou ou faire lobjet de toute opration, but lucratif ou non. Il peut tre un signe distinctif qui rallie une clientle, la capte, prenant ainsi de la valeur au point de devenir un actif dun fonds de commerce. Il peut donc faire lobjet dun contrat de cession ou de concession et, au titre de ces oprations juridiques, dun prix pay et dun transfert de droits le concernant. Si le pseudo est parfaitement lgal en droit franais, son usage est videmment rglement et connat des limites que nous allons tenter de srier. La premire limite est pose par larticle 434-23 du Code pnal sur un cas prcis dusurpation didentit. Nous avons sommairement vu ci-avant et nous verrons en dtail au chapitre X quil nexiste pas dincrimination gnrale sanctionnant lusurpation didentit. Larticle 434-23 du Code pnal sanctionne le fait de prendre le nom dun tiers, dans des circonstances qui ont dtermin ou auraient pu dterminer contre celui-ci des poursuites pnales, est puni de cinq ans demprisonnement et de 75 000 euros damende . Le choix dun pseudo reproduisant le nom dun tiers peut tre guid par lintention de faire natre contre la personne dont le nom a t usurp une poursuite pnale. Le dlit dusurpation didentit est dans ce cas constitu par lusage du pseudo, qui devient llment matriel de linfraction. Ce dlit pnal vise le cas prcis dune vengeance.
1. TGI de Marseille, 9 fvrier 1965, D. 1965 270.

64

LES LIMITES DE CHOIX ET DUSAGE DU PSEUDO

Mais si un individu prend non pas le nom mais le pseudo dun autre puis agit en pleine conscience de cette usurpation dans le but dict par le texte pnal prcit, lauteur des faits est-il passible des tribunaux ? Nous sommes pour notre part rservs quant lapplication ce cas de larticle 434-23 du Code pnal. En effet, le droit pnal est dinterprtation stricte, et larticle en question ne vise que le cas dusurpation du nom dun tiers . Le pseudo dun tiers ne gurant pas proprement parler dans le texte de loi, ce dlit ne devrait pas sappliquer. Force est cependant de reconnatre une tendance certaine des tribunaux tendre aux pseudos toute rgle juridique applicable aux noms. Cest le cas de la seconde limite impose lusage du pseudo, laquelle relve du dlit gnral descroquerie. Ce dlit est vis par larticle 313-1 du Code pnal, qui dispose que lescroquerie est le fait, soit par lusage dun faux nom ou dune fausse qualit, soit par labus dune qualit vraie, soit par lemploi de manuvres frauduleuses, de tromper une personne physique ou morale et de la dterminer ainsi, son prjudice ou au prjudice dun tiers, remettre des fonds, des valeurs ou un bien quelconque, fournir un service ou consentir un acte oprant obligation ou dcharge . Lescroquerie est punie dune peine maximale demprisonnement de cinq ans et dune peine damende de 375 000 euros. Si le droit pnal ne rprime pas dune manire gnrale et en elle-mme, comme nous venons de le voir, lusurpation de nom ou de pseudo, lusage dun faux nom pourrait tre constitutif des manuvres frauduleuses vises par larticle L313-1 du Code pnal qui rprime lescroquerie. Les tribunaux ont dj jug que lon pouvait assimiler un faux pseudonyme un faux nom au sens de ce texte 1, la chambre criminelle de la Cour de cassation retenant que le nom sentend dun faux nom patronymique ou dun faux pseudonyme . Dautres jurisprudences ont mme tendu la notion de faux nom celle de faux prnom pour lapplication de ce texte 2.
1. Cass., chambre criminelle, 27 octobre 1999, Bull. crim., n 98-86017 ; CA de Paris, 1er octobre 2001, Juris-Data, n 2001-163093. 2. CA de Paris, 16 septembre 1999, Juris-Data, n 1999-094960 ; CA de Paris, 4 juillet 2003, Juris-Data, n 2003-22405.

65

LIDENTIT NUMRIQUE EN QUESTION

Les avatars ont-ils un statut juridique propre ?


Au sens commun du terme, lavatar est une mtamorphose, une transformation. Dans lenvironnement numrique, lavatar peut se dnir comme la reprsentation graphique dune personne. Les avatars se dvelopperaient en grand nombre. Selon une tude du Gartner Group1, en 2011, 80 % des internautes disposeront de leur double virtuel sur Internet. En moyenne, chaque personne qui frquente Second Life disposerait de lordre de deux avatars. Outre les mondes virtuels persistants crs par des diteurs tels que Linden Lab (Second Life), on rencontre aussi des avatars dans les jeux de rle en ligne multijoueurs tels que World of Warcraft. leur faon, ces jeux vido crent des mondes virtuels dans lesquels voluent essentiellement des adolescents. Ces avatars ont-ils une personnalit juridique ? Si oui, ont-ils un statut juridique propre ? Le 9 mai 2007, Robin Linden, vice-prsident de Second Life, publiait sur le blog du mme nom un article intitul accusations de pdophilie sur Second Life 2 . Il y rapportait quune tlvision allemande avait diffus quelques jours plus tt un reportage dans lequel elle montrait des images dun avatar ressemblant un adulte mle et dun avatar ressemblant un enfant en pleine activit sexuelle. Il prcisait que la chane de tlvision avait dnonc les faits aux autorits allemandes. Devant les agissements manifestes dun pdophile susceptibles dengager la responsabilit juridique non seulement des protagonistes, mais galement de Second Life, ce dernier diligentait immdiatement une enqute qui rvlait que les deux avatars appartenaient en ralit un homme de 54 ans et une femme de 27 ans. Aucun mineur ntait donc impliqu dans cette affaire autrement que virtuellement. Dans un communiqu, Second Life, qui rappelait que le site tait interdit au mineur, excluait du service les deux protagonistes et annonait la mise en place prochaine dun systme charg de vrier lge des membres du rseau. Selon nous, toute responsabilit est sous-tendue par un principe de libert, voire de libre arbitre. Or il ne saurait incomber de responsabilit juridique quau seul tre vivant disposant du libre arbitre, savoir lhomme. Lavatar nest pas homme. Il lui manque la volont propre qui caractrise le libre arbitre. Nous rpondons donc par la ngative la question de la personnalit juridique propre lavatar. Aussi, bien que lide soit sduisante, ne saurait-elle avoir de fondement juridique : lavatar na pas de statut juridique propre. Ce nest, tout au plus, quune reprsentation graphique, un pseudo en 3D.

1. Cit par Net 2007 Lille mtropole Atelier, Pseudos, avatars comment grer les milliards didentits virtuelles ? 2. http://blog.secondlife.com/2007/05/09/accusations-regarding-child-pornography-insecond-life/.

66

LES LIMITES DE CHOIX ET DUSAGE DU PSEUDO


En revanche, la question de la responsabilit se pose pour le matre de lavatar, celui qui matrise limage en 3D. linstar du propritaire dun animal, cest lui qui doit rpondre des consquences dommageables des actes de son avatar. Pour mmoire, aux termes de larticle 1385 du Code civil, le propritaire dun animal, ou celui qui sen sert pendant quil est son usage, est responsable du dommage que lanimal a caus, soit que lanimal ft sous sa garde, soit quil ft gar ou chapp . Les identiant et mot de passe qui protgent lavatar sont le rempart contre laccaparement par un tiers. Mais si un tiers prend le contrle dun avatar et commet des dommages aux tiers, on peut sinterroger sur la responsabilit de son matre. notre sens, cette responsabilit pourrait tre engage dans ce cas si laccaparement par le tiers a t rendu possible par une imprudence ou une ngligence de son matre dans la protection de lavatar, comme une divulgation des identiant et mot de passe. Dans tous les autres cas, la responsabilit juridique au titre des actes de lavatar reviendrait celui qui en fait lusage au moment des faits. De mme, le matre de lavatar est son propritaire , soit au titre du droit dauteur si lavatar est original, soit au titre du droit des marques, voire au titre du droit des dessins et modles, les avatars pouvant donner lieu dpt, comme les personnages de jeux vido. On pourrait ds lors imaginer un nouveau type de conit, dans lequel le matre dun avatar trouverait trop approchant un autre quil accuserait de copie, de plagiat, de contrefaon selon la qualication juridique adopte. Bref, si lavatar nest pas un sujet de droit autonome, il nen est pas moins un sujet suscitant des questions juridiques nouvelles intressantes.

En conclusion
Lutilisation dun pseudonyme est par principe licite en droit franais. Le choix du pseudonyme est toutefois born par un certain nombre de limites qui tiennent au respect de lordre public et au droit des tiers. Lusage sur les rseaux du pseudonyme devenu pseudo saccompagne galement de limites, compte tenu du fait que les pseudos servent sidentier, voire sauthentier, mais aussi sexprimer, changer et acheter. Les limites respecter tiennent aux risques lgaux constitus par les dlits dusurpation didentit et descroquerie. Dans ce contexte, il est recommand de prendre le soin : Dutiliser un pseudonyme purement imaginatif.
67

LIDENTIT NUMRIQUE EN QUESTION

De ne pas utiliser un pseudonyme qui soit un nom patronymique connu dun tiers. De ne pas accompagner ce choix de manuvres frauduleuses, telles que lusage dune fausse qualit.

68

CHAPITRE V

Le nom de domaine entre proprit intellectuelle et identit numrique

En fvrier 2002, Mme Milka B. rserve le nom de domaine milka.fr pour crer la vitrine en ligne de son modeste atelier de couture, sans imaginer une seconde les consquences de son acte. Le propritaire de la marque de chocolat Milka, le gant Kraft Foods Schweiz Holding AG, dcouvre lexistence de milka.fr en avril 2002. Dans un premier temps (18 juin 2002), Kraft Foods adresse une mise en demeure Mme Milka B. au prtexte que sa page Web viole la marque nominative Milka, proprit de Kraft Foods depuis 1901. La socit vise galement les marques guratives de mme nom et de couleur lilas violet et mauve utilises par Mme Milka B. sur son site, si caractristiques de la marque de chocolat, et lui intime de cesser lusage de cette URL et de transfrer le nom de domaine au prot de Kraft Foods. La couturire sobstine contre lavis du chocolatier. Laffaire intresse les mdias du fait de lopposition entre une multinationale et une pauvre petite couturire de 58 ans et de ce que les parties se dchirent autour dune marque vocatrice dun chocolat qui a nourri tant denfants. Un grand lan de sympathie pour la couturire ene sur Internet. Kraft Foods nit par saisir le tribunal de grande instance de Nanterre an de contraindre Mme Milka B. cesser dutiliser la marque Milka et la couleur mauve qui sert de fond dcran son site. Laction de la socit
69

LIDENTIT NUMRIQUE EN QUESTION

suisse se heurte un premier obstacle juridique dress par la couturire : Milka B. exerce ses talents dans le domaine de la couture Bourg-ls-Valence, dans la Drme, ce qui est totalement distinct de la conserie industrielle de Zurich, en Suisse. Le principe de spcialit du droit des marques, qui limite le monopole confr par lINPI au titulaire dune marque aux seuls services et produits en activit, est susceptible de tirer daffaire la couturire. Pour contrer ce principe, la multinationale utilise la notion de marque notoirement connue an de fonder juridiquement sa demande dinterdiction dusage de la marque Milka titre de nom de domaine. Les juges de Nanterre lui donnent raison le 14 mars 2005, le tribunal jugeant que, bien que ladresse milka.fr ait t obtenue de manire lgitime et que le site affrant ne nuise aucunement au chocolat Milka, la propritaire du nom de domaine milka.fr a obligation de cder la proprit dudit nom la socit propritaire de la marque Milka. Assez logiquement, et conformment une jurisprudence constante depuis plus de dix ans, la justice nit donc par faire prvaloir le droit des marques sur le nom de domaine enregistr postrieurement. En avril 2006, la cour dappel de Versailles conrme dnitivement le premier jugement de Nanterre. Le nom de domaine est un identiant numrique central, car il est ncessaire lutilisation de tous les services dInternet. Un projet, baptis OpenID, propose que lURL, dont le nom de domaine constitue lun des lments essentiels, devienne lidentiant dun systme didentit numrique global qui fait aujourdhui dfaut Internet. Mais avant de constituer un tel systme, le nom de domaine constitue dj un identiant numrique, qui, en tant que tel, doit rsoudre ses nombreux problmes avec la proprit intellectuelle et notamment le droit des marques.

Nom de domaine versus marque


Marques, brevets, droits dauteur : la proprit intellectuelle envahit tout pour opposer le monopole lgal dun signe distinctif (marque), dune invention (brevet) ou dun acte de cration original (droit dauteur) tous et tout ce qui les reproduit. Le nom de domaine, lment fondamental de lidentit numrique, notamment pour les entreprises, nchappe pas la rgle.
70

LE NOM DE DOMAINE ENTRE PROPRIT INTELLECTUELLE ET IDENTIT NUMRIQUE

De tous les identiants numriques, le nom de domaine est historiquement le premier tre entr en conit avec la proprit intellectuelle, principalement les marques. Nous allons voir comment sest organise la technostructure Internet, lIcann, pour rsoudre le litige marque/ nom de domaine laide dune solution originale et qui marche. Nous verrons galement comment, dans deux cas particuliers, le nom patronymique et les noms de commune, la loi et les tribunaux ont rsolu des conits mettant en cause des noms de domaine. La gure 5.1 illustre les diffrentes parties de lURL simple dun site Web. Le nom de domaine en est la partie centrale ( eyroles. com). Les lments situs de part et dautre du nom de domaine identient le nom de lhte au moyen dun ventuel sous-domaine ( www), le protocole de communication utiliser (http 1) et lemplacement du document recherch au sein de lhte considr ( index. html). Le nom de domaine est lui-mme compos dune extension ou dun sufxe appel domaine de premier niveau gnrique ( .com, .net, .org, .biz, .info) ou national (.fr, .uk) 2 et dun radical au choix du dposant (eyroles).
Emplacement du document

Radical

http://www.eyroles.com/index.html
Protocole de communication Sousdomaine Suffixe

Figure 5.1 Le nom de domaine

Des diffrents lments qui composent le nom de domaine (radical et sufxe), le radical est celui qui est susceptible dentrer en conit avec une marque.
1. HyperText Transfer Protocol, soit le protocole hypertexte du Web. 2. Cette catgorie de noms de domaine est constitue dune extension reproduisant le code dun tat, conformment la norme ISO 3166-1 (fr pour la France, it pour lItalie, es pour lEspagne, us pour les tats-Unis, etc.).

71

LIDENTIT NUMRIQUE EN QUESTION

Le nom de domaine est attribu selon la rgle assez primaire, mais logique, du premier arriv, premier servi . Le premier qui demande un nom de domaine disponible se le voit attribuer. Cette rgle na rien de choquant en elle-mme, et elle sapplique dans quantit de matires, notamment en matire de proprit intellectuelle : le premier dposer un signe distinctif disponible en tant que marque en est le propritaire ; le premier crer une uvre littraire originale en est le propritaire par application du droit dauteur ; le premier inventer un procd technique nouveau et dapplication industrielle dispose dun monopole lgal par application du droit des brevets sil en demande la protection ce titre. Pour les entreprises qui produisent, distribuent ou vendent des produits ou des services, la marque est un signe fondamental qui leur permet de se distinguer des concurrents. Mais la marque nest pas le seul signe distinctif la disposition des entreprises. La dnomination sociale sur le K-bis, lenseigne sur la faade du fonds de commerce sont dautres exemples de ces signes rgulirement utiliss par les entreprises. Le nom de domaine Internet est un nouveau venu dans la panoplie des signes distinctifs, mais un nouveau venu imposant puisque, en une dizaine dannes, plus de 115 millions de noms de domaine auraient t distribus sur lensemble de la plante. Nous avons vu que le statut juridique du nom de domaine tait incertain. Il peut tre quali denseigne lorsquil correspond un site Internet marchand 1, ou de titre protg par le droit dauteur ou encore, selon certains analystes, de signe nouveau, dit sui generis, assimilable aucun autre. Dans tous les cas, le nom de domaine fait lobjet doprations juridiques diverses, telles quachat, vente, location, en grand nombre et souvent des prix levs.

Raret et cybersquatting
Lapparition des noms de domaine Internet a t controverse du fait de deux phnomnes ngatifs, la raret et le cybersquatting . La plante
1. TGI de Paris, 31e chambre correctionnelle, 8 avril 2005, ministre public/Nicole T. : l appellation dun site correspond, sur le plan lectronique, lenseigne ; propos du nom de domaine soldeurs. com utilis en dehors des priodes lgales de soldes en France.

72

LE NOM DE DOMAINE ENTRE PROPRIT INTELLECTUELLE ET IDENTIT NUMRIQUE

entire doit se partager un nombre de noms de domaine Internet restreint du fait des caractristiques techniques de ce signe. Le nombre dextensions gnriques (.com, .org, .net, etc.) et gographiques (.fr, .uk, .it, .es, .de, etc.) est au total de lordre de 270. Le choix du sufxe du nom de domaine est un premier lment rvlateur de lidentit : on peut ainsi afcher son attachement la nation ou montrer son intrt pour un march national (.fr), apparatre comme une structure commerciale ou de services (.com), comme une organisation but non lucratif (.org) ou une entit dveloppant son activit titre prioritaire sur Internet (.net). Bien videmment, rien nest impos. On peut parfaitement imaginer quune entreprise cherche toucher le march franais au moyen dun site vitrine accessible par une adresse en. es (zone Espagne). Cependant, en toute logique, le choix du sufxe est un signe donn au visiteur qui doit tre cohrent. Le radical est constitu de lettres latines nacceptant aucune ponctuation 1, ni, dans sa forme habituelle, aucun autre alphabet (arabe, chinois, cyrillique, hbreu) ou signes diacritiques (tels que les accents en langue franaise) 2. Dans ces conditions, le nom de domaine volue dans le cadre dun patrimoine terminologique limit la fois par le nombre dextensions existantes et par le type de caractre impos. Internet ne sait pas grer lhomonymie. Ce nest pas le cas dans le monde rel des signes distinctifs existants, tels que les marques attribues par des organismes publics comme lINPI en France. Une entreprise chinoise peut disposer dune marque qui couvre des services sur son territoire dans un secteur dactivit et une socit amricaine disposer de la
1. Le radical peut accueillir le tiret. Le point est utilis pour sparer le sufxe du radical, ou le nom de domaine de sous-domaines. 2. En ralit, an de rpondre ce besoin, tout en ne modiant pas les caractristiques techniques du systme de nommage actuel, le systme IDNA (Internationalizing Domain Names in Applications) a t propos ds 1996, et nalement codi par la RFC 3490, en mars 2003, qui permet aux applications de grer des noms de domaine ne comportant pas que des caractres ASCII, en convertissant tout caractre Unicode nexistant pas comme caractre ASCII sous la forme dune chane de caractres ASCII unique. titre dexemple, selon ce systme, xn--identit-hya. com correspond identit.com (ce nom de domaine est dailleurs enregistr lheure o nous crivons ces lignes).

73

LIDENTIT NUMRIQUE EN QUESTION

mme marque sur le territoire nord-amricain et couvrant dautres services dans un autre secteur dactivit. Le droit des marques est gouvern par deux principes, dits de territorialit et de spcialit. Le principe de territorialit pose que chacune des deux marques est protge dans son territoire lors de son enregistrement. Le principe de spcialit 1 pose que la marque est protge pour certains produits ou services seulement, viss l encore lors de lenregistrement. En dehors de ces produits ou services, la mme marque peut tre dpose par un tiers. Si deux entreprises dveloppent des activits distinctes, elles peuvent donc parfaitement disposer de la mme marque, y compris si elles se trouvent sur le mme territoire. Pour les noms de domaine Internet, il ny a pas de territorialit ni de spcialit qui vaille. Le nom de domaine est attribu pour le monde entier, et il ne peut exister dhomonymes pour une mme extension, mme dans des lieux trs loigns de la plante comme la Chine et les tats-Unis. Consquence pratique : les noms de domaine Internet connaissent une pnurie. Certains prtendent que cette pnurie aurait t sciemment organise 2, an de donner de la valeur cette ressource technique. Quoi quil en soit, les entreprises se trouvent devant les possibilits suivantes : soit tre les premires se faire attribuer les noms de domaine sous lesquels ils souhaitent communiquer ; soit faire valoir des droits antrieurs, principalement leurs marques, contre les titulaires des noms de domaine qui les reproduisent ; soit acheter ces noms leurs titulaires. Lautre phnomne qui a terni lutilisation des noms de domaine Internet a pour nom le cybersquatting, qui consiste se faire attribuer le premier un nom de domaine disponible qui reproduit une marque notoire ou le nom dun artiste connu, dans le but de monnayer sa restitution. Quantit de techniques dcoulent du cybersquatting, tel le typosquatting , qui consiste enregistrer un nom de domaine reproduisant
1. Sauf cas des marques dites notoirement connues, comme Milka, dont le seul nonc fait penser au produit ou au service quelles reprsentent (art. 6 bis de la convention de Paris pour la protection de la proprit industrielle et art. L711-4 et L713-5 du Code de la proprit intellectuelle). 2. Laurent CHEMLA, Confessions dun voleur , Le Monde, 29 avril 2000.

74

LE NOM DE DOMAINE ENTRE PROPRIT INTELLECTUELLE ET IDENTIT NUMRIQUE

une marque notoire mais avec une lgre diffrence typographique, par exemple gogle. com au lieu de google. com. Nous engloberons toutes ces techniques illicites sous le vocable de cybersquatting. Quelques affaires retentissantes, mais en ralit isoles, indiquent que cette pratique aurait rapport des millions de dollars leurs auteurs. Le cybersquatting a t rendu possible pour deux raisons principales : Lattribution dun nom de domaine seffectue en ligne en quelques minutes et un cot relativement modique. Dans ces conditions, des individus peu scrupuleux tentent leur chance en se faisant attribuer un nombre important de noms de domaine illgaux puis tentent de les monnayer. Une seule affaire peut leur permettre de rentabiliser leur pratique. La procdure de rservation et dattribution dun nom de domaine Internet est, dans la plupart des cas, ralise sans que soit vrie lidentit de celui qui achte le nom ni ltat de ses droits sur ce nom. Autrement dit, nimporte qui, sous une fausse identit et sans droits sur le nom de domaine achet, peut, en quelques minutes, sapproprier un nom de domaine Internet reproduisant partiellement ou totalement une marque quune entreprise aura mis des annes crer et fructier. Si cette situation est relativement facile sagissant des noms de domaine gnriques, elle lest moins pour les noms de domaine gographiques, notamment le domaine .fr, dont lattribution, depuis lorigine, fait lobjet dun contrle pralable restrictif. Au milieu des annes 1990, les conits entre noms de domaine Internet dun ct et proprit intellectuelle et droit des marques de lautre abondaient. Jusqu la n de lanne 1999, on considrait quun tiers des contentieux judiciaires en droit de lInternet concernait des litiges entre noms de domaine et marques. Alerte notamment par lOMPI (Organisation mondiale de la proprit intellectuelle), lIcann 1 a promulgu une procdure de rglement des
1. Socit de droit californien cre en novembre 1998 linitiative du gouvernement amricain et charge de coordonner et administrer au niveau mondial les noms de domaine et adresses IP.

75

LIDENTIT NUMRIQUE EN QUESTION

conits entre marques et noms de domaine trs originale. mi-chemin entre la mdiation et larbitrage, cette procdure a t qualie dadministrative. LIcann conait la rsolution des conits quelques institutions, parmi lesquelles lOMPI, accrdite le 1er dcembre 1999, et le NAF (National Arbitration Forum), accrdit le 23 dcembre 1999. Pour un plaignant, le choix de lune ou lautre de ces institutions est a priori indiffrent. Un Europen aura tendance se tourner vers la principale institution de rglement europenne, lOMPI. Cependant, en raison de la forte publicit donne par cette dernire aux dcisions rendues, le plaignant souhaitant plus de discrtion se tournera plus volontiers vers lune des autres institutions. ce jour, plus de 9 200 saisines 1 ont t instruites par lOMPI. Pour assurer lexcution des dcisions rendues par les panlistes dsigns par ces institutions, lIcann a adopt, le 26 aot 1999, des principes directeurs 2 et, le 24 octobre 1999, leurs rgles dapplication 3. Ces principes directeurs sont incorpors, par renvoi, aux contrats denregistrement passs entre les propritaires de noms de domaine et les units denregistrement accrdites auprs de lIcann et entre les units denregistrement et lIcann 4. Chacun sengage soumettre le litige nom de domaine/marque aux institutions de rglement. Surtout, dans le contrat daccrditation quelles ont pass avec lIcann, ces units denregistrement sengagent excuter les dcisions rendues. Si elles ne le font pas, psent sur elles la menace de perdre leur accrdi1. Statistiques disponibles au 1er janvier 2008 sur le site de lOMPI, ladresse http:// www.wipo.int/amc/en/domains/statistics/decision_rate. jsp ? year. 2. Uniform Domain Names Dispute Resolution Policy (politique de rglement uniforme des litiges relatifs aux noms de domaine). Le texte en franais est disponible sur le site de lOMPI, ladresse http://arbiter.wipo.int/domains/rules/icannpolicy-fr.doc. 3. Rules for Uniform Domain Names Dispute Resolution Policy. Le texte en franais est disponible sur le site de lOMPI. 4. Pour obtenir le transfert ou la suppression dun nom de domaine, le titulaire de la marque doit obir trois conditions cumulatives (art. 4 des principes directeurs de lIcann) : 1) le nom de domaine doit tre identique ou similaire la marque invoque ; 2) le dtenteur du nom de domaine ne doit pouvoir justier daucun droit lgitime sur le nom de domaine ; 3) le nom de domaine doit avoir t enregistr et utilis de mauvaise foi.

