L’usurpation d’identité ou le vol d’identité est une escroquerie qui a été clairement incriminée par le législateur français, afin de protéger les individus contre ces manÅ“uvres frauduleuses. Celles-ci ne visent pas seulement le préjudice financier, mais aussi les préjudices moraux ou portants atteintes à la personnalité. C’est ainsi que l’article 226-4-1 dans le Code pénal incrimine :

« Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération »

et « Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne ». Ce texte est assez large et couvre aussi bien le fait de se faire passer pour une personne ou de voler des données personnelles dans le but de porter atteinte à la personne ainsi piratée ou à autrui. Par exemple, il s’agit du fait de prendre une identité pour créer de faux profil sur un site de réseau social et le fait d’envoyer de faux messages d’organismes, afin de récolter des informations personnelles pour accéder à des comptes sécurisés, comme des comptes de banques. De manière générale, le législateur français a érigé deux infractions différentes, à savoir, d’un côté, troubler la tranquillité et, d’un autre côté, porter atteinte à son honneur ou à sa considération.

La nouvelle proposition de loi relative à la protection de l’identité, présentée par MM. Jean-René Lecerf et Michel Houel, le 27 juillet 2010 au Sénat, envisage de créer des cartes nationales d’identité biométriques, dans le but de mieux lutter contre l’usurpation d’identité. Pour ce faire, ces cartes seront dotées de puces électroniques sécurisées « qui non seulement contiendront des données biométriques numérisées mais pourront également offrir à leurs titulaires de nouveaux services tel que l’authentification à distance et la signature électronique ».

Il y aura donc deux puces. La première régalienne contiendra des données classiques, telles que « a) le nom de famille, le ou les prénoms, le sexe, la date et le lieu de naissance du demandeur ; b) le nom dont l’usage est autorisé par la loi, si l’intéressé en a fait la demande ; c) son domicile ; d) sa taille et la couleur de ses yeux », mais également, et c’est nouveau, « e) ses empreintes digitales ; f) sa photographie » qui seront numérisées, comme c’est déjà le cas pour les passeports français (article 2).

La seconde puce est une réelle nouveauté, puisqu’il sera possible d’y insérer la signature électronique et l’authentification à distance sur les réseaux de communication électronique. Cette possibilité n’est que facultative et sera contenue dans un puce séparée de la première, pour protéger ses données sensibles (article 3). De ce fait, « La carte devient donc un instrument d’authentification lors de démarches administratives ou de transactions commerciales sur internet ».

En raison du contenu de cette carte, la sécurité devient essentielle et nécessaire pour éviter la fraude. C’est ainsi que de nouvelles infractions pénales sont créées, à savoir la disposition suivante : « Lorsque cette infraction a été commise à l’encontre d’un traitement automatisé de données à caractère personnel mis en Å“uvre par l’État, la peine est portée à cinq ans d’emprisonnement et 300 000 euros d’amende. » est rajoutée aux infractions d’atteintes aux systèmes de traitement automatisé de données aux articles 323-1 à 323-3 du Code pénal (article 7).

L’Assemblée Nationale est en train de débattre de ce texte qui se trouve actuellement en deuxième lecture, déposé le 3 novembre 2011, suite aux modifications du Sénat. Le principal problème que pose cette proposition est la sécurisation des données biométriques et les libertés publiques. En créant une carte nationale d’identité biométrique, le législateur met en place un type de fichage central biométrique, appelé par le rapporteur M. François Pillet, « le fichier des gens honnêtes ». C’est ainsi que l’article 5 relatif à ce fichier a été modifié pour ne pas porter clairement atteinte à ces libertés. Après avoir émis l’idée d’« un lien fort », la méthode d’identification choisit, notamment par le Sénat, est celle qui permet d’établir l’identité grâce à un « lien faible » entre les données personnelles récoltées. Concrètement,

« Dans son principe, ce dispositif consiste à associer un même numéro, compris par exemple entre 1 et 10 000, à l’identité et aux empreintes d’une personne, sans créer de lien direct entre l’identité et les empreintes. Sur une population de 60 millions de personnes, chaque numéro correspondrait à 6 000 personnes. Une empreinte renvoie donc à un numéro, qui renvoie lui-même à 6 000 noms. Ainsi, tout se passe comme si 10 000 empreintes étaient rangées dans un tiroir portant un numéro, les 10 000 identités correspondant dans un second tiroir portant le même numéro, et les 10 000 visages dans un troisième tiroir portant lui aussi le même numéro ». (Rapport n°39 (2011-2012) de M. Pillet, Sénat)

En outre, les articles 5 bis et 5 ter limitent l’accès aux données contenues dans cette fameuse carte d’identité aux « agents chargés des missions de recherche et de contrôle de l’identité des personnes, de vérification de la validité et de l’authenticité des passeports et des cartes nationales d’identité électroniques », ainsi que

« les administrations publiques, les opérateurs assurant une mission de service public et les opérateurs économiques pour s’assurer de la validité de la carte nationale d’identité ou du passeport français présenté par son titulaire pour justifier de son identité. Cette consultation ne permet d’accéder à aucune donnée à caractère personnel »

.

Il s’agit d’éviter l’utilisation du fichier central biométrique à des fins autres que la lutte contre l’usurpation d’identité. (Voir le rapport n°39 (2011-2012) de M. Pillet, Sénat). En effet, comme l’affirme la Commission Nationale de l’Informatique et des Libertés (CNIL), « si le recours à l’empreinte digitale, technique "à traces", est très performant en matière d’identification des personnes, cette technique demeure en effet risquée en termes d’usurpation d’identité, ce qui justifie que son usage soit encadré ». Le caractère particulier des données biométriques, qui sont particulièrement sensibles, comme les empreintes digitales et les caractéristiques du visage, fait que le législateur leur confère « une protection et un encadrement particuliers ». D’ailleurs, la CNIL, dans une note d’observations concernant la proposition de loi relative à la protection de l’identité, montre certaines réticences envers le traitement en base centrale de telles données.

La mise en place de cette carte d’identité amène de nombreuses questions sur sa raison d’être. Par exemple, l’article de Jean Marc Manach intitulé « Ã€ qui profite le fichier des « gens honnêtes » ? » annonce clairement que cette proposition n’a pas l’unanimité au sein du Parlement, et notamment au sein du Sénat, et que « contrairement à l’objectif affiché, il ne s’agit pas tant de lutter contre l’usurpation d’identité que de soutenir les leaders mondiaux (parce que français) des fichiers d’empreintes digitales ». De plus, un article publié dans le journal Le monde, « Pas encore adoptée, la carte d’identité biométrique est déjà critiquée », met en garde contre le détournement à des fins commerciales de ce fichier central. Dans tous les cas, ce fichier peut être une source très intéressante pour des criminels, ce qui explique que la sécurité de cette nouvelle carte d’identité doit être optimale et utilisé à bon escient. Mais surtout, la question est : une telle carte est-elle nécessaire ? Sachant qu’il existe de nombreuses fuites et failles informatiques mettant en danger les données personnelles collectées (voir l’article de Jean Marc Manach intitulé « Plus de fichiers = plus de fuites »)