76

LE NOM DE DOMAINE ENTRE PROPRIT INTELLECTUELLE ET IDENTIT NUMRIQUE

tation et donc le droit de diffuser des noms de domaine en tant quunit denregistrement. La collaboration ncessaire des units denregistrement en vue de lefcacit de cette procdure est matrialise par larticle 3c des principes directeurs de lIcann, suivi par toutes les units accrdites, en vertu duquel elles sengagent annuler ou transfrer le nom de domaine en cause ds rception dune dcision dune commission administrative 1 .

Conit marque/nom de domaine, qui gagne ?


La jurisprudence dite Atlantel 2 a afrm le principe selon lequel la rservation dun nom de domaine sur Internet ne crait aucun droit privatif sur ce nom et pouvait constituer une contrefaon dune marque antrieure. partir de cette premire dcision judiciaire sest labore une jurisprudence complte sur toutes questions relatives ce type de litige entre noms de domaine et marques. Un litige de ce type met souvent en cause des personnes de nationalit et de localisation diffrentes. Le plaignant a le choix de saisir soit un tribunal de lordre judiciaire, soit une des institutions de rglement des conits mises en place par lIcann. Sil saisit un tribunal, doit-il sagir de celui du lieu dtablissement du plaignant, du titulaire du nom de domaine, de lunit denregistrement ? La question est loin dtre neutre. tre franais et se trouver contraint de saisir un juge coren parce que le titulaire du nom de domaine a dclar une adresse dans ce pays reprsente un cot le plus souvent dissuasif.
1. La version franaise ofcieuse de lUDRP ralise par lOMPI, traduit cet article ainsi : [] Nous annulerons ou transfrerons un enregistrement de nom de domaine, ou lui apporterons toutes autres modications qui simposent, dans les cas suivants : [] c) rception dune dcision dune commission administrative ordonnant une telle mesure dans toute procdure administrative laquelle vous avez t partie et qui a t conduite en vertu des prsents principes directeurs ou dune version ultrieure de ceux-ci qui aura t adopte par lICANN []. 2. TGI de Bordeaux, ordonnance de rfr, 22 juillet 1996, Sapeso et Atlantel/Icare et Reve, publie sur www.legalis.net.

77

LIDENTIT NUMRIQUE EN QUESTION

Face cette difcult, les juges 1 ont rapidement considr, sur le fondement de larticle 5-3 de la convention de Bruxelles du 27 septembre 1968 2, que le tribunal comptent tait celui du lieu du fait dommageable, autrement dit le tribunal dans le ressort duquel a t constat, gnralement par huissier, lenregistrement et lutilisation abusive du nom de domaine en conit. LOMPI a publi des statistiques sur lissue des conits, selon lesquelles la marque gagne presque chaque fois. Sur plus de 9 200 cas traits, 83,76 % des affaires ont abouti une dcision de transfert du nom de domaine au prot du titulaire de la marque, 0,93 % par une suppression du nom de domaine, et seulement 15,31 % par un rejet de la plainte dpose par le titulaire de la marque. Il y a plusieurs explications ces chiffres sans nuance. La marque est un signe distinctif plus ancien que le nom de domaine. Dans la mesure o ce type de litige se rsout par lantriorit, il nest pas illogique que la marque lemporte. Dautant que linitiative de la procdure revient toujours au titulaire de la marque, lequel a valu ses chances de succs avant dagir. Une autre explication, avance par les adversaires de ce systme, est que lOMPI, et plus gnralement le systme mis en place par lIcann, est globalement favorable aux titulaires de marque. Cependant, les statistiques ne disent pas tout, et lafrmation selon laquelle le nom de domaine perd systmatiquement contre la marque mrite dtre nuance. Un nom de domaine peut parfois opposer une antriorit au dpt dune marque. Dans un arrt du 18 octobre 2000, la cour dappel de Paris a assimil le nom de domaine au rgime des noms commerciaux dans un raisonnement a contrario, en considrant que le nom de domaine, compte tenu de sa valeur commerciale pour lentreprise qui en est propritaire, peut justier une protection contre les atteintes dont il fait lobjet . La cour ajoutait : [E]ncore faut-il que les parties linstance tablissent leurs droits sur la dnomination
1. TGI de Paris, ordonnance de rfr, 13 octobre 1997, SG2/Brokat Informations Systems Gmbh. 2. Remplace par le rglement du Conseil de lUnion europenne 44/2000 du 22 dcembre 2000, avec effet depuis le 1er mars 2002.

78

LE NOM DE DOMAINE ENTRE PROPRIT INTELLECTUELLE ET IDENTIT NUMRIQUE

revendique, lantriorit de son usage par rapport au signe contest et le risque de confusion que la diffusion de celui-ci peut entraner dans lesprit du public. Bien que le titulaire du nom de domaine ne lait pas emport dans cette affaire, les juges voquaient ici lapplication possible des dispositions de larticle L711-4 du Code de la proprit intellectuelle, qui disposent que ne peut tre adopt comme marque un signe portant atteinte des droits antrieurs et notamment [] un nom commercial ou une enseigne connus sur lensemble du territoire national, sil existe un risque de confusion dans lesprit du public . Enn, il convient de prciser que la protection attache au nom de domaine est conditionne lexploitation effective du nom de domaine par la personne qui sen prvaut 1.
Conit nom de famille ou de commune/nom de domaine
Le 13 mars 2000, le tribunal de grande instance de Nanterre sest prononc sur un nom de domaine qui comprenait le nom patronymique dAmlie Mauresmo, la championne franaise de tennis. Le tribunal a considr que le nom est un droit de la personnalit qui fait lobjet ce titre dune protection permettant son titulaire de le dfendre contre toute appropriation indue de la part dun tiers lorsque celui-ci, par lutilisation quil en fait, cherche tirer prot de la confusion quil cre dans lesprit du public []. En rpertoriant les sites Internet quil a crs sous des noms de domaine utilisant le nom patronymique de la demanderesse, [le dfendeur] sapproprie sans son consentement un attribut de sa personnalit dans des conditions de nature semer la confusion dans lesprit du public. En effet, en se connectant lun de ces sites, tout internaute peut lgitimement se croire sur un site ouvert ou au moins contrl par la championne, ce qui nest pas le cas . Dans le mme sens, le centre de mdiation et darbitrage de lOMPI a rendu plusieurs dcisions concernant des sportifs qui avaient vu leur nom utilis par des noms de domaine dposs par des tiers, notamment venusandserenawilliams. com. De mme, le prsident du tribunal de grande instance de Paris a ordonn en rfr, le 24 septembre 2007, le transfert du nom de domaine delanoe2008.com lactuel maire de Paris. En lespce, le dfendeur stait appropri le patronyme de Bertrand Delano dans le but de

1. TGI de Nanterre, 4 novembre 2002.

79

LIDENTIT NUMRIQUE EN QUESTION


tirer prot de la notorit attache llu pour augmenter le nombre de visites sur son site. En rsum, le nom de famille, droit de la personnalit, prvaut et ne peut tre repris comme nom de domaine par un tiers. Il en va de mme de la protection du nom dune collectivit territoriale, laquelle est susceptible dtre mise en uvre chaque fois que lusage du nom entrane un risque de confusion avec les attributions de la collectivit territoriale ou est de nature lui porter prjudice ou porter prjudice ses administrs. Cest ce risque de confusion qui a fait dfaut la commune de Levallois-Perret pour faire interdire en rfr 1 la diffusion du site www.levallois.tv. Cest un enjeu important pour les collectivits territoriales que de faire enregistrer leur nom en tant que marque lINPI, associ une stratgie denregistrement des noms de domaine. Lattribution des noms de domaine au prot des collectivits territoriales a dailleurs t rcemment renforce par un dcret2 du 6 fvrier 2007, qui prvoit notamment que le nom de domaine dune collectivit locale peut uniquement tre enregistr par cette collectivit comme nom de domaine de premier niveau correspondant au territoire national (.fr), sauf autorisation de lassemble dlibrante.

OpenID, ou lURL comme systme didentit numrique global


Au chapitre 1, nous avons dni lURL (Uniform Resource Locator) comme une chane de caractres utilise pour fournir une adresse nimporte quelle ressource Internet. Nous avons vu que lURL http://www. lemonde.fr/web/article/0,1-0@2-3388,36-875325,0.html, tait compose du protocole de communication utilis (http), du nom de domaine (lemonde.fr) et du chemin daccs vers la page souhaite (web/article/0,10@2-3388,36-875325,0.html). Le systme didentit numrique OpenID est issu du monde du logiciel libre (do le terme Open ). Du point de vue de lutilisateur, le besoin est de se connecter avec une seule identit quantit de services diffrents ; du point de vue du fournisseur de service, il est doffrir ses services des utilisateurs quil a authentis, mme si ceux-ci ne sont que de passage.
1. TGI de Nanterre, ordonnance de rfr, 30 janvier 2007. 2. Dcret n 2007-162 du 6 fvrier 2007.

80

LE NOM DE DOMAINE ENTRE PROPRIT INTELLECTUELLE ET IDENTIT NUMRIQUE

ce jour, dfaut dun systme didentit global, chaque fournisseur de service exige de lutilisateur la dclaration dune identit, qui est la plupart du temps phmre et en laquelle le fournisseur de service a peu conance. Avec OpenID, un fournisseur didentit authentie pralablement lutilisateur ( limage de la socit Orange, qui propose OpenID ses abonns) et lui attribue une URL (openid. orange.fr/un_identiant _choisi_par_lutilisateur). Aprs que lutilisateur lui a dclar cette URL, le fournisseur de service vrie en temps rel et en ligne lidentit (lURL qui lui a t dclare) auprs du fournisseur didentit (Orange). Le fournisseur de service peut mme disposer de certaines informations sur lindividu en question (les informations collectes par Orange que lindividu a accept de transfrer aux fournisseurs de service compatibles OpenID), qui lui sont transfres par le fournisseur didentit. OpenID est ainsi un systme didentit numrique totalement fond sur lURL 1. Ce systme didentit a pour ambition dtre un systme global. Cela signie quune fois cette identit cre, son titulaire est capable de se connecter tous les services compatibles avec OpenID. Lindividu na plus crer une nouvelle identit chaque service quil souhaite utiliser. OpenID est un systme didentit dcentralis, dans lequel lauthentication permettant laccs un fournisseur de service supportant OpenID est relaye au fournisseur didentit. En outre, lURL qui individualise une identit peut tre attribue par une multitude de fournisseurs didentit et non un seul. OpenID sappuie sur des technologies Internet non propritaires, cest-dire nappartenant pas une entit, et surtout ouvertes. Aussi tout candidat ce standard est-il capable, avec quelques bouts de codes informatiques, dimplmenter OpenID sur son service ou mme de devenir un fournisseur didentit OpenID. OpenID se fonde galement sur le DNS, cest--dire sur un systme qui a fait ses preuves et qui peut donner conance.
1. www.openid.net.

81

LIDENTIT NUMRIQUE EN QUESTION

Parmi les faiblesses dOpenID, on retient justement quil sappuie sur le systme DNS. Comme nous le verrons au chapitre VIII, le DNS est entre les mains dune socit de droit amricain, lIcann, elle-mme sous le contrle du gouvernement des tats-Unis. Lautre faiblesse dOpenID est son manque de convivialit. LURL est plus difcile retenir quun simple pseudo. Une autre faiblesse de ce systme rside dans les risques de phishing ou dhameonnage. On peut en effet imaginer quune des fraudes du systme OpenID consiste dtourner lutilisateur ou le fournisseur de service du fournisseur didentit vers lequel il se dirige pour authentier lutilisateur. En dpit de ses faiblesses, OpenID, qui en est encore au stade exprimental, constitue un systme didentit numrique global trs prometteur.

En conclusion
Les relations entre identit numrique et proprit intellectuelle sont complexes. Dun ct, la proprit intellectuelle vient au secours de lidentit numrique lorsque les pseudos ou les noms de domaine sont dposs titre de marque. Dun autre ct, lidentit numrique nest pas labri dun conit avec la proprit intellectuelle. En tmoignent les abondants litiges entre marques et noms de domaine traits par les tribunaux ou les institutions internationales de rglement des conits depuis plus de dix ans. Cette situation est la consquence du positionnement particulier de lidentit numrique et de labsence dun systme didentit numrique global et obligatoire. Les identiants isols sont la proie de tous les litiges lis la proprit intellectuelle. Sils taient regroups au sein dun systme cohrent, ils sen trouveraient relativement protgs. Dans le monde rel, lidentit est relativement protge de ce type de conit en ce quelle est garantie par ltat, recense dans des registres publics, etc. Pourtant, le systme didentit OpenID, entirement fond sur une URL et un nom de domaine, parat aujourdhui apte constituer le systme didentit numrique global qui fait aujourdhui dfaut Internet. condition que le nom de domaine rsolve au pralable ses problmes avec la proprit intellectuelle.
82

CHAPITRE VI

Statut juridique du mot de passe

Le syndicat des hteliers de la ville de Nice a tabli un chier, appel Scapotel, constitu de la liste des personnes nayant pas rgl leur facture dans les htels de la ville aflis au syndicat 1. Ce type de liste noire consiste recenser les dbiteurs dans une profession ou une activit an de prvenir dautres impays. Cette pratique courante est lgale, condition de respecter un certain nombre dobligations contrles par la Commission nationale de linformatique et des liberts (CNIL). Ces listes noires ont leur utilit conomique. Mais, dans la mesure o ce sont des listes dexclusion, elles font lobjet dune surveillance toute particulire de la CNIL, qui, depuis la rforme de 2004 2, doit pralablement les avoir autorises. La CNIL sest saisie en 1988 du cas des hteliers de la ville de Nice. Elle a dabord constat que la dclaration qui lui a t adresse par le syndicat tait postrieure la mise en uvre du chier, alors que la loi du 6 janvier 1978 relative linformatique, aux chiers et aux liberts exige que cette dclaration soit pralable. Le chier du syndicat tait donc en infraction, mais pas plus que des millions dautres en circulation dans le pays, qui sont soit dclars avec
1. CNIL, dlibration n 88-78, 5 juillet 1988. 2. Loi n 78-17 du 6 janvier 1978, modie par la loi n 2004-801 du 6 aot 2004.

83

LIDENTIT NUMRIQUE EN QUESTION

retard, soit pas dclars du tout. Les mauvaises langues prtendent que les seconds nont jamais maille partir avec la CNIL, la diffrence des premiers. Dans sa dlibration du 5 juillet 1988, la CNIL a vertement critiqu les mesures de scurit mises en place pour accder ce traitement sensible. Aux termes de la loi de 1978, les questions de scurit sont au centre des proccupations de la CNIL. Un niveau de scurit minimal est obligatoire pour accder aux traitements qui enregistrent des donnes caractre personnel : Le responsable du traitement est tenu de prendre toutes prcautions utiles, au regard de la nature des donnes et des risques prsents par le traitement, pour prserver la scurit des donnes et, notamment, empcher quelles soient dformes, endommages, ou que des tiers non autoriss y aient accs 1. La notion de prcautions utiles est plutt lche, voire oue. Pourtant, le manquement aux prcautions utiles est puni par le Code pnal de cinq ans demprisonnement et de 300 000 euros damende 2. Cest la notion de prcautions utiles rapportes au traitement dclar avec retard par le syndicat des hteliers de la Nice que la CNIL a contrle. Ce faisant, elle a pos des rgles relatives aux mots de passe. La commission a dclar que les mesures de scurit taient insufsantes pour rserver laccs aux chiers aux seuls hteliers aflis au syndicat, faisant remarquer que la base de donnes tait accessible grce un mot de passe de quatre caractres seulement . La commission a en outre fait remarquer qu aucune interruption de services ntait prvue en cas de saisies successives de mots de passe errons, ce qui permettait deffectuer un nombre indni dessais pour tenter daccder aux informations contenues dans le chier . De cette dlibration de la CNIL, les commentateurs ont retenu, par raisonnement a contrario, quelle considrait comme conforme la loi un
1. Art. 34 de la loi n 78-17. 2. Art. 226-17 du Code pnal : Le fait de procder ou de faire procder un traitement de donnes caractre personnel sans mettre en uvre les mesures prescrites larticle 34 de la loi n 78-17 du 6 janvier 1978 prcite est puni de cinq ans demprisonnement et de 300 000 euros damende.

84

STATUT JURIDIQUE DU MOT DE PASSE

mot de passe compos de plus de quatre caractres ainsi quune interruption de services obligatoire pour toute saisie successive et errone de mots de passe.

Lauthentication
Dans le monde informatique, lauthentication se dnit comme une mthode, un moyen ou une technique permettant de vrier lidentit de personnes et parfois de machines ou de programmes dordinateur qui sexcutent. Identiant, mot de passe (password), code condentiel, biomtrie, etc. : quantit de moyens dauthentication permettent de contrler laccs un systme dinformation. Notre propos nest pas de les recenser tous dun point de vue technique. Nous nabordons que la technique didentication la plus rpandue, laccs par saisie dun mot de passe. Dans de trs nombreux cas, lidentiant et le mot de passe ou le mot de passe seul constituent la clef daccs au systme dinformation. Le mot de passe est le passage quasi oblig pour accder au tlphone mobile, lordinateur personnel ou de travail, au PDA, au rseau dentreprise, etc. Dans le contexte de ce livre, nous considrons comme identiques les expressions mot de passe et code condentiel . Ce sont les clefs pour sauthentier et obtenir laccs un systme dinformation. Lauthentication est un des piliers de la scurit informatique. Dans le monde rel, les techniques dauthentication lentre des entreprises, des immeubles, des appartements, des lieux publics sont des plus varies. Lapparence ou la connaissance visuelle de la personne, le son de sa voix linterphone ou au tlphone, sa faon de se comporter, de se tenir, peuvent jouer ce rle. Badges daccs et saisie de codes y sont galement courants. linverse, il existe quantit de situations ou dactions pour lesquelles aucune authentication nest exige. Dans le monde informatique, et plus particulirement dans celui des rseaux, le recours une authentication technique est obligatoire. Comme la signature manuscrite, le couple identiant/mot de passe dtenu par la personne qui se prsente laccs dun systme dinformation sert cette authentication.
85

LIDENTIT NUMRIQUE EN QUESTION

Le mot de passe
Le mot de passe na pas de dnition lgale ni juridique. Les experts dterminent de manire empirique ce que devrait tre un bon mot de passe. Lefcacit du mot de passe dpend en fait essentiellement des choix de lutilisateur 1. On considre gnralement quil doit tre personnel et alphanumrique, cest--dire compos de lettres et de chiffres, voire de caractres spciaux. Il doit tre en outre imprononable et ne pas gurer dans un dictionnaire. La CNIL considre quil doit tre constitu de plus de quatre caractres et de prfrence dau moins huit. Huit caractres bien choisis parmi les quatre-vingt-quinze caractres ASCII offrent 6,6 millions de milliards de combinaisons possibles 2. Un mot de passe est dit statique lorsquil est valable un certain temps, jusqu ce que lutilisateur dcide den changer. Il est dit dynamique ou usage unique ou encore jetable lorsquil nest valable que le temps dune connexion. Comme nous lavons vu en prambule, des mcanismes de lutte contre la fraude doivent tre prvus, tels que linterruption du service en cas de saisie errone rpte, gnralement trois fois dun mot de passe. Sur le plan juridique, le mot de passe prsente un certain nombre de caractristiques qui peuvent, au nal, constituer son statut.

Condentialit
Le mot de passe est rserv une personne ou un groupe de personnes. Il est donc par essence, condentiel. La pratique consistant crire sur un stick coll sur le ct de lcran de lordinateur lidentiant et le mot de passe servant contrler laccs un systme quel quil soit est non seulement un manquement aux rgles lmentaires de la scurit informatique, mais aussi une faute au sens juridique.

1. www.securite-informatique.gouv.fr, Les dix commandements . 2. http://www.journaldunet.com/solutions/0205/020527_bon_password. shtml.

86

STATUT JURIDIQUE DU MOT DE PASSE

Lobligation de condentialit est rgulirement rappele lutilisateur dans les contrats qui le lient au matre du systme. La socit Orange rappelle dans ses conditions gnrales dabonnement professionnel Internet que lensemble des lments permettant au client de sidentier et de se connecter au service sont personnels et condentiels 1 . Le manquement cette obligation juridique nest pas sans consquence. Si un abonn ne la respecte pas et quil se trouve victime dun accs frauduleux, loprateur peut parfaitement dgager sa responsabilit. En outre, le client engage sa responsabilit si ce manquement a caus un prjudice un tiers. Par exemple, si un accs frauduleux est la consquence dun manquement lobligation de condentialit dun abonn dOrange et que cet accs a permis un individu dentrer en possession dinformations condentielles appartenant des tiers, la responsabilit du ngligent peut tre engage. Au nal, cest cet abonn ngligent qui pourrait avoir rparer le prjudice subi en payant des dommages et intrts auxquels un tribunal laurait condamn.

Dtenteur lgitime
Le mot de passe a un dtenteur lgitime. Cest souvent au sein de lentreprise que cette caractristique est rappele. Chaque salari se voit attribuer un mot de passe pour accder une ressource informatique, ordinateur, intranet, etc. Dans sa gestion juridique de lidentit, lemployeur attribue des droits daccs ce mot de passe, lesquels peuvent tre diffrencis selon le service ou le niveau hirarchique du salari. Outrepasser ou bafouer les droits du dtenteur lgitime du mot de passe est une faute qui peut justier le licenciement du salari. Dans un arrt rendu le 21 dcembre 2006 2, la chambre sociale de la Cour de cassation a conrm que le comportement dun salari qui avait tent sans motif lgitime et par emprunt du mot de passe dun autre salari de se connecter sur le poste informatique du directeur de la socit pouvait justier un licenciement pour faute grave.
1. Internet Pro Orange, conditions gnrales, art. 11 (dcembre 2007). 2. Cass., chambre sociale, 21 dcembre 2006, pourvoi n 05-41165, indit.

87

LIDENTIT NUMRIQUE EN QUESTION

Moyen de preuve
Le mot de passe est un moyen de preuve. Il peut tre retenu par les parties dans leur contrat pour constituer un moyen de preuve. Cest ce quon appelle une convention de preuve . Cette pratique est reconnue par la loi depuis 2000 1 et gure larticle 1316-2 du Code civil, qui dispose que lorsque la loi na pas x dautres principes, et dfaut de convention valable entre les parties, le juge rgle les conits de preuve littrale en dterminant par tous moyens le titre le plus vraisemblable, quel quen soit le support . Quantit de contrats et de chartes stipulent que la saisie du mot de passe condentiel remis lutilisateur vaudra preuve de lutilisation du systme entre les parties . Cette disposition est une convention valable au sens de la loi. Le mot de passe devient dans ces conditions le moyen de preuve dcid par les parties. Ce moyen de preuve peut cependant tre contest, car il se heurte un autre grand principe du droit franais, celui selon lequel on ne peut soffrir une preuve soi-mme. Or le mot de passe est souvent enregistr sur un quipement contrl en totalit par la personne qui peut avoir intrt prouver un usage par ce moyen. Les tentations de manipuler la preuve et la facilit avec laquelle peut tre opre cette manipulation pourraient rendre suspecte la production du moyen de preuve. Cest alors lautre partie dapporter des lments de contestation, lesquels peuvent tre parfaitement entendus par le juge. Si ces lments sont trop techniques et que la contestation de la preuve conditionne pour lessentiel lissue du litige, le juge peut recourir un expert technique, le plus souvent inscrit sur des listes dexperts agrs par les cours dappel ou la Cour de cassation. Au nal, et dans tous les cas, la parole est au juge. Cest lui qui apprciera le moyen de preuve rapport. La loi lui impose une seule contrainte. Il ne peut rejeter un mode de preuve au seul motif de sa forme. Pour rejeter une preuve, il doit motiver son rejet. Pour cette raison, les plaideurs sefforcent dapporter devant les tribunaux des preuves lectroniques
1. Loi n 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de linformation et relative la signature lectronique.

88

STATUT JURIDIQUE DU MOT DE PASSE

dans des formes familires aux juges et saident pour cela notamment dhuissiers de justice et dexperts agrs auprs des tribunaux.

Signature
Le mot de passe est une signature. La carte bancaire est un exemple fameux de ce type de signature. Stipule au contrat qui lie le client sa banque, la saisie du code condentiel vaut engagement du client donner un mandat irrvocable la banque de payer le commerant concern. Le mot de passe dpasse ici le statut de moyen dauthentication pour dborder sur celui, classique pour une signature, de preuve dengagement.

Protection du mot de passe par la loi


Dans de trs nombreux cas, le couple identiant/mot de passe ou le mot de passe seul constitue la clef daccs au systme dinformation. Or laccs un systme dinformation est protg par la loi. Un dlit spcique punit le fait daccder frauduleusement un systme dinformation, appel STAD (systme de traitement automatis de donnes). Laccs frauduleux un STAD est le dlit pnal traditionnel de la cybercriminalit. Ce dlit, constitu par le fait daccder ou de se maintenir frauduleusement dans tout ou partie dun systme de traitement automatis de donnes 1 , est puni des peines maximales de deux ans demprisonnement et de 30 000 euros damende. Cest laccs non autoris en lui-mme qui est sanctionn, quil y ait eu ou non des dommages dans le systme ou dans les donnes stockes sur le systme 2. La loi ne prcise pas sil est obligatoire que le systme
1. Art. 323-1 du Code pnal. Le dlit a t cr et introduit dans le code pnal par la loi n 88-19 du 5 janvier 1988 relative la fraude informatique, dite loi Godfrain , du nom du dput qui la propose. 2. Si laccs frauduleux a engendr des dgts involontaires, cest lalina 2 de larticle L321-1 du Code pnal qui sapplique, lequel double la peine maximale susceptible dtre prononce. Cet article dispose que lorsquil en est rsult [de laccs frauduleux] soit la suppression ou la modication de donnes contenues dans le systme, soit une altration du fonctionnement dans ce systme, la peine est de deux ans demprisonnement et 30 000 euros damende . Si les dgts sont volontaires, on applique larticle L321-2 du mme code.

89

LIDENTIT NUMRIQUE EN QUESTION

dinformation comporte une protection technique. Elle ne prcise donc pas si laccs au systme doit tre contrl, notamment par la technique du mot de passe. Dans les faits, cependant, deux raisons au moins poussent afrmer que la facult donne lutilisateur dun systme de disposer dun moyen dauthentier les accs, notamment par la technique du mot de passe, est obligatoire. La premire de ces raisons tient lapplication du dlit daccs frauduleux un STAD. Pour que le dlit sapplique, laccs doit tre intentionnel, cest--dire que le dlinquant doit avoir conscience quil accde sans droits et non par erreur au STAD. Dans ces conditions, lusurpation dun identiant/mot de passe tablirait sans contestation possible la preuve de llment intentionnel du dlit. Par exemple, si le dlinquant a cass un mot de passe de quelques caractres en saisissant toutes les combinaisons possibles, ces essais ont laiss des traces dans le systme dinformation qui prouvent son intention. dfaut dun mot de passe, la preuve de lintention dlictuelle est plus difcile rapporter. Mais la jurisprudence va plus loin et semble pousser vers la prsence obligatoire dune protection minimale lentre des systmes dinformation. Cest laffaire dite Kitetoa qui, la premire 1, a pos ce principe. loccasion de visites sur le site dune grande socit franaise, lanimateur du site Kitetoa a dcouvert une faille de scurit qui lui donnait accs une base de donnes de quatre mille noms. Il a rapport sa dcouverte sur son site sans que quiconque sen meuve particulirement 2. Quelques mois plus tard, le magazine Newbiz rendait compte de laffaire, dclenchant un dpt de plainte de lditeur du site incrimin pour accs et maintien frauduleux dans un STAD. En premire instance, les juges ont considr linfraction ralise. Leur argumentation tait la suivante :
Attendu que le prvenu a dclar quune fonction du navigateur Netscape permettait dafcher lensemble du contenu du serveur [XXX] ; quil a indiqu titre de dmonstration lors de son interrogatoire par les services de police avoir procd une copie dcran dmontrant qu partir de la page daccueil du site [XXX], il choisissait les fonctions
1. CA de Paris, 12e chambre, 30 octobre 2002, Kitetoa/Tati, www.leglais.net. 2. Un hacker blanc , qui peut toujours tre vu et lu ladresse www.kitetoa.com.

90

STATUT JURIDIQUE DU MOT DE PASSE

communicator puis outils du serveur , puis service de la page , fonctionnalits prsentes sur tous les navigateurs Netscape ; que dans services de la page , lensemble du contenu du serveur safchait sous forme darborescence ; quen consultant les liens HTML, il avait trouv notamment le listing de clients apparaissant dans le journal Newbiz, chier de type . mdb dans lequel la socit T. enregistrait le rsultat de questionnaires poss aux internautes, dans lequel apparaissaient les noms, adresses et autres donnes personnelles des visiteurs du site ayant bien voulu rpondre des questions personnelles, chier qui comportait selon lui environ 4 000 entres [] ; quen accdant plusieurs reprises au chier litigieux et en le tlchargeant, le prvenu, qui fait dailleurs tat dans ses dclarations de la loi qui fait obligation aux socits de protger les donnes nominatives collectes, avait ncessairement conscience que son accs et son maintien dans le site de la socit T taient frauduleux ; quil y a lieu en consquence dentrer en voie de condamnation son encontre.

Considrant labsence de protections des pages Web auxquelles il avait accd et labsence dagissements caractristiques dune volont de nuire, le tribunal a condamn le prvenu une amende de 1 000 euros avec sursis, ce qui constitue une condamnation trs lgre. Sur le plan du principe, le parquet gnral a considr le jugement comme insatisfaisant et interjet appel le 28 mars 2002. Dans un communiqu de presse du 4 avril 2002 une procdure assez inhabituelle , le procureur gnral a expliqu que cet appel [avait] pour but de permettre la cour dappel de se prononcer sur la dnition et la porte du dlit daccs et de maintien frauduleux dans un systme . Or larrt qui allait tre rendu comportait une volution majeure. Les juges dappel relevaient que considrant que [] il ne peut tre reproch un internaute daccder ou de se maintenir dans les parties des sites qui peuvent tre atteintes par la simple utilisation dun logiciel grand public de navigation, ces parties de site [] devant tre rputes non condentielles dfaut de toute indication contraire et de tout obstacle laccs [] . Lvolution majeure tient ce que les juridictions avaient plusieurs fois eu loccasion de dire que la prsence ou non dun systme de scurit tait indiffrente pour la commission du dlit daccs frauduleux un
91

LIDENTIT NUMRIQUE EN QUESTION

STAD. Mme en cas dabsence de code daccs ou de mot de passe, mme en prsence dune faille de scurit manifeste, le dlit tait ralis. La doctrine justiait cette position en rappelant que mme une porte ouverte dans un domicile ne doit pas donner droit daccs et de maintien dans ce domicile . Cependant, lavnement dInternet a considrablement largi la typologie des actes couverts par ce dlit. Un site Internet peut voir se ctoyer, sur une mme machine et dans un environnement proche, des parties de site qui ne sont pas destines au public, et qui pourtant se trouvent, par erreur ou incomptence, en accs libre, et dautres parties publiques. Fallait-il considrer linternaute de Kitetoa comme un dlinquant au sens de larticle 323-1 du Code pnal lorsquil avait accd une partie dun site non scurise par erreur ? La cour dappel a rpondu par la ngative, en posant trois critres cette nouvelle situation : Linternaute a accd des parties de site qui ne lui taient pas destines au moyen dun simple logiciel de navigation, sans utilisation doutils particuliers venant forcer un passage ou une entre. Il y a bien eu constatation dune faille de scurit. En quelque sorte, la cour a entendu faire peser la responsabilit de cette erreur non sur linternaute lui-mme mais sur lditeur du site dfaillant. Rien nindiquait linternaute que ces parties du site visit lui taient interdites, aucune indication contraire , ni aucun obstacle laccs ny gurant. Par le dernier critre, les juges ont sembl considrer que si le propritaire dun systme voulait bncier de la protection de la loi, il devait au minimum installer une authentication laccs, notamment par identiant et mot de passe. Cette volution majeure fut accueillie de manire plutt positive lpoque 1. Au nal, les tribunaux ont accord au mot de passe une place privilgie dans le dispositif juridique de protection des systmes dinformation.
1. Jrme THOREL, ZD 2104590,00.htm. Net, http://www.zdnet.fr/actualites/internet/0,39020774,

92

STATUT JURIDIQUE DU MOT DE PASSE

Authentication faible/forte
Lauthentication dun utilisateur lentre dun systme dinformation se fait habituellement selon au moins lun des trois critres suivants : Ce que sait lutilisateur. Ce que possde lutilisateur. Ce quest lutilisateur. Ce que sait le candidat laccs est le plus souvent un identiant (login) et un mot de passe gr par un systme autonome. Ce quil possde peut tre une carte physique, comme la carte bancaire. Ce quil est renvoie la technologie biomtrique. On parle dauthentication forte ds lors quau moins deux de ces trois critres se combinent pour contrler laccs un systme. Par exemple, la carte bancaire dispose dune authentication forte pour contrler laccs en ce que la personne qui se prsente devant un distributeur automatique de billets doit possder une carte et connatre le code condentiel lui permettant daccder au rseau. De toutes les technologies ou systmes prcits, cest la biomtrie qui suscite le plus de controverses 1. Cette technologie fait appel aux caractristiques physiques de ceux qui dtiennent un droit daccs. On parle alors de reconnaissance biomtrique, dont le principe est des plus simples : chacun est soi-mme son propre authenticateur. De lempreinte digitale au contour de la main ou lempreinte vocale en passant par lempreinte rtinienne ou faciale, toutes les reconnaissances physiques sont en thorie admissibles. Les experts techniques mettent au passif de cette technologie son cot et la question de sa rvocation. Face une personne qui a subtilis un mot de passe ou une signature lectronique, le titulaire du mot de passe ou de la signature peut facilement le remplacer ou le rvoquer. La chose semble plus complexe avec une empreinte digitale ou rtinienne. Si un tiers sapproprie une identit biomtrique de type empreinte digitale ou
1. Olivier ITEANU, Biomtrie, une technologie sous surveillance , Journal du Net, 9 fvrier 2005.

93

LIDENTIT NUMRIQUE EN QUESTION

identit visuelle, il peut, au moyen de cette identit, passer tout type dacte au nom de la victime. Comment cette dernire peut-elle rvoquer sa propre empreinte digitale ou son identit visuelle ? Les experts en scurit sont partags sur la question, mme si, en majorit, ils semblent considrer que cette rvocation est possible. Cest quil existe une troisime dimension la biomtrie : son aspect lgal. Cette technologie tant associe un individu personne physique, elle manipule des donnes qui sont qualies de donnes caractre personnel, cest--dire, selon la dnition pose par la loi n 2004-801 du 6 aot 2004, une information relative une personne physique identie ou qui peut tre identie, directement ou indirectement, par rfrence un numro didentication ou un ou plusieurs lments qui lui sont propres . En cela, tout traitement portant sur la reconnaissance biomtrique entre dans le champ dinvestigation de la CNIL. Plus encore, tout traitement biomtrique doit faire lobjet dune autorisation pralable de la CNIL. Dans deux dlibrations rendues le mme jour, le 8 avril 2004 1, la CNIL a x quelques points de repres qui dmontrent la vigilance dont elle fait preuve face cette technologie. Dans la premire dlibration, le centre hospitalier dHyres envisageait de mettre en uvre un traitement personnel consistant horodater les entres et sorties de son personnel en sappuyant sur un dispositif de reconnaissance de lempreinte digitale. La CNIL a mis un avis dfavorable motiv par deux types darguments : dune part, elle a critiqu la centralisation des donnes biomtriques sur un serveur, y voyant une solution qui nest pas de nature garantir la personne concerne de toute utilisation dtourne de ses donnes biomtriques . Dune manire gnrale, la CNIL nautorise que les dispositifs o lempreinte digitale est enregistre exclusivement sur un support individuel (carte puce, cl USB), et non dans une base centralise. Elle a considr que seul un impratif de scurit [tait] susceptible de justier la centralisation de donnes biomtriques . Dautre part, elle sest fonde sur une disposition insre dans le Code du travail
1. Dlibrations n 04-017 et 04-018, www.cnil.fr.

94

STATUT JURIDIQUE DU MOT DE PASSE

selon laquelle nul ne peut apporter aux droits des personnes et des liberts individuelles ou collectives des restrictions qui ne seraient pas justies par la nature de la tche accomplir ni proportionne au but recherch 1 et a conclu, dans le cas du centre hospitalier dHyres, un traitement disproportionn par rapport la nalit recherche, qui tait la gestion du temps de travail. Dans la seconde dlibration du mme jour, la CNIL a donn un avis favorable ltablissement public Aroports de Paris pour un systme de contrle daccs aux zones rserves, dites de sret, des aroports dOrly et de Roissy. Logiquement et compte tenu de la premire dlibration, la commission a retenu que seules [taient] enregistrs sur le badge le gabarit biomtrique, le numro du badge et le code PIN associ au badge , notant par l que les donnes biomtriques rsidaient sur la personne et que, au regard de lapplication concerne, ces donnes [taient] adquates, pertinentes et non excessives . Ces deux dlibrations ont t rendues sous lempire de lancienne loi de 1978. Il ny a toutefois aucune raison que les rgles de fond quelles posent ne soient pas prises en compte aujourdhui, ce qua conrm la CNIL dans un communiqu de presse du 5 janvier 2007. La biomtrie est une technologie sans doute utile lauthentication, mais son usage doit obir des rgles lgales.

En conclusion
Nous vivons au quotidien avec le mot de passe. Les procdures didentication par mot de passe sont aujourdhui indispensables pour protger laccs, lintgrit et la condentialit des systmes dinformation. Ce succs rsulte incontestablement du rapport efcacit/cot/difcult de mise en uvre remarquable quoffre le mot de passe. Mais la diffrence des autres modes didentication, la scurit offerte par le mot de passe est variable et alatoire. Cet ala dpend de lutilisateur lui-mme, qui en fait le choix : long, vari, diffrent pour chaque service, chang
1. Art. L120-2 du Code du travail.

95

LIDENTIT NUMRIQUE EN QUESTION

rgulirement, tenu strictement condentiel, le mot de passe offrira une scurit importante. Dans le cas contraire, ce dernier noffrira quune protection insufsante et, pire encore, illusoire. Sur Internet, cette difcult est aggrave par labsence de systme didentit global, qui contraint les utilisateurs devoir user dun mot de passe distinct pour chaque service quils souhaitent utiliser. Dans ces conditions, il est tentant de nutiliser quun seul et mme mot de passe pour lensemble de ces services en ligne. On en peroit immdiatement le danger : en cas de compromission du mot de passe pour quelque cause que ce soit, lidentit de lutilisateur peut sen trouver aisment usurpe. Cest pourquoi, lorsque laccs un systme dinformation est sensible, lauthentication dite forte est indispensable. Le manque de crdit attach au mot de passe tant alors complt par dautres lments, comme une carte puce, que seul lutilisateur autoris est cens avoir en sa possession.

96

CHAPITRE VII

La carte didentit dans le rseau

Victor Hugo, extraits des Misrables : Le point de dpart comme le point darrive de toutes ses penses tait la haine de la loi humaine ; cette haine qui, si elle nest arrte dans son dveloppement par quelque incident providentiel, devient, dans un temps donn, la haine de la socit, puis la haine du genre humain, puis la haine de la cration, et se traduit par un vague et incessant et brutal dsir de nuire, nimporte qui, un tre vivant quelconque. Comme on le voit, ce ntait pas sans raison que le passeport qualiait Jean Valjean dhomme trs dangereux []. Pendant quil travaillait, un gendarme passa, le remarqua, et lui demanda ses papiers. Il fallut montrer le passeport jaune. Cela fait, Jean Valjean reprit son travail. Un peu auparavant, il avait questionn lun des ouvriers sur ce quils gagnaient cette besogne par jour ; on lui avait rpondu : trente sous. Le soir venu, comme il tait forc de repartir le lendemain matin, il se prsenta devant le matre de la distillerie et le pria de le payer. Le matre ne profra pas une parole, et lui remit vingt-cinq sous.
97

LIDENTIT NUMRIQUE EN QUESTION

Il rclama. On lui rpondit : cela est assez bon pour toi. Il insista. Le matre le regarda entre les deux yeux et lui dit : gare le bloc (la prison). L encore, il se considra comme vol. La socit, ltat, en lui diminuant sa masse, lavait vol en grand. Comme Jean Valjean la compris ses dpens, un titre didentit, quel que soit le nom quon lui donne, carte nationale didentit, passeport jaune, passeport intrieur, etc., est un moyen didentier son porteur, mais aussi de le contrler et de le surveiller. Dans le monde rel, ce titre didentit est dlivr et garanti par ltat. Cependant, cette carte nest a priori daucune utilit sur les rseaux. Faut-il ds lors imaginer un titre didentit virtuel de substitution ? Et si oui, qui sera le fournisseur de ce titre didentit ? Un systme didentit dlivre toujours des titres didentit. Dans lindiffrence quasi gnrale, se sont crs ces dernires annes de puissants outils, gratuits et accessibles tous, utiliss pour le contrle didentit sur Internet. La googlisation , terme anglais dsignant la recherche dinformations sur le moteur de recherche Google, vaut aussi pour la recherche dinformations sur les individus. Google et les autres moteurs de recherche dInternet sont en passe de crer une gigantesque base de donnes caractre personnel, accessible en permanence et tous sans condition. Tous les champs gurant sur la CNI (carte nationale didentit), et mme plus, sy retrouvent. Sy ajoutent dsormais les rseaux dits sociaux, tels que Facebook, MySpace, LinkedIn et autres, sur lesquels les internautes rpertorient leurs amis, mais aussi se dvoilent parfois. Sommes-nous devenus nos propres Big Brothers ?

Du livret ouvrier la carte nationale didentit biomtrique


La carte nationale didentit (CNI) fait aujourdhui partie du paysage quotidien du citoyen. De la caisse du supermarch louverture dune ligne tlphonique mobile, en passant par le contrle de police, nous
98

LA CARTE DIDENTIT DANS LE RSEAU

sommes habitus devoir prsenter notre CNI. Ce titre didentit dlivr par ltat et lui appartenant a dj une longue histoire, et une histoire mouvemente. La CNI dans sa forme moderne a mis prs dun sicle simposer 1, et chacune de ses volutions a donn lieu des dbats de socit passionns, dbats auxquels na pas chapp son dernier projet de rforme, baptis INES (identit nationale lectronique scurise) avec donnes biomtriques. Le premier titre didentit apparu en France fut le livret ouvrier. Instaur par un dit de 1749, il tait conserv par lemployeur de louvrier et avait pour objectif de scuriser les engagements de louvrier lgard de lemployeur. Il tait obligatoire, et, dfaut den disposer, louvrier tait puni de 1 15 francs damende et dun cinq jours demprisonnement. Le livret ouvrier fut ofciellement supprim en 1890. Le passeport intrieur, le fameux passeport jaune de Jean Valjean, fut institu par une loi du 1er fvrier 1789. Son objectif tait exclusivement policier. Il sagissait de contrler les mouvements et la circulation des populations, et toute personne quittant son lieu de rsidence habituelle devait sen munir. Aprs le contrle social du livret ouvrier et le contrle policier du passeport intrieur, le contrle national fut la troisime grande volution des titres didentit dlivrs par les autorits publiques. la n du XIXe sicle, fut institue lobligation pour les trangers de se dclarer la mairie du lieu de leur domicile 2. Cest dans ce contexte dun contrle renforc des populations nationales et trangres, aggrav par deux guerres traumatisantes, la guerre de 1870 perdue contre la Prusse et la Premire Guerre mondiale, quapparut en septembre 1921, dabord Paris, la premire carte didentit de Franais , anctre de notre carte didentit actuelle. Son promoteur tait le prfet Robert Leullier. La prfecture de Paris dcida dy faire apposer lempreinte digitale de son titulaire ainsi que sa photographie. La carte didentit de Franais fut tendue toutes les prfectures par un dcret du 8 aot 1935. Non sans hsitation, ltat dcida den faire
1. Pierre PIAZZA, Histoire de la carte nationale didentit, Odile Jacob, 2004. 2. Dcret du 2 octobre 1888, dit dcret Floquet.

99

LIDENTIT NUMRIQUE EN QUESTION

un titre facultatif. Notons au passage que tous les titres nationaux didentit, de la carte didentit des Franais la carte nationale didentit daujourdhui, sont facultatifs et que seul le rgime de Vichy rendit obligatoire la dtention dune carte didentit pour toute personne ge de plus de 16 ans par une loi du 27 octobre 1940. Quelques mois plus tard, Vichy y apposa linfme mention Juif pour les citoyens juifs ou dascendance juive. Le chier dcoulant de cette loi fut dtruit la Libration. Aprs la guerre et le traumatisme de la collaboration, les autorits publiques mirent un certain temps tablir un projet clair de titre didentit nationale. Ce nest que par un dcret du 22 octobre 1955 1 que naquit le successeur de la carte didentit des Franais , sous le nom de carte nationale didentit . Cest le seul document ofciel ayant pour objet exclusif de certier une identit. Cette carte est dlivre sans condition dge par les prfets pour une dure de validit de dix ans. Elle a t rendue gratuite en 1998 par le gouvernement Jospin. Comme indiqu prcdemment, et contrairement une ide rpandue, la CNI nest pas obligatoire. Chaque Franais est libre den disposer ou non. De plus, aucune loi nnumre les pices obligatoires par lesquelles le citoyen doive justier de son identit. Larticle 78-2 du Code de procdure pnale autorise justier de son identit auprs de la police par tout moyen , y compris le tmoignage, sans requrir aucun document particulier. Ajoutons quen application de larticle R60 du Code lectoral, les lecteurs peuvent produire loccasion dun scrutin des pices justicatives aussi diverses quun titre de rduction de la SNCF avec photographie ou une carte de fonctionnaire avec photographie 2. Comment, dans ces conditions, expliquer que les Franais se soumettent si facilement des contrles de titres didentit non obligatoires ? La rponse se situe probablement plusieurs niveaux. Tout dabord, la dtention dun titre didentit distingue clairement le citoyen franais
1. Dcret n 55-1397 du 22 octobre 1955 instituant la carte nationale didentit. 2. Arrt du 24 septembre 1998 xant la liste des pices didentit exiges des lecteurs au moment du vote dans les communes de plus de cinq mille habitants, Journal ofciel, 17 octobre 1998.

100

LA CARTE DIDENTIT DANS LE RSEAU

de ltranger. La couleur de la CNI, qui a fait lobjet de discussions au moment de son tablissement, distingue clairement le titre didentit franais de ltranger. Cette situation renvoie symboliquement lide dtat-nation, devenue prpondrante dans le cadre dune identit europenne aux contours ous. Un autre niveau dexplication tient ce que ltat a lui-mme fortement pouss ce que la carte nationale didentit soit ressentie comme obligatoire par la population. Il y a cette volont publique une raison toute pratique : il a besoin didentier ses sujets pour retrouver ses dbiteurs. En 1916, loccasion de dbats parlementaires, les dputs Flix Bouffandeau, Jean Puech et Maurice Ajam dfendirent luniformisation des titres dlivrs par ltat dans les termes suivants : Il nest pas indiffrent de remarquer que ltat perd, chaque anne, des sommes considrables parce quil est impossible de retrouver des dbiteurs du Trsor qui ont disparu sans acquitter les frais de justice, amendes et condamnations pcuniaires quelconques prononces contre eux 1. On ne saurait tre plus clair. Dautres titres didentit que la CNI peuplent notre quotidien, commencer par le passeport. Il sagit dun document international de voyage soumis aux normes internationales de lOrganisation civile internationale. Ses conditions de dlivrance et de renouvellement sont xes par un dcret du 26 fvrier 2001 2. La CNI et le passeport restent la proprit de ltat, qui peut les retirer leur titulaire. Parmi les autres titres didentit en circulation, le plus usite est le permis de conduire, lequel ne prsente pas une grande scurit de fabrication et est largement falsi 3. Les questions souleves par linstauration et lexistence dun titre public didentit sont assez peu dbattues en France, alors que ces dbats existent dans dautres pays. En Angleterre, il nexiste pas ce jour de carte didentit dlivre par ltat. Lorsque, dans les annes 1990, le gouvernement
1. P. PIAZZA, Histoire de la carte nationale didentit, op. cit., p. 126. 2. Dcret n 2001-185 du 26 fvrier 2001 relatif aux conditions de dlivrance et de renouvellement des passeports. 3. Il y aurait 42 millions de permis de conduire en circulation, dont 2,7 millions de faux, www.forumatena.org, Newsletter, n 3, juillet-aot 2007.

101

LIDENTIT NUMRIQUE EN QUESTION

britannique envisagea linstauration dune telle carte, il dut faire face une leve de boucliers. Le National Council for Civil Liberties, une organisation de dfense des droits de lhomme, y vit une intolrable atteinte la libert individuelle et un encouragement au dveloppement des pires instincts autoritaires de ltat . La police elle-mme, limage de lassociation des ofciers de police, se dclara dfavorable au projet, les policiers considrant que linstauration de cette carte dtriorerait les rapports de la police avec la population. Le gouvernement dut renoncer au projet. En France, le projet dinstauration de la carte didentit INES (identit nationale lectronique scurise) avec donnes biomtriques a donn lieu de vives polmiques. Le Forum des droits sur lInternet a organis, de fvrier mai 2005, un large dbat public autour de ce projet, mobilisant des nergies pour et contre la question dune identit biomtrique. Pour justier linstauration dune telle carte, les autorits ont fait principalement valoir la lutte contre la fraude documentaire. Le moins quon puisse dire est que largument na gure convaincu. La possibilit dutiliser une telle carte pour des tlprocdures administratives ou des transactions commerciales en ligne tait lautre justication, qui na pas non plus soulev lenthousiasme.
La fraude documentaire de titres didentit en France
La fraude aux titres didentit en France nest pas sans une certaine ampleur. En juin 2005, une commission du Snat1 dnonait labsence de recensement de cette fraude par les autorits publiques. Cette commission notait quelle ne se limitait pas la seule contrefaon par imitation, mme sil existait bel et bien un march des faux titres didentit2, et que 14 700 passeports et 9 000 permis de conduire vierges avaient t vols en France entre 2003 et 2004.

1. Rapport dinformation au nom de la commission des lois constitutionnelles, de lgislation, du suffrage universel, du rglement et dadministration gnrale du Snat, annexe au procs-verbal du 29 juin 2005. 2. Le cot dun faux permis de conduire serait de 500 euros, et celui dun faux passeport de 2 000 euros.

102

LA CARTE DIDENTIT DANS LE RSEAU


Cette fraude aux documents ofciels a videmment pour but de couvrir dautres fraudes en cascade. Le Snat dnonait une chane de lidentit dfaillante , commencer par les conditions de dlivrance des extraits dacte de naissance, la simple connaissance de la liation dune autre personne permettant facilement de se faire remettre des documents dtat civil, sans parler des actes dtat civil tablis ltranger, dont un nombre croissant seraient irrguliers ou falsis.

Le Forum des droits sur lInternet commanda un sondage, ralis les 20 et 21 mai 2005 auprs dun chantillon reprsentatif de 950 personnes ges de 18 ans et plus. Ses rsultats dmontraient sans ambigut que les Franais percevaient de faon favorable la carte nationale didentit, quelle soit lectronique ou non. Le tableau 7.1 rcapitule les ractions des sonds au projet du ministre de lIntrieur de constituer un chier informatique national des empreintes digitales.
Tableau 7.1 Projet de chier des empreintes digitales (sondage du Forum des droits sur lInternet)
Question Est une mauvaise chose car cela constitue une atteinte la libert individuelle Est une bonne chose car cela permettra de lutter plus efcacement contre les fraudes lidentit Sans opinion Pourcentage 23 75 2

Sagissant de linstauration par le ministre de lintrieur dune carte didentit lectronique comportant des donnes personnelles numrises et biomtriques, telles quempreintes digitales, photographie, voire iris de lil, les rponses furent du mme ordre. Le tableau 7.2 rcapitule les ractions au projet de remplacement de la carte nationale didentit par la carte didentit lectronique pour lutter contre la fraude lidentit. Ce sondage montre quune large majorit de Franais ne partageaient pas cette date les rticences ni les objections exprimes dans le dbat public. Cela tient probablement au fait quils nont pas toujours t
103

LIDENTIT NUMRIQUE EN QUESTION


Tableau 7.2 Projet de carte didentit lectronique (sondage du Forum des droits sur lInternet)
Question Trs favorable Plutt favorable Plutt dfavorable Trs dfavorable Sans opinion Pourcentage 30 44 14 11 1

alerts des risques que pourraient faire peser sur les liberts les dveloppements technologiques introduits dans la carte, en loccurrence la biomtrie. Une explication labsence de rticence des sonds lintroduction gnralise de la biomtrie tiendrait au fait que les Franais seraient prts sacrier un peu de leurs liberts pour ce quils peroivent comme plus de scurit . lheure o ces lignes sont crites, le projet INES nest toujours pas entr dans une phase active de mise en uvre. On peut nanmoins prdire que, dans un avenir proche et sous une forme ou sous une autre, un titre didentit utilisant des technologies numriques, dont la biomtrie, sera introduit en France.
Quest-ce que la biomtrie ?
La biomtrie, dans le sens informatique qui nous concerne ici, est utilise des ns dauthentication dun utilisateur vis--vis dune identit numrique. Selon la dnition donne par le Cigref1 : Un systme de contrle biomtrique est un systme automatique de mesure bas sur la reconnaissance de caractristiques propres lindividu. Dans ce cas, il sagit de mesurer une caractristique rpute unique de lindividu (lempreinte digitale, liris, la forme du visage) an de lidentier et/ou de lauthentier. Dans tous les cas, lanalyse biomtrique seffectue par comparaison entre la mesure effectue sur lindividu (relev dempreinte, par exemple) et lenregistrement fait au pralable de cette caractristique physique.

1. Club informatique des grandes entreprises franaises (www.cigref.fr).

104

LA CARTE DIDENTIT DANS LE RSEAU


Cet enregistrement peut tre conserv dans une base de donnes centrale ou sur un dispositif autonome qui reste la proprit de lutilisateur (le plus souvent une carte puce ou une cl USB). Lattractivit de lanalyse biomtrique rside dans le fait que la caractristique mesure est intrinsque lindividu et ne peut pas tre facilement falsie. Cest galement pour cette raison que la biomtrie dclenche lire de certains groupes de pense au nom de la dfense des liberts individuelles.

Le problme juridique majeur pos par biomtrie est celui de la rvocation. En cas dusurpation dun mot de passe ou dune signature lectronique, il est facile pour son titulaire de les remplacer ou de les rvoquer. Ce nest pas aussi simple avec une empreinte digitale ou rtinienne. Lorsquun tiers sapproprie une identit biomtrique, il peut, au moyen de ses identiants (empreintes digitales, rtinienne, faciale, etc.), passer tout type de transactions au nom de la victime. Or comment cette dernire pourrait-elle rvoquer ou remplacer sa propre empreinte digitale ou son identit visuelle ? Les experts en scurit sont partags sur la question, mme si, en majorit, ils semblent considrer quune telle rvocation est possible, quoique difcile. Comme nous lavons vu au chapitre VI, les traitements biomtriques font lobjet dune surveillance particulire de la CNIL. Ainsi, tout traitement biomtrique doit tre autoris par la CNIL avant sa mise en uvre. Sauf impratifs de scurit, la CNIL interdit la centralisation des donnes biomtriques sur un serveur. Pour limiter le risque de captation par un tiers non autoris, elle exige, au contraire, que les caractristiques biomtriques des personnes soient uniquement conserves sur un support individuel de type carte puce, cl USB ou ordinateur.

Google, une autre carte didentit dans le rseau ?


Le 3 octobre 2007, alors quil tait auditionn par la commission des lois du Snat, Alex Trk, prsident de la CNIL, se dclarait inquiet [] de certains instruments informatiques, tels que le moteur de recherche Google [], capables dagrger des donnes parses pour tablir un prol dtaill de millions de personnes (parcours professionnel et personnel,
105

LIDENTIT NUMRIQUE EN QUESTION

habitudes de consultation dInternet, participation des forums) 1 . Venant du prsident de lautorit administrative indpendante charge de gendarmer le respect de nos vies prives, on nen attendait pas moins. Le constat est accablant : 47 % des Amricains avouent quils saisissent rgulirement leur nom sur Google 2 pour contrler les informations qui les concernent. Et lon sait que la quasi-totalit des internautes googlisent , cest--dire saisissent dans le moteur de recherche les noms de leurs contacts, de leurs rencontres, de leurs partenaires, la recherche dinformations les concernant. Ils exercent ainsi une sorte de contrle didentit en ligne, qui fait de Google un gigantesque chier de police. Certains moteurs de recherche ne sy sont dailleurs pas tromps, voyant dans cet usage dInternet la naissance dun march prometteur. En aot 2007, le moteur Spock annonait son lancement sur le march de la recherche dindividus 3. Son slogan est le suivant : Notre mission est de retrouver toute personne partout dans le monde 4. En saisissant les nom et prnom dun individu et en afnant sa recherche par des informations telles que sa date de naissance et son sexe, on peut disposer dune image, et mme de quelques autres noms de lentourage de la personne. Aux origines de la loi dite informatique et liberts 5 se trouvait la crainte dun systme automatis capable de mettre en che tous les Franais 6 . lpoque, linquitude concernait un systme dinformation administratif prvu pour interconnecter de nombreux chiers publics, dont ceux des renseignements gnraux et de la police judiciaire, qui aurait pu tre interrog au moyen dun identiant unique, le numro de Scurit sociale. Nest-on pas arriv aujourdhui l o lon redoutait daller ?
1. Audition dAlex Trk, prsident de la CNIL, devant la commission des lois du Snat, 3 octobre 2007, www.senat.fr/bulletin/20071001/lois.html#toc5. 2. Digital Footprints : Online Identity Management and Search in the Age of Transparency , www.pewinternet.org, 16 dcembre 2007. 3. Isabelle BOUCQ, Spock, le moteur qui vous renseigne sur les gens , 01net. com, 8 aot 2007. 4. Our mission is to have a search result for everyone in the world. 5. Loi n 78-17 du 6 janvier 1978 relative linformatique, aux chiers et aux liberts. 6. Philippe BOUCHER, Safari ou la chasse aux franais , Le Monde, 21 mars 1974.

106

LA CARTE DIDENTIT DANS LE RSEAU

Cr en 1998 dans la Silicon Valley, en Californie, par deux tudiants de lUniversit de Stanford, Google est une formidable machine collecter et restituer linformation vingt-quatre heures sur vingt-quatre et sept jours sur sept, an de la rendre universellement accessible et utile , comme le dit son slogan. Pour cela, le moteur a plac des milliers dordinateurs aux quatre coins dInternet. Selon une estimation, il disposait en mai 2006 dune capacit de stockage de 60 ptaoctets (250 octets) 1. On estime huit milliards le nombre de pages Web indexes par le moteur de recherche 2. Ce gigantisme ne concerne pas que les textes, images et vidos : Google collecte aussi des donnes caractre personnel, cest--dire des informations qui identient, expressment ou non, directement ou non, les individus personnes physiques. Les contours dune nouvelle carte didentit, en un certain sens une super-CNI , sont donc bien en train de se dessiner sous nos yeux. Combien de noms patronymiques, dinformations condentielles sur la vie prive des individus, sans compter les photographies et images de toutes sortes rattaches au nom dune personne, sont-ils indexs, enregistrs, stocks ? Les moteurs de recherche, Google au premier chef, sont devenus une immense base de recherche et dinvestigation sur les personnes.

Google et le droit franais


Au regard de la loi, Google et les autres moteurs de recherche peuvent-ils continuer collecter sans notre autorisation expresse des donnes caractre personnel nous concernant ? La rponse est claire et sans appel : larticle 6 de la loi informatique et liberts, qui vise protger les donnes caractre personnel, stipule quelles doivent tre collectes et traites de manire loyale et licite . Cela signie on ne peut plus clairement que toute collecte dinformations ralise linsu des intresss est illicite.
1. Daniel ICHBIAH, Comment Google mangera le monde , broch, 2006. 2. Information donne par wikipedia.org, dcembre 2007.

107

LIDENTIT NUMRIQUE EN QUESTION

la notion dautorisation pralable sajoute mme celle de consentement pralable pose par larticle 7 de la mme loi, qui dispose quun traitement de donnes caractre personnel doit avoir reu le consentement de la personne concerne . Le non-respect de ces dispositions est puni par larticle 226-18 du Code pnal de peines maximales de cinq ans demprisonnement et de 300 000 euros damende. Pour les personnes morales, lamende maximale est quintuple, pour atteindre 1,5 million deuros. Les donnes caractre personnel ne sont pas intrinsquement dangereuses. Cest lutilisation qui en est faite qui peut le devenir, notamment lorsque les objectifs poursuivis par leur traitement ne sont pas respects. Pour viter de tels risques, larticle 6-2 de la loi prvoit que la collecte et le traitement doivent rpondre des nalits dtermines, explicites et lgitimes, et ne soient pas traits ultrieurement de manire incompatible avec ces nalits . En vertu de ce principe, le chier doit obligatoirement avoir un objectif prcis : cest ce quon appelle la nalit . Autrement dit, le traitement des donnes caractre personnel doit se limiter la nalit dclare la CNIL, et les donnes exploites dans ce chier doivent tre cohrentes avec lobjectif x. Enn, les informations ne peuvent tre rutilises de manire incompatible avec la nalit pour laquelle elles ont t collectes. Le respect du principe de nalit proscrit toute utilisation ultrieure des donnes des ns trangres la nalit initialement xe. L encore, le dfaut de respect du principe de nalit est sanctionn pnalement de cinq ans demprisonnement et de 300 000 euros damende 1. Pour ne prendre que ces deux principes une collecte loyale et une nalit dclare et respecte , il peut tre afrm que Google est dans lillgalit la plus complte puisquil bafoue les principes mmes qui sont la base de la loi informatique et liberts. Google collecte longueur de journe et en trs grande quantit des donnes caractre personnel, quil enregistre et stocke. Il est matriellement impossible au moteur de recherche dobtenir le consentement
1. Art. 226-21 du Code pnal.

108

LA CARTE DIDENTIT DANS LE RSEAU

pralable des intresss, comme la loi lexige. Pour autant, la loi est la loi, et lobligation lgale demeure. Lobligation dautorisation pralable ne saurait tre implicite. Elle concerne toutes les donnes collectes, sans exception. Que Google fasse valoir que ses serveurs sont localiss ltranger ne change rien laffaire. Google sadresse au march franais, et les tribunaux franais afrment de plus en plus ouvertement que le critre retenir pour savoir si la loi franaise sapplique est le critre de destination. Le service Google est-il destin au march franais ? La rponse est immanquablement positive, sans besoin de dmonstration. Que faire dans ces conditions ? Appliquer la loi telle quelle ? La modier pour tenir compte dune volution qui ne pouvait tre anticipe en 1978 1 ? Les moteurs de recherche en gnral, et Google en particulier, rendent de trs nombreux services aux internautes. Il nest pas moins vident que lactivit de moteurs de recherche doit tre encadre par la loi et que la seule autorgulation, que Google dit sappliquer lui-mme, nest pas sufsante. Faute de quoi, cest bien dune carte didentit dun nouveau genre, sans contrle ni garantie pour nos liberts, qui verra le jour.

MySpace et Facebook
N Harvard en 2004, Facebook tait rserv lorigine aux seuls tudiants de cette Universit de Boston. lheure o sont crites ces lignes, Facebook est le plus mdiatis des rseaux dits sociaux, dfaut dtre le plus frquent. Les chiffres de frquentation des rseaux sociaux dans leur ensemble donnent dailleurs le vertige : plus de 200 millions de membres revendiqus par le premier dentre eux, MySpace, quelques dizaines de millions de membres pour Facebook, le second et encore quelques millions de membres pour tous les autres (Viadeo, ex-Viaduc, LinkedIn, etc.).
1. La loi de 1978 a subi un toilettage important par la loi n 2004-801 du 6 aot 2004 relative la protection des personnes physiques lgard des traitements de donnes caractre personnel transposant la directive n 95/46 du 24 octobre 1995, ellemme intervenue alors quInternet commenait peine sa pntration dans le grand public.

109

LIDENTIT NUMRIQUE EN QUESTION

Lexistence de ces rseaux sociaux na rien de choquant en soi. Ils offrent la possibilit de se faire des amis, de susciter des rencontres, de dvelopper ses relations professionnelles ou tout cela la fois. Chaque rseau a ses conventions de langage, de comportement, pour permettre chacun de dvelopper son rseau de relations. Linscription ces rseaux dbute toujours par un formulaire, destin tablir un prol. Ce prol ne se limite pas toujours un statut. On y ajoute ses gots, son caractre, ses amitis, parfois mme politiques, ses habitudes. Chaque membre de ces rseaux est invit communiquer le maximum dinformations le concernant. Dans la mesure o la dmarche est volontaire, il ny a rien dillgal cela, condition toutefois dtre parfaitement inform du devenir de ces informations. Or cest l que le bt blesse, et ce au moins deux niveaux. Le public adolescents en tte se rue sur ses services pour y dposer une masse considrable dinformations, lesquelles sont mises disposition de tous. Cette rue vers les rseaux sociaux se fait en bonne foi, parfois en toute navet pour les plus jeunes, parfois sous la pression sociale car dfaut dy tre prsent on pense quon nexiste pas . Trs souvent, les conditions de conservation, de stockage, voire dexploitation de ces donnes ne sont pas prcises par le propritaire du service. Rien nest dit non plus sur les adresses IP collectes ainsi que les adresses lectroniques des membres et de leurs contacts. Or, chacun sait que le modle conomique de ces rseaux sociaux est lexploitation des donnes caractre personnel, ce quon appelle la vente de laudience qualie ou des prols utilisateurs. Aussi, on peut tre inquiet du devenir des donnes dposes et exposes. En outre, si le rseau social a pris des engagements vis--vis des donnes caractre personnel des membres, de quelle garantie dispose le membre que ces engagements seront tenus ? Comment peut-il savoir que tous les moyens seront mobiliss pour empcher que des tiers mal intentionns accdent aux informations les concernant dont ces rseaux sont les dpositaires ? Autre problme majeur, de faux prols circulent sur ces rseaux. On compte par milliers des Nicolas Sarkozy ou des Sgolne Royal qui se dclarent en ligne. Trs souvent, ces faux prols, appels fakes, sont humoristiques sagissant de personnalits connues. Mais quen est-il du quidam ?
110

LA CARTE DIDENTIT DANS LE RSEAU

Qui peut tre un fournisseur didentit numriques sur les rseaux ?


Un systme didentit global, numrique ou pas, requiert toujours un fournisseur didentit. Une ide dominante dans la France daujourdhui est que ltat est la seule entit lgitime pour dlivrer des titres didentit. La CNI en est la parfaite illustration, puisque limmense majorit des Franais la dtiennent et la portent sur eux en permanence, alors quelle na aucun caractre obligatoire. Dans le monde des rseaux numriques, la dlivrance dun titre didentit simpose galement. Les cartes plastiques du monde rel y sont de peu dutilit. Il faut donc crer de toutes pices un systme susceptible de dlivrer de tels titres. Plusieurs expriences sont en cours, que nous avons dj voques dans cet ouvrage. La plupart des systmes didentit qui mergent sont mus par lide de laisser lutilisateur le contrle de son identit. Lide est que lutilisateur ne doit se voir imposer aucun titre de la part dune quelconque entit, quelle soit tatique ou prive. Au dbut des annes 2000, Microsoft avait lanc un systme didentit appel Passport 1, devenu par la suite Live ID. Par ce systme, les utilisateurs enregistraient une fois pour toutes sur un serveur centralis et matris par Microsoft leurs informations personnelles. Microsoft leur attribuait ensuite une identit numrique qui leur permettait daccder aux services offerts sur Internet et compatibles avec Passport, sans avoir saisir nouveau leurs informations personnelles. Ce systme centralis a enregistr jusqu 250 millions dutilisateurs et un milliard dutilisations par jour, essentiellement limites MSN, le service de messagerie instantane (chat) de Microsoft ou dautres services de Microsoft. En dehors de ces services, Passport a t un chec. Il existe quantit dobjections voir une socit multinationale telle que Microsoft dtenir de manire centralise des informations personnelles et fournir des titres didentit. Lchec de Passport a probablement sonn le glas
1. http://www.01net.com/article/160524.html?rub =, Lambition de Microsoft, un internaute, un Passport , 21 septembre 2001.

111

LIDENTIT NUMRIQUE EN QUESTION

des systmes didentit numriques centraliss et surtout matriss par une seule socit prive. Le nouveau projet Windows CardSpace de Microsoft 1 a pris acte de cette volution. Ce projet se focalise principalement sur le poste de travail de lutilisateur. Intgr notamment Windows Vista, ce qui lui procure une certaine force, cest une sorte de portefeuille didentit numrique sous la main de lutilisateur, puisquil rside sur le disque dur de lordinateur de lutilisateur. Celui-ci dispose de cartes didentit virtuelles quil a lui mme cres et qui comportent un niveau dinformations diffrent de lune lautre. En fonction du niveau dinformation requis par un fournisseur de service qui souhaite contrler lidentit de lutilisateur, celui-ci slectionne, au moyen dun slecteur didentit, telle ou telle carte. Le fournisseur de service et lutilisateur se trouvent alors rejoints par un troisime acteur, un fournisseur didentit dsign dans la carte didentit virtuelle de lutilisateur. Il est important de signaler ce stade que les informations requises par le fournisseur de service (par exemple un numro de carte bancaire) ne sont pas stockes chez lutilisateur mais chez le fournisseur didentit. Ce dernier, dont lensemble des coordonnes gure sur la carte, est interrog la demande du fournisseur de service pour authentier lutilisateur. Le fournisseur didentit fournit au fournisseur de service, via lutilisateur, une information chiffre et signe par lui. En thorie, le fournisseur didentit peut tre lutilisateur lui-mme, mais si lenjeu est important, il sera plus probablement indpendant de lutilisateur. La gure 7.1 illustre le slecteur didentit Windows CardSpace. Cest videmment, la qualit du fournisseur didentit choisi qui dtermine la conance du fournisseur de service et les ventuelles autorisations quil est prt accorder lutilisateur.

1. http://www.microsoft.com/net/cardspace.aspx.

112

LA CARTE DIDENTIT DANS LE RSEAU

Figure 7.1 Slecteur didentit Windows CardSpace

Cr en 2001 linitiative de la socit Sun Microsystems en raction au projet Passport de Microsoft, Liberty Alliance ( www.projectliberty.org) a t le premier projet de systme de fdration didentits de grande ampleur fond sur des standards ouverts et sur lintroduction du rle de fournisseur didentit en tant que tiers de conance. Dans ce modle, lutilisateur obtient une authentication unique (ou SSO, Simplied Sign-On) auprs dun fournisseur didentit. Au moyen de cet identiant unique, il accde ensuite un certain nombre de services Web offerts par des fournisseurs de services aflis (le cercle de conance). Le consortium Liberty Alliance regroupe aujourdhui plus de 150 entreprises des secteurs de linformatique, des tlcoms, de lindustrie et des services, ainsi que de nombreuses universits et organisations gouvernementales. Les deux principaux recueils de spcications publis par le consortium sont Liberty Federation pour la fdration didentits et Liberty Web Services pour la mise en place de services Web et de rseaux sociaux fonds sur la gestion des identits et sur le respect de la vie prive. Liberty Alliance propose galement des recueils de bonnes pratiques, ainsi que des programmes de test et de certication.
113

LIDENTIT NUMRIQUE EN QUESTION

Une autre grande exprience en cours dun systme didentit global est OpenID, que nous avons dj dcrit au chapitre V. la diffrence de Windows CardSpace, ce systme didentit numrique repose exclusivement sur des URL. Lutilisateur dOpenID doit faire le choix dun fournisseur didentit parmi une pluralit dacteurs pour tre authenti auprs du fournisseur de service. Les systmes didentit numrique du futur se feront ainsi probablement sans lintervention directe de ltat et au moyen dune multitude de fournisseurs didentit numriques qui dlivreront tous des titres didentit. Cette situation engendrera probablement la cration dun statut juridique spcique comportant des dispositions particulires en terme de responsabilit, de contrle notamment par la CNIL.

En conclusion
Les titres didentit dlivrs par ltat sont des objets incontournables de notre quotidien. Ces titres didentit, carte nationale didentit en tte, ont dj une longue histoire et font lobjet de rformes rgulires, dont la dernire en date et non encore mise en uvre devrait introduire la biomtrie. Ces cartes en plastique sont de peu dutilit sur les rseaux, du moins pour un usage direct. Se pose la question de savoir si des titres didentit numrique pourraient tre dlivrs lavenir. Ils le seront immanquablement, car tout systme didentit dlivre des titres didentit, mais ils ne le seront probablement pas par ltat. Ils ne le seront pas non plus par une seule socit prive, lchec du projet Passport de Microsoft attestant sufsamment le refus de mainmise dun seul acteur sur nos identits. Le besoin dun systme global didentit numrique se fait pressant. Les donnes personnelles et identits parpilles dans les rseaux continuent dtre quotidiennement happes et stockes par les moteurs de recherche, quand ce nest pas navement exposes par les utilisateurs eux-mmes. La pratique gnralise consistant oprer en ligne des contrles didentit via les moteurs de recherche et les rseaux sociaux est propice une rexion denvergure sur linstauration de titres didentit numrique.
114

CHAPITRE VIII

Le registre didentit numrique

Le 18 mars 1999, Fred Forest et Sophie Lavaud sunissent la mairie dIssy-lesMoulineaux dans le cadre dune crmonie particulire, baptise technomariage 1 . La date choisie correspond la deuxime dition de la fte de

lInternet, organise chaque anne avec le soutien des pouvoirs publics depuis 1998. La personnalit des deux maris est particulire. Lun et lautre sont des artistes reconnus pour leur utilisation novatrice des dveloppements informatiques et dInternet. Fred Forest a notamment vendu, en 1996 et pour la premire fois dans lhistoire de lart, une uvre virtuelle en ligne et aux enchres sous le contrle du commissaire-priseur Me Binoche. Le prix de lancement de lenchre tait de 1 franc, et luvre a t achete 55 000 francs.
Andr Santini, ministre et dput maire dIssy-les-Moulineaux, clbre la crmonie en prsence de trois tmoins : Vinton Cerf, lun des pres fondateurs dInternet, Jean-Michel Billaut, gourou de lInternet franais, et Franoise Schmitt, qui anime Paris une cole dart et de multimdia trs active 2. Deux autres tmoins assis-

tent la crmonie, mais distance et en ligne , lun Chicago, lautre Tokyo. Le technomariage mobilise un car rgie vido, deux consoles audio, sept ordinateurs et six lignes Numris (accs Internet rapide de lpoque).
1. www.fredforest.org. 2. Institut dtudes suprieures des arts, www.iesa.info.

115

LIDENTIT NUMRIQUE EN QUESTION

Sur le plan symbolique, les changes des alliances ont lieu. Sur le plan lgal, lensemble des protagonistes dclare que toutes les conditions lgales sont respectes , ce qui semble indiquer quaucun particularisme ou drogation aux conditions lgales poses par le Code civil nest observ. La publication des bans la porte de la maison commune 1 pendant dix jours , la justication de lidentit des poux et la production des pices mdicales exiges auprs de lofcier de ltat civil sont donc respectes. Les futurs poux dclarent leur amour en public et font savoir que ce mariage est un vnement bien rel. Un systme didentit ncessite ltablissement et la mise en uvre dun registre qui collecte un certain nombre de renseignements sur les individus. Dans le monde rel, cest notamment le registre de ltat civil. Ce registre peut prendre diffrents noms : annuaire, base de donnes, chier, etc. Il recense lensemble des identiants enregistrs dans une premire phase dinscription. Le registre intervient ensuite au stade de lidentication. Un oprateur humain ou un systme informatique recherche dans le registre une identit. Cette identication, si elle est positive, aboutit soit donner un droit, soit dlivrer un titre. Bref, le registre est un lment fondamental dun systme didentit global. Le registre de ltat civil est le premier dentre eux. Dans le monde Internet, le systme dannuaire Whois renseigne, sur toute la plante, sur les titulaires de noms de domaine. Un tel registre de rfrence pourrait inspirer les architectes des systmes didentit numrique.

Le registre de ltat civil


Ltat civil est un mode de constatation des principaux faits relatifs ltat des personnes. En France, il a t institu par Franois Ier en 1539 par lordonnance de Villers-Cotterts, qui rendait obligatoire la tenue de registres de baptmes par les paroisses indiquant la date et lheure de la naissance. Aprs la Rvolution, les registres paroissiaux de lglise catholique ont t progressivement remplacs par ceux des autorits civiles, le plus souvent des communes. En Europe, un mouvement de
1. La mairie (art. 64 du Code civil actuellement en vigueur, issu dune loi du 8 avril 1927).

116

LE REGISTRE DIDENTIT NUMRIQUE

mme nature sest dessin dans la plupart des pays entre le XIXe sicle.

XVIIIe

et le

Les principaux actes de ltat civil sont lacte de naissance, lacte de mariage et lacte de dcs. Le titre II du livre Ier du Code civil leur est consacr 1. Chacun a pu, une tape de sa vie (naissance, mariage, dcs dun proche), voir lofcier de ltat civil donner lecture, de manire plus ou moins solennelle, de lacte dtat civil venant ofciellement dtre constitu. Cest la loi qui confre ltat civil la scurit et la vracit des donnes enregistres. Une section spciale du Code pnal est consacre aux atteintes ltat civil des personnes 2 . Par exemple, ne pas dclarer un enfant la naissance est puni de six mois de prison et de 3 750 euros damende ; prendre un autre nom que celui de ltat civil dans un acte public ou authentique, de six mois de prison et 7 500 euros damende ; contracter un second mariage, dun an de prison et de 4 500 euros damende. Les informations contenues dans les registres de ltat civil sont des donnes caractre personnel. ce titre, elles sont troitement surveilles par la loi relative linformatique, aux chiers et aux liberts et la CNIL. La liste des organismes pouvant avoir accs ces donnes est limitativement numre. On y trouve en premier lieu lInsee 3, pour ltablissement de statistiques nationales, les services de ltat civil des mairies et les autorits judiciaires. Toute personne peut obtenir gratuitement copie dun acte de dcs ou dun extrait dacte de naissance de quiconque sans avoir justier des raisons sa demande ou de sa qualit. La demande peut seffectuer en ligne depuis la n de 2005 4. En revanche, la dlivrance dune copie intgrale ou dun extrait avec liation dun acte de naissance ou de mariage
1. Art. 34 101 du Code civil. 2. Art. 433-18-1 et suivants du Code pnal. 3. Dcret n 82-103 du 22 janvier 1982 relatif au rpertoire national didentication des personnes physiques et de linstruction gnrale de ltat civil. 4. www.acte-etat-civil.fr.

117

LIDENTIT NUMRIQUE EN QUESTION

est rserve lintress lui-mme ou sa famille, ainsi quaux autorits publiques ou judiciaires. La demande dextrait avec liation ne peut se faire distance que si le demandeur fournit des informations sur lintress. Ces informations assez banales sobtiennent facilement sur Internet, notamment le lieu de naissance, les nom, prnoms et date de naissance de lintress, ainsi que les noms et prnoms des parents.

Comment le Whois est devenu un registre didentit en ligne


Le 25 novembre 1998, le Dpartement du commerce du gouvernement des tats-Unis signe un protocole avec une socit de droit californien base San Diego constitue quelques jours plus tt, lIcann 1. Aux termes de cet accord 2, le gouvernement amricain dlgue lIcann la mission de coordination et dadministration des noms de domaine, mais aussi des adresses IP du systme de nommage Internet, appel DNS.
DNS (Domain Name Service)
Le DNS (Domain Name Service) a un pre bien identi : John Postel. Dcd en octobre 1998, cest ce professeur de lUniversit de Californie de Los Angeles (UCLA) qui a dcid de recenser et dallouer les adresses IP selon des critres dordre gographique. Il a ensuite mis en place et maintenu le systme des RFC (Requests For Comments) de lIETF. Aprs quil eut rejoint lUniversit du sud de la Californie (USC), lensemble de ces normes techniques et des personnes les ayant composes sest regroup au sein du groupe de travail Iana (Internet Assigned Numbers Authority) au sein de lassociation internationale Isoc (Internet Society). Cest lIana qui a mis en uvre le registre des noms de domaine, dit Registry, dlguant ses pouvoirs des organismes rgionaux, comme lInternic pour lAmrique du Nord, le RIPE NCC pour lEurope, lApnic pour la zone Asie-Pacique. leur tour, ces organismes ont dlgu leurs pouvoirs des entits locales. Par

1. Les statuts de la socit Icann (Internet Corporation for Assigned Names and Numbers) ont t signs le 6 novembre 1998. 2. Intitul Memorandum of Understanding between the US Department of Commerce and Icann , il peut tre lu ladresse www.ntia.doc.gov/ntiahome/ domainname/Icann-memorandum.htm.

118

LE REGISTRE DIDENTIT NUMRIQUE


exemple, en 1987, le RIPE NCC a dlgu ses attributions pour la zone .fr lInria, un tablissement public caractre scientique et technologique rgi par le dcret n 85-831 du 2 aot 1985 et appel pour la circonstance NIC France. LInria a laiss place une association rgie par les dispositions de la loi du 1er juillet 1901, lAfnic (Association franaise pour la gestion du nommage Internet en coopration). Dans le but notamment douvrir le systme aux diffrents intrts en prsence et de lui donner une diversit gographique, lISOC a constitu en novembre 1996 un Comit International ad hoc, lIAHC, compos de lInternational Telecommunications Union, de lOrganisation mondiale de la proprit intellectuelle, de lInternational Trademark Association et de deux membres dsigns par lISOC, lIANA et lIAB (Internet Architecture Board), autre groupe de travail de lISOC.

Le DNS est lpine dorsale des rseaux fonctionnant selon le protocole Internet (IP). Sans DNS, lusage du rseau deviendrait impraticable. Dans le DNS, on distingue aujourdhui encore deux grands types de domaines, encore appels sufxes ou extensions : Les domaines dits gnriques, ou internationaux, qui sont constitus dau moins trois lettres. Les plus connus et les plus anciens dentre eux sont .com, .net, .org, .biz et .info. Les domaines nationaux, ou gographiques, constitus dune extension deux lettres reproduisant le code dun tat conformment la norme ISO 3166-1. Il sagit du .fr pour la France, du .it pour lItalie, etc. Ces domaines, ou sufxes, associs un radical, constituent le nom de domaine. Ds le moment o le grand public sest mis investir le rseau, vers le milieu des annes 1990, la pnurie de noms de domaine sest fait sentir. Certains afrment que cette pnurie a t organise en conscience 1, an de faire voluer cette ressource technique quest le nom de domaine vers une valeur commercialisable. Le DNS est aussi un systme trs politique. Chaque tat voit dans son domaine gographique une manifestation de sa souverainet, voire de son identit nationale. La Croatie na obtenu son extension. hr que tardivement, par exemple. De mme, lUnion europenne na dispos de son
1. Laurent CHEMLA, Confessions dun voleur , Le Monde, 29 avril 2000.

119

LIDENTIT NUMRIQUE EN QUESTION

extension. eu quen 2006, aprs prs de cinq ans de tractations auprs de lIcann. Certains se sont demand si le temps mis la cration de cette extension ntait pas le rsultat dune rsistance de lIcann et, au travers delle, du gouvernement amricain, qui naurait pas vu dun bon il lavnement dune extension purement europenne. Si la cration dune extension est un acte politique, sa suppression ne lest pas moins. Ainsi, aprs la disparition de ltat du Zare et son remplacement par la Rpublique dmocratique du Congo, lextension .zr navait plus lieu dtre, sauf pour les opposants au nouveau rgime. En dpit de protestations, le .zr a t supprim sur requte de lIcann dans le courant de lanne 2001.
Icann et gouvernement amricain
Toute dcision prise par lIcann au titre du DNS requiert laccord du DOC (Department of Commerce). Symbole de cette omniprsence des intrts amricains et privs, le systme de nommage est centralis par treize serveurs dits de racine , sur lesquels lensemble des routeurs du monde entier viennent copier larbre de nommage. En quelque sorte, il sagit des treize serveurs matres de la base de donnes mondiale des noms de domaine. Ces serveurs ont eux-mmes une structure pyramidale, la tte de laquelle se trouve le serveur racine dit A, le matre des matres de la base de donnes. La rpartition gographique des serveurs racine est la suivante : dix aux tats-Unis, deux en Europe (Londres et Stockholm), un en Asie (Tokyo). Un seul de ces serveurs est matris en principe par lIcann. Plus encore que la localisation gographique ou lentit propritaire, cest le mode de gestion de ces serveurs, et plus spcialement du serveur racine A, qui tonne. Pour chaque acte de gestion touchant ce serveur cration, suppression dune extension, par exemple , lIcann adresse une requte lentit gestionnaire, la socit VeriSign. Loin de diligenter sans dlai la requte de lIcann, VeriSign demande dabord le feu vert du DOC, une formalit bien peu neutre. On peut stonner que le DNS soit entre les mains dun seul gouvernement et que cette situation perdure, alors mme quInternet est partag par le monde entier. Bernard Benhamou, lun des meilleurs spcialistes franais de la gouvernance Internet, rsume cette situation de la faon suivante : Ladministration Clinton avait prvu de donner son indpendance lIcann, mais lessor politique et conomique dInternet a fait reculer le gouvernement amricain. Celui-ci rsume dsormais sa position en ces

120

LE REGISTRE DIDENTIT NUMRIQUE


termes : "Internet est le moteur de notre croissance et nous ne permettrons pas quil soit pris en otage pour des raisons politiques"1.

LIcann nest pas un nouveau registre dtat civil. La socit amricaine ne recense pas des individus mais des titulaires de noms de domaine et leurs contacts, et elle le fait au travers lannuaire Whois. Ce dernier (contraction de langlais who is, littralement qui est ? ) est un annuaire public des dposants de noms de domaine Internet et dadresses IP. Il recense un grand nombre dinformations sur le titulaire du nom de domaine ou de ladresse IP, ainsi que les contacts administratifs, techniques et nanciers relatifs ces mmes noms de domaine et adresses IP. LIcann dispose de la matrise juridique de lannuaire Whois. Cest elle qui en dtermine le contenu ainsi que les standards techniques qui le composent. Cependant, elle en a dlgu la gestion aux bureaux denregistrement de noms de domaine, ces centaines de socits rparties dans le monde entier qui distribuent les noms de domaine. Le tableau 8.1 (page suivante) recense lensemble des informations restitues par le Whois lorsque le service est interrog sur le site dun des bureaux denregistrement pour savoir qui est enregistr pour le nom de domaine adobe.com. Le Whois informe que le titulaire du nom de domaine (registrant) est la socit Adobe Systems Inc. base San Jose, en Californie. Elle renseigne galement sur les contacts administratifs et techniques dclars pour ce nom de domaine, tous deux tant galement la socit Adobe. Un troisime contact, qui napparat pas dans la che, le contact nancier, gure galement comme un champ du Whois. Ce dernier tombe de plus en dsutude, les titulaires de noms de domaine se contentant de renseigner les champs des contacts administratifs et techniques. Il est possible que les fonctions administratives et techniques soient dlgues des tiers.

1. Bernard BENHAMOU, entretien avec Stphane Foucart, www.netgouvernance.org, 2006.

121

LIDENTIT NUMRIQUE EN QUESTION


Tableau 8.1 Rponses du Whois une requte sur le nom de domaine adobe. com
Registrant : Adobe Systems Incorporated 345 Park Avenue San Jose, CA 95110 US Domain Name : ADOBE. COM -----------------------------------------------------------------------Promote your business to millions of viewers for only $1 a month Learn how you can get an Enhanced Business Listing here for your domain name. Learn more at http://www.NetworkSolutions.com/ -----------------------------------------------------------------------Administrative Contact : Admin, DNS dns-admin@adobe.com 345 Park Avenue San Jose, CA 95110 US +1.4085366777 fax : +1.4085374000 Technical Contact : Adobe Systems Incorporated dns-admin@adobe.com 345 Park Avenue San Jose, CA 95110 US 408-536-6000 Record expires on 16-May-2012. Record created on 14-Nov-2003. Database last updated on 17-Feb-2008 15:53:43 EST. Domain servers in listed order : ADOBE-DNS-3.ADOBE. COM 192.150.22.30 ADOBE-DNS. ADOBE. COM 192.150.11.30 ADOBE-DNS-2.ADOBE. COM

Remarquons que lunit denregistrement interroge ici, la socit amricaine Network Solutions, a insr dans sa rponse une autopublicit. Enn, le Whois a fourni en n de che ladresse de deux serveurs qui grent ce nom de domaine.
122

LE REGISTRE DIDENTIT NUMRIQUE

Lutilit du Whois nest pas dmontrer en matire contentieuse. Dans le cas dun litige entre un nom de domaine et une marque, le titulaire de la marque est renseign grce au Whois sur lidentit du titulaire du nom de domaine. Il peut ds lors apprcier si ce titulaire dispose dun intrt lgitime possder ce nom de domaine et sil est de bonne ou mauvaise foi. Par exemple, sur la base de lidentit dclare par le titulaire du nom, il peut chercher savoir si celui-ci possde des droits sur une autre marque ou un autre signe distinctif reproduisant le nom de domaine et ainsi valuer ses chances de succs pour le rcuprer par une dmarche contentieuse. Il peut aussi rechercher si ce titulaire de nom de domaine a dj connu des affaires de cybersquatting et a t condamn restituer un nom de domaine 1. Plus gnralement, la che didentit Whois renseigne les tribunaux sur tout litige impliquant un service Internet associ un nom de domaine. Dans ce type de litige, la che Whois devient presque systmatiquement une pice du dossier qui renseigne les tribunaux sur les protagonistes du litige. Dans le cas dun litige avec lditeur dun site Web qui publie des informations considres comme diffamatoires par un tiers, lditeur nest pas ncessairement clairement identi sur le site Web incrimin, bien que ce soit pour lui une obligation lgale. Or il est impossible pour un tribunal de sanctionner une personne physique ou morale sil ne la pas clairement et pralablement identie. Do le recours au Whois. Il nexiste pratiquement plus de dossier contentieux mettant en cause un site Internet dans lequel la che didentit imprime partir du Whois ne soit dpose comme pice au tribunal. Les informations publies dans le Whois sont le plus souvent le rsultat dune simple dclaration. Lunit denregistrement impose gnralement dans ses contrats des dclarations exactes. Ainsi, lunit denregistrement mongasque Namebay impose dans ses conditions gnrales de service que le client devra fournir Namebay des informations exactes, prcises et
1. Par exemple, lOMPI, charge par lIcann de faire trancher les litiges entre noms de domaine et marques par des experts quelle a slectionns, publie toutes les dcisions rendues sur ladresse http://www.wipo.int/amc/en/domains/cases.html.

123

LIDENTIT NUMRIQUE EN QUESTION

ables et devra les mettre jour immdiatement pendant toute la dure de lenregistrement du domaine 1 . La nature juridique du Whois est controverse. Sagit-il dun simple service de publicit ou bien cette publication est-elle constitutive dun droit, linstar du registre des marques pour lINPI ? La question na pas clairement t tranche et nest pas connue des tribunaux. Nous penchons pour la premire hypothse, celle qui fait du Whois un simple registre de publicit. Pour que cette publication soit constitutive dun droit, il faudrait en effet que la loi le dcide. Or tel nest pas le cas ce jour. Il convient toutefois de noter que le Whois dispose dun statut juridique propre. Chaque bureau denregistrement de noms de domaine ou chaque registre contracte avec lIcann lobligation de publier un service Whois. Toute unit denregistrement a lobligation, si elle veut exercer cette fonction, de passer avec lIcann un contrat intitul contrat daccrditation 2 . Ce contrat prvoit en son article 3.3.1 que toute unit denregistrement doit, ses frais, fournir une page Web interactive fournissant gratuitement au public toutes les informations concernant le nom de domaine dont elle assure la distribution. Cependant, une tendance rcente voit un certain nombre dunits denregistrement soit faire payer la non-inscription au Whois, constituant ainsi une sorte de liste rouge payante, linstar du tlphone, soit en restreindre laccs, notamment pour viter que des bureaux denregistrement concurrents ne dmarchent de mmes clients. La publication gratuite et pour tous des informations du Whois pose la question des donnes caractre personnel. Le Whois est devenu une source prcieuse pour les professionnels du Spam, qui y aspirent des donnes pour les exploiter illgalement. En raction, certains bureaux denregistrement ne publient plus toutes les donnes. LAfnic, par exemple, a dcid de ne pas publier les noms de domaine dtenus par des particuliers. Cette dcision est conteste par les titulaires de marques qui font valoir que lanonymat des personnes physiques est propice au cyber1. Art. 4, al. 2, http://www.namebay.com/Documents/Default.aspx. 2. http://www.icann.org/registrars/ra-agreement-17may01.htm.

124

LE REGISTRE DIDENTIT NUMRIQUE

squatting. En Angleterre, lunit denregistrement Nominet a pris une mesure de mme nature, mais limite aux consommateurs, ce qui constitue une dnition plus troite et plus ne que celle de personnes physiques , lesquelles peuvent tre commerants, artisans ou professionnels. Dans tous les cas, lanonymat du titulaire dun nom de domaine peut tre lev par dcision judiciaire. En rsum, si le Whois est un annuaire dorigine technique complet et trs utile, lusage qui en est fait la transform en un vritable registre didentit, en particulier par la production systmatique de ches didentit devant les tribunaux. Cette pratique dmontre quun registre en ligne dont le fonctionnement est rgi par contrat entre diffrents acteurs professionnels est possible.

Registre et fournisseur didentit


Un systme didentit numrique global commande, selon nous, que les utilisateurs des rseaux dlguent la gestion de leur identit numrique un tiers. Ce tiers, qui pourrait tre de droit priv, la diffrence du monde rel, dans lequel ltat assume ce rle, devrait obir un statut garantissant sa prennit et sa bonne moralit, ou du moins prendre des engagements en ce sens. Ce tiers, que nous appelons fournisseur didentit, et qui ne devrait en aucun cas tre unique, sera immanquablement amen grer un registre didentit servant identier les utilisateurs et garantir leur identit auprs de fournisseurs de service. ce stade, plusieurs remarques sont ncessaires. En premier lieu, les rgles minimales de scurit commandent que le registre ne soit pas centralis an de ne pas tre lobjet dattaques. En deuxime lieu, ce registre didentit devra est gr selon des rgles transparentes, clairement afrmes. En clair, le gestionnaire du registre devra prendre des engagements contractuels forts. Enn, ce registre devra comporter des rgles de scurit fortes, telles que la loi limpose. Pour mmoire, larticle 29 de la loi du 6 janvier 1978 formalise cette obligation de scurit renforce vis--vis des donnes caractre personnel, lequel est devenu article 34 et a t modi comme suit par la loi n 2004-801 du 6 aot 2004 : Le responsable du traitement est tenu de
125

LIDENTIT NUMRIQUE EN QUESTION

prendre toutes prcautions utiles, au regard de la nature des donnes et des risques prsents par le traitement, pour prserver la scurit des donnes et, notamment, empcher quelles ne soient dformes, endommages ou que des tiers non autoriss y aient accs. Larticle 7 de la convention du Conseil de lEurope du 28 janvier 1981 comporte, en son article 7, des principes voisins puisquil y est question de prendre des mesures appropries pour protger les donnes caractre personnel contre la destruction, accidentelle ou non, ou la perte. Cest donc bien une obligation gnrale de scurit et mme une obligation de rsultat qui psent sur le gestionnaire du registre. Pour ceux qui en douteraient, rappelons que la loi franaise sanctionne le manquement lobligation de scurit dune peine demprisonnement de cinq ans et dune amende de 300 000 euros 1.

En conclusion
Un registre de rfrence dans lequel seraient recenses les identits numriques est possible, et mme indispensable. Un systme didentit numrique global ne peut se passer dun tel rfrentiel pour trancher les litiges sur lidentit, notamment les problmes dhomonymie. Le registre de ltat civil franais a une longue histoire, mais une histoire en volution. ce jour, il ignore lidentit numrique, tout comme, une certaine poque, il ignorait le nom de lpouse ou les divorces. Il serait temps que cette volution prenne place pour que, demain, lenfant qui vient de natre voie le registre accueillir sa nouvelle identit numrique. Sagissant du registre didentit numrique global inventer, celui-ci pourrait sinspirer de lexemple probant du Whois, qui est devenu, ft-ce son corps dfendant, un registre didentit.

1. Art. 226-17 du Code pnal : Le fait de procder ou de faire procder un traitement de donnes caractre personnel sans mettre en uvre les mesures prescrites larticle 34 de la loi n 78-17 du 6 janvier 1978 prcite est puni de cinq ans demprisonnement et de 300 000 euros damende.

126

CHAPITRE IX

Limage attaque

En dcembre 2007, des clichs intimes, certains mmes pornographiques, dune grande championne franaise de natation sont diffuss sur Internet. Selon la rumeur, ces photographies auraient t prises pour la plupart avec le tlphone mobile de son compagnon italien de lpoque. Le petit ami en question dment la rumeur, avant quun journal italien afrme quil aurait reconnu avoir remis ces photos un tiers. Les photos sont diffuses sur le rseau Internet dans lunique but de nuire la rputation de la nageuse. Leur publication suscite aussitt des ractions de la part de nombreuses personnalits, notamment le secrtaire dtat aux Sports, Bernard Laporte, qui se fend dans les mdias de dclarations de soutien la nageuse. La presse rapporte que, sur demande expresse de lavocat de la championne, la majorit des sites Internet qui ont publi les photographies les retirent. Son entourage prcise quelle ne compte pas en rester l et quune action en justice pour violation du droit limage est imminente. Quoi quil en soit, le mal est fait, et limage de la jeune championne est peut-tre entache jamais.

Le droit limage
Lidentit ne se rduit pas aux identiants que lon se donne (pseudo, mot de passe) ou que lon reoit de tiers (nom de famille, numro de Scurit sociale), mais stend ce que les autres peroivent de soi : son
127

LIDENTIT NUMRIQUE EN QUESTION

image. A fortiori, lidentit numrique, qui volue par essence dans le monde du multimdia, et donc de limage, recouvre un spectre beaucoup plus large que les seuls identiants et est indissociable de limage. Cela concerne autant les particuliers que les organisations, en particulier les entreprises. En dpit de lavnement dune socit de limage , il est extrmement difcile pour une personne ou une organisation de contrler limage quelle entend donner delle-mme sur les rseaux. La loi dispose dun certain nombre de textes qui protgent limage des personnes, y compris les entreprises. Dans certaines circonstances bien particulires, la reproduction dune image sans autorisation peut tre constitutive dun des dlits du droit de la presse, la diffamation ou linjure publique. Dans dautres situations, le Code pnal vise le cas 1 o des personnes xent, enregistrent, transmettent limage dune autre personne se trouvant dans un lieu priv sans son consentement. Ce dlit est puni des peines maximales dun an demprisonnement et de 45 000 euros damende 2. Par ailleurs, selon larticle 228-8 du Code pnal est puni dun an demprisonnement et de 15 000 euros damende le fait de publier, par quelque voie que ce soit, le montage ralis avec les paroles ou limage dune personne sans son consentement, sil napparat pas lvidence quil sagit dun montage ou sil nen est pas expressment fait mention . En ralit, ces textes pnaux sont peu appliqus par les tribunaux correctionnels, qui rechignent gnralement condamner des peines aussi lourdes. Les juges ne peroivent pas toujours la violation de la vie prive comme une atteinte lordre public mritant une sanction pnale. Larticle 226-1 du Code pnal comporte de surcrot une exclusion dans laquelle sengouffrent le plus souvent les prvenus : son dernier alina dispose que, si la violation du droit limage a t accomplie au vu et au su des intresss sans quils sy soient opposs alors quils taient en mesure de le faire , leur consentement est prsum.
1. Livre II, titre II, chap. VI, section 1. 2. Art. 226-1 du Code pnal.

128

LIMAGE ATTAQUE

Le cas type est celui dune fte entre amis dans un lieu priv. Des photos sont prises, qui se retrouvent le lendemain sur Facebook sans laccord des intresss. Ce cas semble correspondre la prvention de larticle prcit du code pnal. Pourtant, il sera en pratique difcile de le mettre en uvre dans un cadre pnal. Manifestement, la soire sest passe entre amis, la photo a t prise avec le consentement implicite des personnes, et elles ne sy sont pas opposes. Le texte a ds lors peu de chance dtre appliqu.
Le happy slapping, ou lorsque la diffusion dune image devient un dlit
Le happy slapping dsigne le fait de lmer lagression physique dune personne, gnralement au moyen dun tlphone mobile, pour ensuite la diffuser. En avril 2006, lagression lme dune enseignante dun lyce de la rgion parisienne avait fait scandale1. Comme souvent en pareil cas, le lgislateur franais sest empar de laffaire et a vot rapidement une loi faisant du happy slapping un dlit spcique. Pourtant, de lavis de certains juristes, les textes gnraux auraient pu sappliquer cette pratique malsaine. Cest dsormais larticle 222-33-3 du Code pnal qui punit le fait denregistrer sciemment par quelque moyen que ce soit, sur tout support que ce soit, des images relatives la commission [dune infraction] . Les peines encourues sont celles de linfraction elle-mme, lauteur des images tant poursuivi pour complicit dans la commission de linfraction. Le simple fait de recevoir ces images de violence puis de diffuser ou rediffuser cet enregistrement dautres est passible quant lui de cinq ans demprisonnement et de 75 000 euros damende2.

Cest dans ce contexte quest apparue la notion de droit limage . Le droit limage est une construction juridique qui a t essentiellement btie par linstitution judiciaire, et non par le lgislateur. Il sagit en quelque sorte dune des modalits imagines par les juristes pour protger la vie prive des personnes physiques. Lide qui le sous-tend est que chacun a le droit de matriser son image. Le principe du droit limage est nonc par les juges gnralement
1. Bastien INZAURRALDE, Libration, www.libration.fr, 12 juin 2007, La violence de lagression ne vous a pas donn envie de poser le tlphone ? Lagresseur, 13 ans, a t condamn par le tribunal correctionnel de Versailles vingt mois de prison, dont douze fermes, et lauteur de la vido, 14 ans, trois mois de prison ferme. 2. Loi n 2007-297 du 7 mars 2007, art. 44.

129

LIDENTIT NUMRIQUE EN QUESTION

dans les termes suivants : Toute personne a, sur son image et sur lutilisation qui en est faite, un droit exclusif et peut sopposer sa diffusion sans son autorisation 1. Les fondements lgaux de ce droit sont les articles 9 du Code civil 2 et 8 de la Convention europenne des droits de lhomme 3. La question de lautorisation donne par la personne pour la reproduction de son image est videmment centrale. Si elle a donn son autorisation, il ny a pas a priori violation du droit. Dans le cas contraire, la violation est constitue et lauteur de la reproduction sans droits doit acquitter des dommages et intrts pour le prjudice quil a caus. Le droit dInternet connat bien cette question. Le 10 fvrier 1999, la cour dappel de Paris avait svrement condamn 4 lhbergeur gratuit altern.org pour avoir hberg dix photos dEstelle Lefbure, pouse H., strictement prives la reprsentant dnude sans son autorisation. lpoque, laffaire avait fait grand bruit, car elle posait la question de la responsabilit du prestataire technique. La cour dappel de Paris a introduit sa dcision par le propos suivant : Considrant que toute personne a sur son image et sur lutilisation qui en est faite un droit absolu qui lui permet de sopposer sa reproduction et sa diffusion sans son autorisation expresse et ce, quel que soit le support utilis []. La porte et ltendue dune autorisation donne un tiers de reproduction ou de diffusion de son image sapprcient trs strictement par les tribunaux. Lautorisation doit bien videmment tre pralable, expresse et spciale. Sur ce dernier point, cela signie que lautorisation doit prciser quelle est la nalit de la publication de limage. Par exemple, une entreprise ralise un trombinoscope en rassemblant dans un document les photos de lensemble de ses collaborateurs quelle poste
1. Voir CA de Paris, 31 octobre 2001, D 2002, somm. 2374, note Marino. 2. Art. 9 du Code civil : Chacun a droit au respect de sa vie prive. 3. Art. 8 de la Convention de sauvegarde des droits de lhomme et des liberts fondamentales telle quamende par le protocole n 11 : Toute personne a droit au respect de sa vie prive et familiale, de son domicile et de sa correspondance. 4. CA de Paris, 10 fvrier 1999, Estelle H./Valentin L., www.legalis.net. La condamnation en rfr exigeait une provision de 300 000 francs, soit plus de 46 000 euros.

130

LIMAGE ATTAQUE

sur son site Web. Lautorisation crite des collaborateurs est requise, et cette autorisation doit faire gurer cette nalit. En dehors du trombinoscope, lentreprise na aucunement le droit de diffuser la photographie dun de ses collaborateurs. Sil y a eu autorisation mais que la nalit ne soit pas respecte, la violation est galement constitue. Il en va de mme du support choisi. A priori, lautorisation pour une diffusion sur papier ne vaut pas autorisation pour les rseaux. Cest ce qua rappel le tribunal de grande instance de Paris dans un jugement qui a t amplement comment : Toute personne dispose sur son image, partie intgrante de sa personnalit, dun droit exclusif qui lui permet de sopposer sa reproduction sans son autorisation expresse et spciale, de sorte que chacun a la possibilit de dterminer lusage qui peut en tre fait en choisissant notamment le support quil estime adapt son ventuelle diffusion 1. Ainsi, une autorisation donne pour une publication sur support papier, ne vaut pas autorisation pour un site Web et vice versa. Une autorisation pour un trombinoscope ne vaut pas autorisation pour une campagne de publicit, mme sur le Web, etc. Il est donc essentiel de prciser lobjet de lautorisation en distinguant, le cas chant, la prise de vue et sa diffusion, sur diffrents supports et des ns spciques. Comme en matire de vie prive, la charge de la preuve pse sur la personne qui se prvaut de lautorisation, cest--dire, le plus souvent, lauteur de la publication. La reconnaissance par les tribunaux du droit limage a eu la consquence inattendue de faire entrer limage de soi dans lre des affaires. Toute personne peut tre tente de monnayer son image sur une photo ou une vido et de menacer le diffuseur dune action contentieuse si une transaction nancire nest pas opre son prot. Ce sont l des pratiques de plus en plus courantes. Les tribunaux doivent alors trancher entre droit limage et droit linformation. En fvrier 2001, pour limiter les abus du droit limage, la Cour de cassation a pris en compte lexception fonde sur les exigences de linformation
1. TGI de Paris, 17e chambre, 7 juillet 2003 ; Legipresse, n 207, III, 196, dcembre 2003.

131

LIDENTIT NUMRIQUE EN QUESTION

du public dans le cas prcis de la ncessit de rendre compte dun sujet dactualit. Lide est que le droit limage ne peut faire chec la diffusion dune photographie rendue ncessaire par les besoins de linformation. Dans une affaire o des photographies de victimes de lattentat de la station RER Saint-Michel commis Paris en juillet 1995 avaient t diffuses, photographies qui navaient pas t pralablement autorises par ces mmes victimes, la Cour de cassation a nonc que la libert de communication des informations autorise la publication dimages des personnes impliques dans un vnement, sous la seule rserve du respect de la dignit humaine 1 . Pour bien montrer toute la complexit du montage juridique que constitue le droit limage, citons la thorie dite de laccessoire . Cette thorie permet de suspendre le droit limage quand le clich nest pas centr sur une personne mais sur un vnement dactualit. Dans un cas jug, un individu avait assign en justice le journal France Soir pour avoir publi une photographie sur laquelle il gurait, illustrant un article faisant tat dune opration de police dirige contre les milieux islamistes. Il arguait dune atteinte au respect de sa vie prive ds lors que, pratiquant isralite portant la barbe, il se trouvait, tant identiable sur la photographie, assimil aux personnes impliques dans laction de la police . La Cour de cassation a conrm larrt dappel retenant que la photographie tait prise sur le seuil dun btiment public, que rien ne venait isoler M. X. du groupe de personnes reprsentes sur la photographie, centre non sur sa personne, mais sur un vnement dactualit, auquel il se trouvait ml par leffet dune concidence due des circonstances tenant exclusivement sa vie professionnelle . La Cour de cassation ne lui a pas reconnu le droit limage, puisque la photo ntait pas centre sur lui et quil se trouvait ml par hasard un fait dactualit. Il est galement possible dcarter la mise en uvre du droit limage quand la personne nest pas identiable. Cest la raison pour laquelle, a contrario, certains magistrats prcisent, notamment propos de personnes
1. Cass., 1re chambre civile, 20 fvrier 2001, Bull. civ., I, n 42.

132

LIMAGE ATTAQUE

photographies dans une manifestation publique, que le droit limage joue pour la diffusion de limage dun individu aisment identiable . Le caractre non identiable est parfois le corollaire du caractre accessoire de la personne. Il peut aussi rsulter de la prise de vue, de trois quarts, par exemple, ou de techniques de outage des visages. Les magistrats estiment que la violation du droit limage suppose quun lecteur normalement attentif puisse discerner les traits de la personne reprsente pour pouvoir la reconnatre. linverse, propos de la photographie dun enfant handicap reproduite dans un article sur un centre de rducation fonctionnelle, la cour dappel de Paris a estim quil importait peu que lidentit de lenfant des demandeurs nait pas t divulgue, ds lors quil se trouvait, en dpit du lger maquillage dont il fait lobjet, parfaitement reconnaissable sur une photographie le reprsentant seul, en gros plan, avec une lgende rvlant la nature de son inrmit . Le droit limage est donc une construction complexe, qui est le fait des tribunaux et qui comporte un grand nombre dexceptions. Ce droit ne concerne en outre que les personnes physiques. Pour les personnes morales, notamment les entreprises, la protection de limage recourt des techniques juridiques plus communes, comme la concurrence dloyale, la contrefaon de marque ou plus simplement la responsabilit de droit commun 1.

Apprciation critique du rle de la loi dans la dfense de limage


La question de la dfense de limage sur les rseaux, et notamment Internet, pose incidemment la question de la position de la loi dans le cyberespace. Notre propos nest pas de discuter des diffrents moyens juridiques offerts aux victimes. Comme nous venons de le voir, ces moyens sont du domaine du droit de la presse, de la proprit intellectuelle ou de textes particuliers, comme ceux dfendant la vie prive et insrs au Code pnal. Nous souhaitons plutt nous demander si le droit, dans ltat
1. Art. 1382 du Code civil.

133

LIDENTIT NUMRIQUE EN QUESTION

actuel, est vritablement utile la dfense de limage, si les diffrentes techniques juridiques mises au point sont efcaces et, sinon, quelles volutions attendre. Avouons-le sans dtour : le droit seul ne peut rien, ou pas grand-chose, pour la dfense de limage des personnes sur les rseaux, et ce principalement pour trois raisons : La technique autorise la reproduction, la diffusion et la modication de limage grande chelle, rapidement et sans cot. Face ce paramtre constant et incontournable, les images se trouvent massivement sur le rseau et sont diffuses une vitesse devant laquelle la loi et les tribunaux sont dmunis. Le propritaire de limage vole se voit alors sans moyen de dfense. Limage des personnes physiques ou morales sur Internet permet dafrmer une prsence sur les rseaux, dy faire des affaires, etc. De plus, limage schange. Le succs de sites tels que You Tube ou Daily Motion, voire des rseaux sociaux de type Facebook, montre que limage circule largement, quelle se partage, se diffuse, se maquille, se modie, et nit par chapper tout contrle. Il est trs difcile didentier les auteurs dinfractions. Cette difcult nest pas propre la question de limage et concerne tous les faits dlictueux qui prennent place en rseau, notamment les atteintes la vie prive, la contrefaon et la cybercriminalit en gnral. Pour trouver une solution au problme du droit limage sur les rseaux, il faudrait que le lgislateur et la loi prennent conscience de lexistence de nouvelles normes qui faonnent la socit et qui lui chappent et quils composent avec elles. Ces normes sont la technique, les pratiques (norme comportementale) et les affaires (loi du march). La socit de linformation est rgie par un corpus de normes qui ne sont pas toutes juridiques et qui disputent sa suprmatie la loi. La situation peut tre rsume dans les quatre niveaux de normes illustrs la gure 9.1.

134

LIMAGE ATTAQUE

Loi

Norme comportementale

Norme conomique

Norme technique

Figure 9.1 Les quatre niveaux de normes

Applique la conduite automobile, notre prsentation pourrait sexprimer de la faon suivante : 1. Le code de la route : cest la loi, la norme suprme. Elle est en outre la seule norme dmocratique du schma, celle qui devrait prvaloir. Elle doit se placer en tte pour rguler le rseau. 2. La faon de conduire : cest la norme comportementale, la manire dtre. Du fait de paramtres le plus souvent culturels, la manire dtre au volant dun automobiliste rsidant en Grce nest pas celle dun Anglais ou dun Portugais. Cette manire dtre inue sur la faon dont le lgislateur faonne le code de la route. 3. Les constructeurs automobiles : cest la norme conomique, les lois du march, lesquelles inuent sur la rgulation. Le prix payer pour notre scurit en voiture ne correspond pas forcment celui quest prt payer lautomobiliste pour lacquisition dune voiture. Les constructeurs le savent et dosent donc scurit et prix. 4. Les automobiles : cest la norme technique. Certains juristes parlent propos de la norme technique de lois fondamentales . Le jour o
135

LIDENTIT NUMRIQUE EN QUESTION

les vhicules terrestres seront techniquement capables de se mouvoir sur leau ou dans les airs, le code de la route sen trouvera forcment boulevers, de mme quil sest adapt lorsque les vhicules ont t capables datteindre certaines vitesses. Cet exemple illustre la ncessit dharmoniser les quatre niveaux de normes. Pour que lindividu reste le point darrive de la rgulation et que la loi, seule norme dmocratique, lemporte, le lgislateur doit agir de concert avec les trois autres niveaux de normes, non juridiques, et surtout matriser les normes techniques, ce qui est loin dtre le cas aujourdhui sagissant des tats europens. Soit la loi agit contre le systme, et elle risque de rester lettre morte. Soit elle compose avec lui, en inventant une nouvelle faon de rguler la socit, de nouvelles procdures plus rapides, capables de sadapter la vitesse des rseaux, et elle a une chance de faire prvaloir les valeurs quelle incarne. Le respect du droit limage peut tre un test de ce point de vue.

En conclusion
Lidentit visuelle est centrale dans les rseaux numriques. Paradoxalement, malmene, elle trouve refuge et protection dans la loi au travers dune construction juridique, appele droit limage, qui a des difcults safrmer sur les rseaux. Cest probablement dans une meilleure articulation entre droit et technique que rside lefcacit dune protection du droit limage. En attendant, il faut avoir le courage de dire et reconnatre que la loi ne peut garantir une protection absolue du droit limage dans les rseaux numriques. Les plaideurs sont condamns faire preuve dimagination pour identier leurs agresseurs , les attraire devant la justice, se faire reconnatre un statut de victime, comme dans le cas de la nageuse rappel en introduction, et obtenir le ddommagement de leurs prjudices.

136

CHAPITRE X

Lusurpation didentit

Thierry, 35 ans, est employ de banque 1. Passionn de photographie, il conomise depuis plus dun an pour sacheter un appareil photo semiprofessionnel avec botier reex numrique, le Canon EOS 10D. Sur le site de vente aux enchres eBay, il fait la connaissance dune personne qui se prsente comme le reprsentant en Espagne dune agence de mode amricaine. Cette agence disposerait de trois appareils de ce type dont elle naurait plus lutilit et serait prte les mettre en vente bon prix. Le site eBay a mis en place un systme dvaluation des vendeurs par les acheteurs et recommande aux acheteurs dbutants de recourir ce contrle : Vriez la rputation du vendeur en consultant son prol dvaluations. Cliquez sur le nombre situ ct du pseudo du vendeur : il est constitu par les notes et commentaires laisss par les autres membres lors des prcdentes transactions de ce vendeur. Thierry a opr le contrle recommand par eBay, et il est positif. Le vendeur dispose dun excellent prol, 99 % des personnes ayant trait avec lui le dclarant able 2. Thierry est rassur, dautant que le vendeur est trs prvenant son gard et na quune exigence : que la transaction soit ralise en espces via Western Union. Cette socit nancire indpendante deBay
1. Marie BELOEIL, Usurpation didentit : chronique dune arnaque ordinaire sur un site denchres , zdnet.fr, Actualits , 28 aot 2003. 2. Extrait de eBay expliqu , http://pages.ebay.fr/education/acheter-et-vendre-enconance.html, septembre 2007.

137

LIDENTIT NUMRIQUE EN QUESTION

ralise des transferts dargent aux quatre coins de la plante par le biais de 280 000 agences. Thierry se renseigne et tout lui parat conforme. Le 11 aot 2003, il conclut le march en effectuant un virement de 855 euros, une somme importante pour lui, mais un prix prs de deux fois infrieur celui du mme appareil photo neuf. Malheureusement, il ne le recevra jamais. Thierry est victime dune usurpation didentit. Son correspondant ntait pas le vendeur mais un individu ayant usurp son identit. Lusurpateur a utilis un mode opratoire classique. Il a dabord dtect sur Internet des adresses e-mail de vendeurs enregistrs sur eBay. Il les a ensuite contacts par e-mail en se faisant passer pour eBay, ralisant une premire usurpation didentit. Il a fabriqu un e-mail len-tte deBay et a demand au destinataire de se connecter sur un site Web (cr par lui) par le biais dun lien quil a fourni. Sur le faux site Web, toujours aux couleurs deBay, il a collect de prcieuses informations, en loccurrence le mot de passe du compte eBay du vendeur puis a utilis ce compte auprs de Thierry. Le tour tait jou. en juger par les dizaines de ractions des lecteurs un article de ZDNet relatant cette affaire, la msaventure de Thierry nest pas isole. Certains messages taient mme pathtiques : Un pirate essaie de vendre sur eBay un bateau avec mon prol et mon e-mail : comment le dmasquer ? URGENT. Le site denchres eBay assure que le phnomne est marginal et que tout est fait pour lutter contre lusurpation didentit. Thierry ne serait certainement pas tomb dans le pige si son vendeur navait commis une double usurpation identit : lune au prjudice deBay, lautre au dtriment de lun de ses clients en compte. Lusurpation didentit ne date pas dhier, mais elle connat une nouvelle jeunesse avec Internet, les usurpateurs disposant doutils de plus en plus sophistiqus pour raliser des usurpations en cascade et atteindre leur objectif, le plus souvent nancier. Lanalyse juridique du phnomne permet de constater avec tonnement quil nexiste pas ce jour en droit franais dincrimination gnrale qui permette de lutter contre lusurpation didentit numrique. Les premires dcisions judiciaires rendues en ce domaine appliquent des textes trs loigns du sujet, et la doctrine elle-mme est balbutiante.
138

LUSURPATION DIDENTIT

Usurpation didentit et Internet


Lusurpation didentit peut se dnir comme la pratique par laquelle une personne utilise ou exploite sciemment les informations personnelles dune autre personne des ns illgales. Dans la majorit des cas, lusurpation didentit a pour seul but de commettre une infraction pnale pour en retirer un avantage conomique. Mais le phnomne a pris une telle ampleur sur Internet que lusurpation peut aussi intervenir sans volont de commettre un dlit. Par exemple, sidentier sa star prfre, raliser un canular, obtenir un rendezvous galant, prendre la parole dans un forum de discussion de manire afrme en se cachant derrire un statut quon na pas, etc. Il convient de distinguer lusurpation didentit de la fausse identit, encore appele fake prole ( faux prol ), laquelle ne cherche pas capter lidentit dun tiers. Il se pourrait toutefois que cette fausse identit se trouve involontairement tre celle dun autre. Nous ne traitons dans ce chapitre que de lusurpation didentit commise intentionnellement dans le but de commettre une infraction. Lusurpation didentit ncessite lenchanement de deux actes successifs : la collecte dinformations personnelles ; lutilisation ou lexploitation de ces informations personnelles de tiers. Par exemple, lusurpateur a obtenu le numro de carte bancaire de la victime en regardant par-dessus son paule lorsquils faisaient la queue ensemble dans un supermarch ou dans des papiers retrouvs ou encore en fouillant dans une poubelle. Il a ensuite utilis ces informations sur Internet. Lusurpation didentit nest pas ne avec la socit de linformation. Aux tats-Unis, de nombreuses compagnies dassurance proposent depuis longtemps des contrats protgeant contre lusurpation didentit 1. Selon la Federal Trade Commission 2, 9,3 millions dAmricains ont t victimes en 2004 dune usurpation didentit, telle que, par ordre dimportance
1. Par exemple, PrivacyGuard, Identity Theft , www.ralphs.com/nance. 2. Consumer Protection, www.ftc.gov.

139

LIDENTIT NUMRIQUE EN QUESTION

dcroissante, lusurpation dune carte bancaire existante, lusurpation dune carte bancaire inexistante, lusurpation didentit pour un compte bancaire existant ou non, lusurpation dun numro de Scurit sociale. Lavnement de lInternet pour tous, ou presque, a plac sur le devant de la scne cette vieille technique de fraude, et ce pour au moins cinq raisons : Internet est un outil prcieux pour la collecte de donnes caractre personnel. On peut facilement sniffer linformation ou tout simplement la lire. Par exemple, les blogs personnels livrent quantit dinformations personnelles sur leurs auteurs, parfois mme nancires, sans parler des rseaux sociaux (Facebook, MySpace, etc.). Lassociation de consommateurs amricaine Consumer Reports 1 prtend que les services de messagerie servent souvent de relais aux malfrats pour recueillir linformation. Ils mettent en particulier en garde contre tous les espaces de dialogue prfrs des mineurs (chat, blog, etc.), o de trs nombreuses informations circulent. Les moteurs de recherche sont galement de puissants et involontaires allis des fraudeurs. Il suft de saisir un prnom et un nom sur Google pour que de nombreuses informations indexes soient dvoiles. De ce fait, Internet est devenu le lieu de travail naturel et quotidien des usurpateurs. Internet a bouscul le concept mme didentit. On y prend vite lhabitude de se crer des identits et de les supprimer aussi vite. On est entr dans lre des identits jetables. Non seulement la multiplication des identits est facilite par larchitecture du rseau, mais elle est quasi gratuite. Si les identits peuvent sy multiplier aussi aisment, pourquoi ne pas prendre celle dun autre ? Rien ni personne ne peut techniquement lempcher. Linteroprabilit du rseau et son caractre mondial autorisent la fraude grande chelle. Lutilisation de faux e-mails aux quatre coins de la terre peut engendrer des milliers de victimes en trs peu de temps. Lacte frauduleux peut alors gnrer un butin dimportance. Lespoir de gain grandissant, la pratique se dveloppe en consquence.
1. Stop ID thieves, www.consumerreports.org, septembre 2007.

140

LUSURPATION DIDENTIT

Internet autorise des usurpations de plus en plus audacieuses et complexes dtecter. Dans le monde rel, il est extrmement difcile pour un usurpateur dinstaller une fausse agence bancaire et dy accueillir de vrais clients. Outre sa difcult pratique, une telle manuvre relverait de lescroquerie en bande organise et serait trs onreuse. En revanche, raliser et mettre en ligne un site Web qui soit la copie conforme du site dune grande enseigne, notamment une grande banque, est un jeu denfants et peut seffectuer faible cot. Il nest pas non plus bien compliqu pour lusurpateur dattirer la victime sur ce site. Pour cette raison, lusurpation didentit concerne au premier chef le systme bancaire, qui rend des services au moyen des rseaux de communication lectronique. Les autorits publiques du lieu de rsidence des victimes sont dsempares tant pour identier les usurpateurs que pour les poursuivre et les faire condamner. Internet autorise lusurpateur agir dans un anonymat relatif. En outre, le caractre transnational du rseau ne facilite pas la tche de la police ni de la justice. Cette situation de relative impunit constitue un pousse-au-crime . Sy ajoute une des caractristiques de lusurpation didentit : la dcouverte de lusurpation prend du temps, souvent plusieurs mois, rendant dautant plus difcile lidentication et la poursuite de lusurpateur.

Les techniques de collecte dune identit


Il est videmment difcile dobtenir des statistiques ables sur un phnomne par essence clandestin, mais des experts estiment que lauteur dune usurpation est le plus souvent un familier de la victime. Le moyen le plus facile pour obtenir des informations sur une personne est videmment de la ctoyer. Ce type de collecte nest dailleurs pas forcment illgal. Lusurpateur na enfreint aucun systme, na viol aucun code condentiel ; il a simplement obtenu linformation du fait de sa relation privilgie avec la victime. Une autre faon simple dobtenir des informations est de consulter Internet et sa gigantesque base de donnes. Sites Web, pages personnelles et moteurs de recherche reclent quantit de donnes personnelles, parfois
141

LIDENTIT NUMRIQUE EN QUESTION

condentielles. Il suft de se servir. Cette collecte dinformation na rien dillgale non plus ds lors quil sagit de prendre connaissance dune information publique et que linformation collecte ne fait pas lobjet dun traitement caractre personnel , lequel est couvert par la loi informatique et liberts. limage des associations de consommateurs telles que Consumer Reports, on ne saurait trop mettre en garde les parents contre la propension des mineurs divulguer une masse dinformations susceptibles dtre dtournes par des malfaiteurs. La faon la plus mdiatique, quoique sans doute pas la plus importante en nombre, dobtenir des informations personnelles est lintrusion frauduleuse dans des bases de donnes contenant des informations personnelles condentielles. Les journaux se font rgulirement lcho de tel marchand qui lon a drob les numros de carte bancaire de ses clients. Ici, linformation est recherche auprs de tiers auxquels les victimes ont fourni en toute conance des donnes caractre personnel.

Phishing, pharming, spoong


Linformation convoite peut galement tre obtenue par des techniques sophistiques, telles que le phishing, le pharming et le spoong, qui se sont dveloppes ces dernires annes et qui sont souvent propres Internet. Leur vise commune est de se rapprocher de leurs victimes par des manuvres dites de social engineering, cest--dire des mises en scne bties sur des conventions sociales admises en vue de troubler psychologiquement les victimes et de recueillir ces informations. Le phishing, ou hameonnage 1 , est la technique la plus connue. Elle gnrerait tous les ans plusieurs dizaines de millions deuros de fraude. En 2004, on aurait recens 31 000 attaques dans le monde, reprsentant
1. La commission gnrale de terminologie et de nologie, commission administrative place sous lautorit du Premier ministre, a choisi le terme loutage , totalement inusit. Sur lorigine terminologique de phishing, plusieurs explications sont en concurrence. La plus courante est quil serait la contraction des mots phreaking, qui dsigne le piratage de centraux tlphoniques pour appeler gratuitement, et shing, la pche.

142

LUSURPATION DIDENTIT

131,2 millions de dollars de fonds dtourns 1. Cest elle qui est utilise dans le cas prsent en introduction. Elle consiste adresser un email un utilisateur en se faisant passer pour une institution ou une entreprise. Le-mail comporte le plus souvent len-tte de cette institution ou de cette entreprise ou reproduit son logo. Par son texte, il invite le destinataire se diriger vers un faux site Web, toujours aux couleurs de linstitution ou de lentreprise. Lorsque celui-ci se retrouve sur le site, il lui est demand de saisir des informations condentielles le concernant. Le pharming est une technique dusurpation plus sophistique, qui consiste en un vritable acte de piratage du systme de nommage Internet. En clair, lauteur du dlit pirate un nom de domaine Internet, par exemple celui dune banque. La victime, cliente de la banque, saisit comme laccoutume dans son navigateur ladresse Internet de sa banque pour procder des oprations sur son compte bancaire. Comme le nom de domaine a t pirat, elle est en fait dirige son insu vers un faux site en tout point semblable celui de sa banque. Elle fournira alors, sans le savoir, des informations personnelles et condentielles qui seront utilises par la suite par lusurpateur. Le spoong est une variante de cette technique, qui consiste pirater ladresse IP dune machine pour se lapproprier 2. Les usurpateurs utilisent aussi parfois des logiciels malveillants, de type virus ou cheval de Troie, pour sintroduire dans un systme dinformation pour rcuprer des donnes caractre personnel. Au nal, on assiste une sophistication des mthodes dusurpation. Ces dernires sont en si constante volution que celles que nous avons dcrites seront probablement dpasses dans quelques mois. Cest la course sculaire du gendarme et du voleur , dans laquelle le voleur a toujours une longueur davance.

1. 2004 vue en dix chiffres , Le Journal du Net, 23 dcembre 2004, www.journaldunet.com. 2. Lusurpation dadresse IP , http://www.commentcamarche.net/attaques/usurpation-ip-spoong.php3.

143

LIDENTIT NUMRIQUE EN QUESTION

Lusurpation didentit et le droit


Le terme de vol didentit est souvent utilis tort pour qualier lusurpation didentit. Cette mauvaise habitude est importe des tatsUnis, o lon parle didentity theft. Cette expression est impropre en droit franais pour au moins trois raisons : Lusurpation didentit nest pas systmatiquement prcde dun vol dinformations personnelles. En dautres termes, il peut y avoir usurpation sans vol. supposer que lidentit dun tiers ait t utilise son insu, la victime nest pas pour autant dpossde de son identit, comme elle le serait de son automobile ou de son portefeuille. Mieux vaudrait donc parler didentit copie plutt que vole. En droit franais, le dlit de vol recouvre un type dacte prcis, vis larticle 311-1 du Code pnal, qui ne concerne en aucun cas lusurpation didentit 1. Il sapplique lapprhension de choses matrielles, telles quune chaise, une voiture, de largent liquide 2, et non dlments aussi immatriels que le-mail, ladresse IP, le mot de passe, le nom, etc. Cest donc dusurpation, et non de vol, didentit quil convient de parler. En dpit dune actualit brlante et bien que cette pratique ne date pas de lre Internet, on est surpris de constater que le droit franais ignore linfraction gnrale d usurpation didentit et ne connat de lusurpation que certains cas trs particuliers. Le Code pnal constitue en dlit le fait dutiliser une fausse identit dans un acte authentique, cest--dire un acte tabli, sign et revtu du sceau de ltat reu par un ofcier public ou un notaire 3. Le mme texte punit dans les mmes termes le fait dutiliser un nom ou un accessoire du nom autre que celui assign par ltat civil dans un document
1. Le vol y est dni comme la soustraction frauduleuse de la chose dautrui . 2. En vue de pnaliser le vol dlectricit, le lgislateur a cr une incrimination spcique par larticle 311-2 du Code pnal, qui prvoit que la soustraction frauduleuse dnergie au prjudice dautrui est assimile au vol . 3. Art. 433-19 du Code pnal.

144

LUSURPATION DIDENTIT

administratif destin lautorit publique. Ce dlit est puni des peines maximales de six mois demprisonnement et de 7 500 euros damende. De mme, le Code de procdure pnale 1 punit de 7 500 euros damende le fait de prendre un faux nom ou une fausse qualit pour se faire dlivrer un extrait de casier judiciaire ou de provoquer une inscription errone ce mme casier judiciaire par une fausse dclaration didentit. Comme nous le constatons, ces cas viss par la loi sont extrmement restrictifs et sont loin de sappliquer au monde numrique, notamment au phishing. Il sagit pour lessentiel de protger le fonctionnement de ltat et de renforcer la crdibilit des actes dlivrs par lui ou ses serviteurs. Seul larticle 434-23 du Code pnal vise une infraction qui pourrait, dans un cas l encore particulier, trouver sappliquer lusurpation didentit dans les rseaux. Il sagit du fait de prendre le nom dun tiers, dans des circonstances qui ont dtermin ou auraient pu dterminer contre celui-ci des poursuites pnales , qui est puni de cinq ans demprisonnement et de 75 000 euros damende. En rsum, le Code pnal ne reconnat lusurpation didentit qu deux conditions prcises et cumulatives : lauteur de lusurpation a pris le nom dun tiers avec lintention de rendre ce tiers passible dune sanction pnale. Le texte vise en quelque sorte lusurpation dans un but de vengeance. Lauteur du dlit usurpe lidentit de la victime avec le dessein de lui faire courir un risque juridique pnal. Par exemple, a t jug quentrait dans la prvention de larticle 434-23 le fait dusurper lidentit de personnes et de tenir des propos qui contenaient des imputations portant atteinte lhonneur ou la considration de personnes nommment dsignes 2 . Nous voyons immdiatement plusieurs difcults appliquer ce texte lidentit numrique, commencer par ltroitesse du cas trait. Il parat difcile ou hasardeux dappliquer larticle 434-23 du Code pnal un cas de phishing, puisque son but nest pas de faire courir un risque la
1. Art. 781 du Code de procdure pnale. 2. Cass., chambre criminelle, 29 mars 2006, Juris Data, n 2006-033128.

145

LIDENTIT NUMRIQUE EN QUESTION

victime de lusurpation, mais dobtenir un avantage nancier dun tiers galement victime. Une autre difcult tient la premire condition pose par le texte, savoir lusurpation du nom dun tiers : peut-on assimiler une adresse e-mail, un mot de passe, un nom de domaine ou une adresse IP au nom dun tiers ? ce jour, nous ne connaissons aucune jurisprudence qui aille dans ce sens. Le droit pnal tant dinterprtation stricte, le nom recouvre une ralit juridique prcise. Dans le cas de-mails reproduisant un message, par exemple dune fausse banque, et faisant gurer une signature qui reproduit un nom usurp, le dlit pourrait sappliquer. Mais les usurpateurs avertis nauraient aucune difcult passer au travers des mailles du let en ne reproduisant aucun nom et en se limitant une apparence trompeuse.

Vide juridique
Les rares dcisions judiciaires rendues traduisent bien lembarras des juges. Deux dcisions du tribunal correctionnel de Paris visant des cas de phishing ont t publies. La premire affaire concerne un tudiant en BTS dinformatique qui avait reproduit des sites du Crdit lyonnais et du Crdit agricole normand. Il avait achet les noms de domaine reproduisant les noms des banques au moyen dune carte bancaire prte par un ami demeurant en Algrie et avait fait hberger ses faux sites en Allemagne 1. Aprs avoir collect des donnes de clients de ces banques, il avait tent deffectuer des virements son prot. Plus pittoresque, la seconde affaire implique un individu ayant ralis une fausse page denregistrement MSN Messenger (Microsoft) pour recueillir les donnes personnelles des inscrits. Le Tribunal na pas prcis quelle n devaient servir ces informations 2. Dans aucun de ces deux cas les juges nont fait application de larticle 434-23 du Code pnal. Ils ont retenu dans le premier la tentative descroquerie et laccs frauduleux un systme de traitement automatis
1. TGI de Paris, 2 septembre 2004, Radhouan M./www.foruminternet.org. 2. TGI de Paris, 21 septembre 2005, Microsoft Corp./Robin B., www.legalis.net.

146

LUSURPATION DIDENTIT

de donnes, et dans le second la contrefaon de marques dposes par la socit Microsoft. Il nest donc pas question dans lune ou lautre dusurpation didentit. Les peines prononces ont t modres : un an de prison avec sursis total et sans peine damende pour le premier, assortis de 11 000 euros de dommages et intrts aux deux banques et lun des clients, et 500 euros damende avec sursis pour le second, assortis de 700 euros de dommages et intrts Microsoft. Au niveau europen et mondial, les deux directives communautaires traitant des donnes caractre personnel, dont une ddie lenvironnement des technologies de linformation 1, de mme que la Convention sur la cybercriminalit, signe Budapest par plus de trente tats, dont les pays membres de lUnion europenne, les tats-Unis et le Japon 2, le 23 novembre 2001 et entre en application en juillet 2004, ne contiennent aucune disposition spcique et explicite visant lusurpation didentit numrique. En labsence dun dlit spcique et gnral, les qualications juridiques le plus souvent cites sont les suivantes : Si lusurpation didentit vient au soutien dune infraction de droit commun, cest cette dernire qui caractrise le dlit lui-mme. Par exemple, lorsque la motivation est nancire, le dlit descroquerie sera gnralement constitu. Cest la qualication la plus souvent cite ce jour en doctrine 3. Aux termes de larticle 313-1 du Code pnal, lescroquerie est le fait [] par usage dun faux nom ou dune fausse qualit [] de tromper une personne physique ou morale et de la dterminer ainsi, son prjudice ou au prjudice dun tiers,
1. Parlement europen et Conseil de lEurope, directive 95/46/CE du 24 octobre 1995, relative la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de ces donnes, et directive 2002/58/CE du 12 juillet 2002, concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des communications lectroniques (directive vie prive et communications lectroniques). 2. Disponible sur http://conventions.coe.int. 3. Natacha MARTIN, Phishing : whats Happening ? Quelles solutions juridiques pour lutter contre le phishing ? , Expertises, fvrier 2006, p. 65.

147

LIDENTIT NUMRIQUE EN QUESTION

remettre des fonds, des valeurs ou un bien quelconque, fournir un service ou consentir un acte oprant obligation ou dcharge . Le dlit descroquerie est puni des peines maximales de cinq ans demprisonnement et de 45 000 euros damende. Si lusurpation didentit, en particulier sur Internet, passe par la ralisation dun faux, cest le dlit de faux vis larticle 441-1 du Code pnal qui sapplique 1. Selon ce texte, constitue un faux toute altration frauduleuse de la vrit, de nature causer un prjudice et accompli par quelque moyen que ce soit, dans un crit ou tout autre support dexpression de la pense qui a pour objet ou qui peut avoir pour effet dtablir la preuve dun droit ou dun fait ayant des consquences juridiques . Le dlit de faux est puni de trois ans demprisonnement et de 45 000 euros damende. Si lusurpation didentit met en uvre une contrefaon de marque ou de droit dauteur, ces deux dlits peuvent sappliquer. Dans lune des deux affaires voques prcdemment, le tribunal a retenu que lauteur de lusurpation avait reproduit sur un faux site Web les marques de la socit Microsoft. Cette qualication intressante ne peut sappliquer une personne, qui nest ni une marque, ni une uvre de lesprit protge par le droit dauteur. Si lusurpation didentit ne fait lobjet daucune faute, un courant doctrinal veut que le nom soit lobjet dun droit de proprit au sens de larticle 544 du Code civil. Sa simple atteinte, mme sans faute, sufrait fonder une action en justice. Cest ce qua reconnu une trs ancienne jurisprudence qui relve que le demandeur doit tre protg contre toute usurpation de son nom mme sil na subi de ce fait aucun prjudice 2 . Les conditions de poursuite et de sanctions de lusurpation didentit sont donc en France assez incertaines. Pour cette raison, le snateur Michel Dreyfus-Schmidt a dpos en 2005 une proposition de loi tendant
1. Olivier ITEANU, Usurpation didentit, la loi ou la technique pour se protger , Journal du Net, 9 mars 2004, www.journaldunet.com. 2. TGI de Marseille, 9 fvrier 1965, D. 1965 270.

148

LUSURPATION DIDENTIT

la pnalisation de lusurpation didentit numrique sur les rseaux informatiques . Son objectif tait dinsrer une nouvelle infraction au Code pnal destine protger les personnes, physiques ou morales, publiques ou prives, de toute usurpation de leur identit numrique . Il sagissait dinsrer au Code pnal un nouvel article 323-8 ainsi rdig :
Est puni dune anne demprisonnement et de 15 000 euros damende le fait dusurper sur tout rseau informatique de communication lidentit dun particulier, dune entreprise ou dune autorit publique. [] Les peines prononces se cumulent, sans possibilit de confusion, avec celles qui auront t prononces pour linfraction loccasion de laquelle lusurpation a t commise.

lheure o ces lignes sont crites, ce texte en est toujours au stade de proposition, en dpit de son caractre plus quopportun dans lenvironnement numrique que nous connaissons.

En conclusion
Lusurpation didentit est une infraction ancienne, mais qui connat un regain de jeunesse avec Internet. Elle a trouv dans les rseaux numriques un outil de collecte dinformations personnelles sans pareil. Les identits des victimes sont parpilles porte de clavier aux quatre coins du rseau (blogs, rseaux sociaux, moteurs de recherche, etc.), et il ny a plus qu les collecter. Surtout, en dveloppant des techniques propres au rseau, telles que le phishing, les malfaiteurs trouvent dans le rseau, par une cascade dusurpations didentits, le moyen de collecter des donnes caractre personnel puis de raliser leurs dlits en ligne, en un temps bref et cot quasiment nul. De manire tonnante, la loi ignore le dlit dusurpation didentit et ne connat que quelques cas trs particuliers, qui ne permettent pas de poursuivre aisment les auteurs de phishing. Cette lacune se traduit par une jurisprudence si incertaine quil est devenu urgent que le droit volue.

149

CHAPITRE XI

Google plus fort que le casier judiciaire

Voici une histoire imaginaire, dans laquelle toute ressemblance avec des personnages existants ou ayant exist ne serait que pure concidence. Thodore est un cadre sans histoire dune grande entreprise europenne. Un matin, il dcouvre que son visage fait la une de tous les quotidiens et que son nom est rpt lenvie dans les radios et tlvisions loccasion de chaque ash dinformation. Son cauchemar va durer plusieurs jours. Thodore se trouve tre lacteur principal dune sale affaire qui dfraye la chronique. Lentreprise qui lemploie a tolr des pratiques illgales, mais, en tant que responsable du service mis en cause, on lui demande dassumer la faute. Pris dans la tourmente, lch par sa direction, il est renvoy quelques semaines plus tard devant les tribunaux et condamn au titre des faits rapports par la presse. Thodore accuse le coup et accepte la sentence. Il dcide de ne pas faire appel du jugement parce que le tribunal a ordonn la dispense dinscription de sa condamnation au casier judiciaire. Il dcide donc de tourner la page. Cest sans compter sur Google. Thodore dispose, malheureusement pour lui, dun prnom et dun nom si peu rpandus que tout internaute qui les saisit dans le moteur recherche plus de cinq ans aprs les faits voit immanquablement safcher les articles de presse relatant la malheureuse affaire. Google se rvle plus fort que le casier judiciaire.
151

LIDENTIT NUMRIQUE EN QUESTION

La politique criminelle sappuie sur un ensemble de peines pour rguler la socit et sanctionner les agissements dviants. Au premier rang de ces sanctions viennent la privation de libert avec lemprisonnement et la sanction pcuniaire paye ltat avec lamende. Il existe aussi des peines dites infamantes, dont lobjectif est de dsigner le condamn la rprobation publique. Historiquement, la dgradation et le bannissement guraient au rang de ces peines. Chacun se souvient de la dgradation publique du capitaine Alfred Dreyfus dans la cour dhonneur des Invalides et du retentissement quavait provoqu lexcution de la peine. Aujourdhui, la publication des dcisions judiciaires dans la presse est la forme moderne de dsignation du condamn la rprobation populaire. Mais la politique criminelle na pas pour objectif que la seule sanction. Elle se soucie galement de la rintgration du dlinquant et du criminel au sein de la socit. Une fois quun condamn a pay sa dette cette dernire, il est quitte vis--vis delle. La socit doit donc laccueillir nouveau en lui accordant les mmes droits que tout autre citoyen. Pour faciliter ce retour, les tribunaux ont la facult dordonner que la dcision de condamnation soit dispense dinscription au casier judiciaire de lintress. Pour toutes ces raisons, le recensement des peines et leur publicit ont toujours t troitement rglements. Il faut en effet mnager deux des objectifs de la politique criminelle : dune part, apaiser les conits, dans la mesure o la publicit dune dcision judiciaire peut ractiver les passions ; dautre part, permettre au condamn de se rinsrer dans la socit. Une publicit systmatique et non contrle peut aboutir crer des situations o un condamn devient le paria de la socit, alors que sa dette vis--vis delle est paye. Cette approche rchie et mesure nest-elle pas remise en cause par les nouveaux outils de communication tels que les moteurs de recherche, dont les mthodes dindexation aboutissent au recensement sans discernement de toute affaire judiciaire rapporte sur les rseaux, et ce pour un temps indni ? Incidemment, cette question en soulve une autre : peut-on chapper son identit numrique ?

152

GOOGLE PLUS FORT QUE LE CASIER JUDICIAIRE

Le casier judiciaire national automatis


Situ Nantes, le casier judiciaire, de son vrai nom casier judiciaire national automatis , est un chier informatis tenu sous lautorit du ministre de la Justice. Il recense toutes les condamnations dnitives prononces principalement pour crime, dlit et contravention dune certaine gravit 1. Le casier judiciaire est donc un chier extrmement sensible. Le casier judiciaire est divis en bulletins, classs selon limportance des informations quils comportent : Le bulletin n 1 est le relev intgral du casier judiciaire concernant une personne donne. Il nest dlivr quaux autorits judiciaires et la personne concerne lorsquelles en font la demande au procureur de la Rpublique prs le tribunal de grande instance du lieu de rsidence de la personne ou du sige social sil sagit dune personne morale. Le bulletin n 2 est le relev partiel du casier judiciaire de la personne concerne. Il est dlivr aux administrations publiques de ltat et certaines collectivits territoriales, notamment lorsquelles sont saisies de demandes demplois publics ou de soumissions pour des adjudications de travaux ou marchs publics pour les personnes morales. Le bulletin n 3 recense toutes les condamnations deux ans de prison fermes au minimum ou des peines demprisonnement infrieures si la juridiction qui a prononc la condamnation a ordonn la mention de la condamnation audit bulletin. Il est dlivr sur demande toute personne concerne, cest--dire la personne sujet de lextrait ellemme. Cependant, un employeur ou futur employeur peut demander lextrait n 3 du casier judiciaire dun salari la condition que celui-ci lui en donne lautorisation. Le casier judiciaire est une institution utile la dfense de la socit. Il permet notamment dtablir la preuve dune rcidive partir des antcdents judiciaires dune personne. Dans le systme judiciaire, la rcidive
1. Seules gurent au casier judiciaire les contraventions de cinquime classe.

153

LIDENTIT NUMRIQUE EN QUESTION

entrane automatiquement laggravation des peines encourues par la nouvelle infraction. La loi informatique et liberts rappelle que les traitements relatifs aux infractions, condamnations et mesures de sret ne peuvent tre mis en uvre que par les juridictions, les autorits publiques et les personnes morales grant un service public ainsi que les auxiliaires de justice pour les stricts besoins de lexercice des missions qui leur sont cones par la loi. Le casier judiciaire est lun de ces traitements grs par ltat. Cependant, la mme loi modie en 2004 introduit une disposition tonnante et controverse : elle prvoit que le droit dtablir de tels traitements dinfractions est galement ouvert aux personnes morales mentionnes aux articles L321-1 et L333-1 du Code de la proprit intellectuelle [les socits dauteurs], agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes datteinte aux droits [victimes de contrefaons] aux ns dassurer la dfense de ces droits 1 . Ainsi donc, les Sacem et autres socits dauteurs se voient reconnatre le droit de collecter les adresses IP des pirates et contrefacteurs et denregistrer cette collecte dans un traitement. En pratique, les socits dauteurs constateraient sur les rseaux la prsence de chiers mis en partage qui reproduiraient les uvres dont ils assurent la gestion (musique, vidos, livres), puis collecteraient les adresses IP des machines qui offrent ces uvres pirates pour les recenser dans un chier . Cette collecte dadresses IP serait effectue la plupart du temps par des salaris de ces socits dauteur qui auraient t pralablement agrs par le ministre de la Culture. Ce constat et ce traitement serviraient ensuite ltablissement de procs-verbaux dinfractions, prludes des actions judiciaires. Le lgislateur nouvre cette possibilit de chage quaprs autorisation pralable dlivre par la CNIL. La premire socit dauteurs avoir obtenu lautorisation de la CNIL pour recenser les adresses IP de certains adeptes du peer-to-peer fut le SELL (Syndicat des diteurs de logiciels de loisirs) 2.
1. Art. 9 de la loi n 78-17 du 6 janvier 1978 relative linformatique, aux chiers et aux liberts. 2. www.sell.fr.

154

GOOGLE PLUS FORT QUE LE CASIER JUDICIAIRE

Ce syndicat justiait sa demande par son projet denvoyer des messages instantans de prvention aux internautes pris en agrant dlit de contrefaon des logiciels dont il assure la gestion. Il se rservait la possibilit de faire tablir des procs-verbaux par ses agents asserments pour engager ensuite des poursuites judiciaires sur cette base contre les internautes. La CNIL a autoris ce traitement 1 en justiant sa dlibration par le fait que le SELL sengageait ce que les adresses IP releves ne fassent lobjet ni de conservation, ni dchange avec des tiers. La dcision de la CNIL fut tout autre pour la demande commune de la Sacem (Socit des auteurs, compositeurs et diteurs de musique), de la SDRM (Socit pour ladministration du droit de reproduction mcanique), de la SCPP (Socit civile des producteurs phonographiques) et de la SPPF (Socit civile des producteurs de phonogrammes en France), laquelle elle opposa un refus. Ces socits dauteurs envisageaient la conservation des adresses IP des internautes. Pour la CNIL 2, les dispositifs prsents ntaient pas proportionns la nalit poursuivie : ils navaient pas pour objet la ralisation dactions ponctuelles strictement limites au besoin de la lutte contre la contrefaon et, dautre part, ils pouvaient aboutir une collecte massive de donnes caractre personnel et permettaient la surveillance exhaustive et continue des rseaux dchanges de chiers en peer-to-peer. Les socits dauteurs ont contest la dcision de refus de la CNIL et form un recours en annulation devant le Conseil dtat. Le 23 mai 2007, la haute juridiction relanait la chasse aux pirates en annulant la dcision de la CNIL sur le fondement dune erreur manifeste dapprciation. Le Conseil dtat considrait notamment que le traitement envisag tait parfaitement proportionn aux buts poursuivis au regard de linme proportion des titres surveills rapports la masse des chiers changs quotidiennement.
1. Dlibration du 24 mars 2005. 2. Dlibration du 29 octobre 2005.

155

LIDENTIT NUMRIQUE EN QUESTION

La CNIL, contrainte et force, dut autoriser les dispositifs proposs par les socits dauteurs. Cependant, lobtention des adresses IP des internautes contrefacteurs nest pas une n en soi. Encore faut-il, pour les poursuivre ou simplement les contacter, obtenir leurs coordonnes de leurs fournisseurs daccs. Or, aujourdhui, ces derniers ne transmettent les informations relatives leurs abonns que sur rquisition judiciaire, cest--dire une fois les poursuites lances. Par ailleurs, la constitution de chiers par les ayants droit des auteurs ne peut avoir dautre but que la transmission dinformations la justice dans la perspective dune poursuite pnale. Lenvoi de messages pdagogiques , consistant par exemple en un simple rappel de la loi, nest pas possible, sauf dtourner la nalit de ces chiers. Le gouvernement envisage prsent de rtablir la riposte gradue, dont les sanctions seraient non plus pnales mais civiles. Reprenant son compte les propositions de Denis Olivennes, prsident de la FNAC, dans son rapport sur le dveloppement et la protection des uvres culturelles sur les nouveaux rseaux 1 , la ministre de la Culture souhaite faire voter une loi au printemps 2008 autorisant les auteurs saisir directement lAutorit de rgulation des mesures techniques (ARMT) en vue dappliquer des mesures de sanction auprs des internautes suspects de tlchargement illicite. Pris en agrant dlit de tlchargement, linternaute recevra un premier courrier. Sil persiste, la mesure ira jusqu la suspension de son abonnement, voire la coupure de la ligne pour les plus rcalcitrants. Un chier des internautes dont labonnement aura t rsili sera constitu an dviter que ces derniers aillent se rabonner auprs dun autre prestataire. Ce mcanisme fait lconomie de la justice, juge trop longue, trop coteuse, trop alatoire et trop loigne des proccupations du secteur du divertissement.

1. Rapport disponible ladresse http://www.culture.gouv.fr/culture/actualites/indexolivennes231107.htm.

156

GOOGLE PLUS FORT QUE LE CASIER JUDICIAIRE

Les principaux chiers de police


Le STIC (systme de traitement des infractions constates) rpertorie des informations provenant des comptes rendus denqutes effectues aprs louverture dune procdure pnale. Le STIC peut tre consult dans le cadre des enqutes administratives devant prcder les dcisions dhabilitation des personnes en ce qui concerne lexercice de missions dites sensibles (mission de scurit ou de dfense, autorisations daccs des zones protges en raison de lactivit qui sy exerce, autorisations concernant les matriels ou produits prsentant un caractre dangereux). Il permet galement dlaborer des statistiques. Pour quune personne soit che au STIC, il faut que soit ouverte une procdure pnale son encontre et que soient runis, pendant la phase denqute, des indices ou des lments graves et concordants attestant sa participation la commission dun crime, dun dlit ou de certaines contraventions de 5e classe. Les informations concernant les mis en cause majeurs sont conserves, sauf drogation, pendant vingt ans. Les donnes concernant les mineurs sont conserves pendant cinq ans. La dure de conservation des informations concernant les victimes est au maximum de quinze ans. Selon la CNIL, au 1er janvier 2004, le STIC recensait 26 millions dinfractions, 5 millions de mis en cause et 18 millions de victimes. Lors de ses investigations dans le chier STIC, la CNIL a constat un taux derreur denviron 25 %. Les services de gendarmerie possdent un chier comparable au STIC, appel Judex (systme judiciaire de documentation et dexploitation). La question de leur fusion a t voque maintes reprises. Sont ches au Fnaed (chier national automatis des empreintes digitales) les empreintes digitales des personnes mises en cause dans une procdure pnale ou condamnes une peine privative de libert. Les empreintes digitales sont conserves pendant vingt-cinq ans. Les traces digitales retrouves sur les lieux de linfraction sont conserves pendant trois ans pour un dlit et dix ans pour un crime, soit le dlai de prescription de laction publique. Selon la CNIL, au mois de mai 2004, le Fnaed contenait 1 850 000 ches, correspondant 2 250 000 empreintes et 155 000 traces. Le Fnaeg (chier national automatis des empreintes gntiques) centralise les empreintes gntiques des personnes non identies (empreintes issues de prlvements sur les lieux dune infraction) et des personnes condamnes ou simplement mises en cause. Lenregistrement des empreintes ou traces est ralis dans le cadre dune enqute pour crime ou dlit, dune enqute prliminaire, dune commission rogatoire ou de lexcution dun ordre de recherche dlivr par une autorit judiciaire. Les empreintes gntiques sont conserves pendant quarante ans pour les personnes dnitivement condamnes et vingt-cinq ans pour les personnes mises en cause, sauf irresponsabilit pnale. En 2007, selon la CNIL, le Fnaeg recensait 615 590 prlvements ADN.

157

LIDENTIT NUMRIQUE EN QUESTION

Les dcisions judiciaires publies sur Internet


La justice est rendue publiquement. Sauf exception, les dcisions de justice peuvent tre diffuses, et chacun a le droit de se faire lcho dune dcision qui a t prononce son gard []. En soi, la publication de la dcision nest pas illicite, et la socit Webvision apparat avoir us de son droit en la rendant accessible sur son site de lInternet. Seul un abus de ce droit est susceptible dtre manifestement illicite. Il y a abus lorsqu dessein de nuire, le titulaire du droit de porter la connaissance de tous le litige dans lequel il est impliqu, et les pripties judiciaires de ce litige, en fait un usage prjudiciable autrui 1.

Le principe quune dcision judiciaire puisse tre diffuse sur Internet, cest--dire auprs du public, est ainsi afrm de manire trs ferme par la cour dappel de Colmar. Plus encore, cette diffusion publique constitue une des garanties fondamentales consacres notamment par larticle 6 de la Convention europenne de sauvegarde des droits de lhomme et des liberts fondamentales. La justice doit tre rendue au grand jour, la vue de tous. Cest la garantie que lacte de justice se droule en dehors de tout arrangement . Chacun se souvient du bon roi Saint Louis rendant la justice sous son chne au vu et au su de tous. La publicit des dcisions judiciaires dcoule du mme principe que la publicit des audiences. La libre communication toute personne qui en fait la demande, des jugements et arrts rendus par les tribunaux et cours est galement une application de ce mme principe. Il existe toutefois un certain nombre dexceptions ce principe. La publication ne doit pas constituer un abus de droit . Par abus de droit, la cour fait rfrence deux situations prcises : le dnigrement et la concurrence dloyale. Le dnigrement signie que lintention de publication nest pas faite dans un but dinformation mais pour nuire une personne en particulier. Dans ce cas, celui qui publie peut voir sa responsabilit engage et tre condamn rparer le prjudice quil a
1. CA de Colmar, dcision du 15 novembre 2002, cite par le Forum des droits sur lInternet, www.foruminternet.org.

158

GOOGLE PLUS FORT QUE LE CASIER JUDICIAIRE

caus. La concurrence dloyale vise les abus commis par des entreprises ou des professionnels en concurrence. Dans ce cas, lentreprise abuse de la publication pour nuire son concurrent ou dtourner sa clientle. Pour le reste, les trois conditions de la responsabilit civile de droit commun doivent tre runies, savoir une faute, un prjudice et un lien de causalit 1. La CNIL a eu se prononcer plusieurs reprises sur le contenu des bases de donnes de jurisprudence publies par les grands diteurs juridiques, puisquil sagit de donnes caractre personnel. Ds les annes 1980, des diteurs professionnels spcialiss ont ralis des bases de donnes juridiques en compilant les dcisions de jurisprudence les plus signicatives. Cest cette poque que la CNIL a t alerte sur le risque de dtournement de ces donnes. En effet, certaines recherches ne prsentaient aucun intrt juridique et avaient pour unique objet de recueillir lensemble des dcisions de justice relatives une mme personne. Doutils de documentation juridique, ces bases de donnes pouvaient tre utilises comme de vritables chiers de renseignements. En 1985, la CNIL a rappel, dune part, que les chiers recensant des dcisions de justice dans lesquelles guraient les noms des parties devaient faire lobjet dune dclaration pralable et, dautre part, que toute personne pouvait sopposer, pour des raisons lgitimes, ce que des informations la concernant fassent lobjet dun traitement informatis. Sensible au fait que les bases de donnes mises en uvre lpoque taient soit des bases internes aux juridictions, sans possibilit de consultation extrieure, soit des bases destines aux professionnels du droit, pour un cot relativement lev, la CNIL na pas estim devoir recommander que les dcisions de justice enregistres dans ces bases soient pralablement rendues anonymes. Les volutions technologiques de ces dernires annes, notamment larrive des moteurs de recherche, ont considrablement chang la donne.
1. Art. 1382 du Code civil.

159

LIDENTIT NUMRIQUE EN QUESTION

Les moteurs de dernire gnration, tels que Google, indexent tout contenu numrique, o quil se trouve, quel que soit son format, en quasi-temps rel. La dure de conservation de ces informations indexes et mises en cache est de surcrot indni. An de prserver les chances de rinsertion des dlinquants au procs pnal, le juge peut ordonner que la dcision quil rend ne fasse pas lobjet dune inscription au casier judiciaire de lintress. A contrario, il peut, pour certains contentieux dtermins, ordonner la publication de la dcision rendue. Une telle mesure, encadre par la loi, notamment quant sa dure, constitue une peine complmentaire 1. Or la puissance des moteurs de recherche actuels prive le justiciable de ces garanties lgales. Cest dans ce contexte que la CNIL a recommand, en 2001, dans une nouvelle dlibration 2 que soient occults de toute dcision de justice le nom et ladresse des parties et des tmoins, personnes physiques, sans que ceux-ci aient accomplir la moindre dmarche. Ainsi, linstar de plusieurs pays de lUnion europenne (Allemagne, Pays-Bas, Portugal), la France recommande, dans le souci du respect de la vie prive, lanonymisation gnrale des dcisions de justice librement accessibles. Cette anonymisation ne concerne toutefois que les dcisions elles-mmes, et rien nest prvu pour la publication des dbats, les articles de presse sur les audiences, etc., alors que ces mmes dbats et articles sont galement recenss par les moteurs de recherche et peuvent tout autant constituer une entrave la rintgration des personnes concernes. Par ailleurs, tre attrait devant un tribunal comme prvenu ou accus ne signie nullement que la personne concerne sera condamne. Il conviendrait que le lgislateur se saisisse de ce problme pour entriner la doctrine de la CNIL, qui recommande la publication anonymise des dcisions de justice sur les rseaux lorsquelles concernent des personnes physiques, et tendre cette anonymisation tout texte rapportant les dbats ou audiences judiciaires.
1. Art. 131-10 du Code pnal. 2. Dlibration n 01-057 du 29 novembre 2001 portant recommandation sur la diffusion de donnes personnelles sur Internet par les banques de donnes de jurisprudence.

160

GOOGLE PLUS FORT QUE LE CASIER JUDICIAIRE

Moteurs de recherches condamns pour contrefaon de marque


Lorsquun utilisateur effectue une recherche sur Google, des liens commerciaux en rapport avec la requte effectue safchent dans la partie suprieure droite de la page de rsultats. Ces liens commerciaux sont clairement identis comme tant publicitaires an dviter toute confusion avec les rponses la requte. Pour gurer dans les liens commerciaux, cest--dire en premire page et donc en trs bonne place, les annonceurs achtent des mots-clefs Google, les fameux AdWords. Par exemple, lorsquun internaute effectue une recherche sur lle Maurice, des agences de voyages proposant des produits vers cette destination apparaissent en liens commerciaux. Certaines entreprises ont t tentes dutiliser comme mot-clef des marques appartenant dautres socits, parfois concurrentes de la leur. Par exemple, lorsquun utilisateur faisait une recherche sur les produits de maroquinerie Vuitton , des liens vers des sites proposant des produits concurrents, voire des contrefaons, pouvaient apparatre en tant que liens commerciaux. Les entreprises estimant illicite cette utilisation de leur marque ont demand au juge de sanctionner lutilisateur indlicat et le moteur de recherche pour contrefaon de marque. Sagissant des utilisateurs, les tribunaux les condamnent lorsquils sont identis et quils ont effectivement contrefait une marque enregistre et valide. Ces condamnations ne posent aucune difcult particulire. En revanche, les tribunaux ont eu se prononcer sur la question de savoir si le moteur de recherche lui-mme tait galement condamnable sur le terrain de la contrefaon de marque. La question nest pas vidente car le choix de la marque comme lien commercial, nest pas celui du moteur de recherche mais de lutilisateur indlicat. Ces jurisprudences ont concern tous les moteurs de recherche et, logiquement, le premier dentre eux, Google. Si la jurisprudence nest pas uniforme en la matire, la plupart des juridictions saisies1 ont condamn le moteur de recherche sous diverses qualications juridiques. Ce nest pas tant le fait daccepter des marques dposes en tant que mots-clefs qui constitue la contrefaon 2 mais le fait den proposer lachat. Google offre aux annonceurs la possibilit de recourir un gnrateur de mots-clefs qui leur propose automatiquement des mots-clefs jugs pertinents en fonction des

1. CA de Paris, 4e chambre, 28 juin 2006, SARL Google, Google Inc./SA Louis Vuitton Malletier ; CA de Versailles, 12e chambre, section 2, 23 mars 2006, affaire eurochallenges. com : Google Inc./CNRRH ; CA dAix-en-Provence, 2e chambre, 6 dcembre 2007, TWD Industrie/SARL Google, Google Inc. 2. Sur ce fondement, le TGI de Strasbourg (20 juillet 3007, RLDI, 2007/30, n 996) a relax tant Google que lannonceur lui-mme.

161

LIDENTIT NUMRIQUE EN QUESTION


requtes les plus frquemment saisies par les internautes et du contenu des sites Web des annonceurs. Google se rend galement coupable de contrefaon lorsque lannonce publicitaire associe aux liens commerciaux contient la reproduction de marques dposes. Selon la jurisprudence majoritaire, le moteur de recherche ne doit pas tre considr comme un simple hbergeur dannonces, mais comme une rgie publicitaire.

En conclusion
Internet recle quantit de bases de donnes gigantesques constitues de millions de donnes caractre personnel. Ces bases de donnes ont t ralises le plus souvent sans lautorisation des personnes ches. Elles sont ds lors illgales, tant au regard du droit franais que du droit communautaire. Cette situation a t dnonce maintes reprises. Les moteurs de recherche sont sur le banc des accuss. Ils rendent dimmenses services aux internautes, mais peuvent galement constituer une menace pour nos liberts individuelles et publiques. La publicit des dcisions judiciaires et le recensement des peines conscutives des dcisions judiciaires dnitives font lobjet, depuis des sicles, dune minutieuse rglementation de la part des autorits publiques, notamment au travers de linstitution centrale quest le casier judiciaire. Deux phnomnes a priori indpendants ont rcemment fait vaciller cet dice multisculaire : Sous le prtexte de lutter contre la contrefaon sur Internet, le lgislateur a autoris en 2004 et pour la premire fois des organismes privs recenser dans des chiers la constatation dinfractions principalement commises dans le cadre des changes de chier en peer-to-peer. Lavnement dInternet et des moteurs de recherche donne dsormais quiconque la possibilit deffectuer des recherches de ce type. Une premire rponse ces drives, manant de la CNIL, recommande lanonymisation des coordonnes des personnes physiques cites dans les dcisions judiciaires publies en ligne.
162

GOOGLE PLUS FORT QUE LE CASIER JUDICIAIRE

Reste que la recommandation naura deffet quau niveau national et que le problme de la publicit des dbats, des reportages et des enqutes nest pas trait. Le lgislateur devrait se saisir de ce problme an de dnir une rgle protgeant non seulement le droit la rintgration dans la socit de tout condamn, mais la prsomption dinnocence, faute de quoi Google restera plus fort que le casier judiciaire.

163

Conclusion

Du fait du dveloppement dInternet, de la tlphonie et de lInternet mobile, qui touche dsormais tout autant les foyers que lentreprise, de plus en plus dobjets numriques peuplent notre quotidien. Paradoxalement, cet amoncellement de technologies place plus que jamais lindividu au centre du dispositif. Lexplosion actuelle des rseaux sociaux tels que Facebook montre quel point chacun dentre nous a pris conscience de cette volution. Internet offre-t-il pour autant lindividu toutes les garanties pour la dfense de son identit ? Pour changer en toute conance, les citoyens et les consommateurs, mais aussi les entreprises, leurs salaris et leurs partenaires, comme les administrs ont besoin de sidentier les uns les autres avec certitude. Les informations quils dvoilent pour changer doivent de surcrot tre protges dune divulgation publique massive et de dtournements. Tout dmontre que la ralit actuelle est exactement loppos. Lidentit numrique est parpille aux quatre coins dInternet, soumise aux caprices des fournisseurs de service et sans contrle rel des utilisateurs. Elle devient ds lors une cible de choix pour tous les prdateurs, lesquels sen emparent pour constituer des bases de donnes gigantesques le plus souvent illgales. Dans le mme temps, labsence dun systme didentit numrique global impose ses limites la socit de linformation actuelle et gnre des dciences dont les principaux symptmes sont la violation de la vie prive et lusurpation didentit.
165

LIDENTIT NUMRIQUE EN QUESTION

Lidentit numrique chappe ainsi lindividu, mais galement ltat et, au nal, tous. Une telle problmatique ne peut tre aborde sous le seul angle technologique. Le droit y tient un rle fondamental. Nous avons dress dans ce livre un tat des lieux de ce quest, aujourdhui, lidentit numrique dans sa relation au droit. Nous avons galement tent de tracer des pistes pour rsoudre les problmes soulevs : cration dun droit lanonymat pour lutter contre les drives attentatoires au respect de la vie prive ; limitation de lobligation lgale de traabilit au strict ncessaire, an de ne pas crer les conditions dune surveillance gnralise de tous par tous ; meilleure dnition et apprhension juridique du pseudo, des noms de domaine, des URL et des mots de passe ; construction de systmes didentit numrique globaux dlivrant des titres didentit et organiss autour dun registre distribu ou dcentralis et ouvert ; meilleure prise en compte par la loi des violations du droit limage sur les rseaux ; lutte contre lusurpation didentit et les drapages de certaines pratiques des moteurs de recherche. Mais puisque le droit ne peut tout, il faut crer des outils et des systmes qui permettent aux individus et aux entreprises de retrouver la matrise de leur identit. La signature lectronique et la PKI, Liberty Alliance, OpenID, Windows CardSpace, sont quelques-unes des techniques, initiatives et concepts en cours dexprimentation. ce jour, cependant, aucune solution na emport ladhsion massive des utilisateurs. Il est pourtant crucial pour les entreprises, la socit en gnral et les individus qui la composent que la question de lidentit numrique trouve enn rponse. Cest la condition primordiale pour que les technologies de linformation soient utilises en conance et en paix.
166

Jongler avec identifiants et mots de passe, garder la matrise des donnes personnelles ou professionnelles qui se propagent sur Internet et alimentent de gigantesques bases de donnes... Ces problmatiques de gestion des identits numriques sont aujourdhui au cur des proccupations des entreprises comme des particuliers. Peut-on agir de manire anonyme sur Internet? Quelles sont les obligations des diteurs de sites et des blogueurs? Quelles sont les limites lgales au choix et lusage dun pseudo? Quel est le statut juridique des avatars? Qui gagne dans le conflit entre marque et nom de domaine? qui sapplique lobligation lgale de conserver des traces de connexion? Comment protger sa vie prive, y compris sur les rseaux sociaux? Comment lutter contre les usurpations didentit? Cet ouvrage apporte sur ces questions un clairage juridique accessible tous, assorti de conseils pratiques prenant en compte les volutions les plus rcentes des technologies et des usages.
Avocat la Cour dAppel de Paris et charg denseignement lUniversit de Paris XI, Olivier Iteanu est un des meilleurs spcialistes franais et europens du droit de lInternet. Auteur du premier ouvrage de droit franais sur Internet (Eyrolles, 1996), il est prsident dhonneur du Chapitre franais de lInternet Society. Il est lavocat le plus cit dans la premire base de donnes de jurisprudence franaise sur le droit et les technologies de linformation (www.legalis.net, rubrique Les avocats du Net, mars 2008).