Personnalité juridique et identification numérique
p. 305-317
Texte intégral
1“Personnalité juridique” et état des personnes. – La personnalité juridique est l’aptitude à être titulaire actif et passif de droits subjectifs que le droit objectif reconnaît à chacun. Cette aptitude est accordée aux individus, personnes physiques, et aux groupements, personnes morales. L’état de la personne se définit par son identité civile, soit ce qui assure son intégration dans la société globale. Plus spécifiquement, l’identité est “la personne individualisée dans ce qui lui est personnel”1 dans sa vie personnelle et non pas seulement sociale. On peut aussi définir l’identité comme “l’ensemble des caractéristiques biologiques et sociales permettant d’individualiser les personnes et constituant leur identité”2. L’identité est donc ce qui caractérise l’individu. De leur côté, les personnes morales présentent aussi des identifiants les caractérisant (nom, statut, adresse, nom des représentants…). On évoque même les signes identitaires d’une personne morale, si on pense, par exemple, aux éléments fondateurs des États Nations, tels le drapeau, l’hymne national, la monnaie, la langue officielle…
2 Composants de l’identité. – Quant aux personnes physiques, plusieurs éléments participent de leur identité. Traditionnellement, les identifiants les plus évocateurs, composant l’état civil sont : le nom, le prénom, le sexe, la date de naissance, le domicile… Plus largement, peuvent être inclus tous les éléments caractérisant l’individu et de nature à lui donner un sentiment d’identité2
3Si tous les individus ont une identité, les éléments identifiants varient de l’un à l’autre, d’un groupe social à un autre, d’une société à une autre. À l’évidence, l’espace et le temps dans lesquels une personne vit et évolue exercent une influence sur son identité3. L’individu forge son identité selon le groupe social auquel il est rattaché. Ainsi, les peuples autochtones n’ont pas, le plus souvent, la même conception de l’identité que les sociétés occidentales. Si on prend l’exemple du peuple kanak de Nouvelle Calédonie qui représente 40 % de la population, ce peuple s’identifie par son rattachement au clan paternel, à défaut au clan maternel, et surtout par son lien à la terre d’implantation du clan4. Un Kanak est de “tel lieu”, clan de la mer ou de la terre. Le nom du clan indique déjà la localisation. Cette définition de l’identité montre le lien à la terre, caractéristique fondamentale des peuples autochtones5 et élément incontournable d’identité. Sans rattachement à un clan, à une terre, l’enfant est alors un “enfant du chemin”, comme errant en quête d’identité.
4Quant au facteur temps, la reconnaissance de la personnalité morale au profit de nouveaux groupements non visés initialement par la loi s’est faite progressivement, sous l’influence de la jurisprudence se référant à la théorie de la réalité plutôt qu’à celle de la fiction6. À l’évidence, il est vain de vouloir dresser une liste exhaustive des éléments identifiant une personne physique ou morale, tout comme il est inutile de figer une liste de groupements ayant la personnalité morale, leur nombre étant susceptible d’évoluer.
5 Identité et identification. – L’identité, formalisée par l’état civil, présente une double nature : elle permet d’individualiser un individu, justifiant une protection des éléments la composant, au nom de son droit au respect de sa vie privée. C’est la raison pour laquelle l’identité de la personne physique nécessite des précautions pour préserver sa liberté individuelle. Mais l’état civil permet aussi de caractériser un individu en tant qu’être social, dans ses rapports avec un groupe. Dès lors, la société doit pouvoir retrouver l’individu : elle doit pouvoir l’identifier. Dans cette perspective, l’identification, justifiée pour des raisons d’ordre public, peut porter atteinte à la liberté individuelle. Un juste équilibre doit alors être trouvé entre ces deux conceptions.
6 Identité physique et identité numérique. – Les contours de l’identité physique peuvent à peu près être dessinés, mais que faut-il entendre par “identité numérique” ? Tout d’abord, sur l’internet, les identifiants habituellement utilisés dans le monde réel, comme le nom, le prénom, l’adresse, le sexe, les photographies…, se retrouvent naturellement.
7Mais de nouveaux identifiants apparaissent aussi : login, mots de passe, pseudonymes, adresses IP. Ils sont censés garantir un anonymat ou une confidentialité et ont la particularité d’être, le plus souvent, choisis par l’internaute lui-même, afin de s’auto-désigner. Ces éléments sont pour la plupart d’ordre technique et s’ajoutent aux identifiants classiques, de nature administrative. Un premier constat peut donc être fait sur l’internet de l’enrichissement des éléments composants l’identité7. L’ensemble des identifiants propres à l’internet (login, mots de passe, pseudonymes, adresses IP) constitue l’“identité numérique” des personnes physiques et morales. Toutefois, cette notion “d’identité numérique” est trompeuse et mérite quelques précisions. D’abord, elle ne fait pas l’objet d’une consécration légale et constitue une simple expression issue des usages de l’internet, plutôt qu’elle serait une notion juridique. Ensuite, il apparaît que sa définition ne soit pas claire et puisse s’avérer particulièrement large. On peut la définir comme étant l’ensemble des éléments permettant d’identifier la personne sur l’internet. On envisage même parfois une approche plus large, englobant “l’ensemble des traces, telles les données de connexion, qu’un individu laisse sur l’internet et qui permettent de reconstituer son parcours”, voire, plus largement encore, “l’ensemble des informations concernant une personne qui sont accessibles sur l’internet et permettent d’établir son profil : ainsi les photographies représentant la personne, ses publications, les renseignements qu’elle livre sur elle-même ou ceux qu’autrui révèle, etc”8. Une telle définition est excessivement large, très ambiguë, et se confronte avec d’autres objets du droit protégés. La notion est trop envahissante pour être performante en droit et mieux vaudrait l’éviter. Enfin et surtout, cette notion est terriblement ambiguë, en ce qu’elle laisse entendre qu’une personne physique ou morale puisse avoir une identité numérique dans le monde virtuel, différente de son identité réelle. Or, en réalité, la notion “d’identité numérique” renvoie à l’identité des personnes physiques ou morales, dans un contexte numérique, rien de plus. Il s’agit simplement d’envisager des identifiants propres à l’environnement virtuel. Au final, la notion “d’identité numérique” questionne l’identification sur l’internet. Au vu des faiblesses de cette expression, il est heureux que le législateur ne s’en soit pas emparé pour en faire une notion juridique.
8 Les enjeux de l’identification et de l’identité des personnes sur l’internet. – Des difficultés d’identification sur l’internet sont remarquables, tenant au fait que les composants habituels de l’état de la personne peuvent être facilement modifiés. Il est loisible de mentir sur sa personne et de donner des éléments faux ou peu représentatifs (pseudonymes, faux noms par exemple). Le principal enjeux sera donc de pouvoir identifier valablement la personne qui agit sur le réseau, notamment si elle commet une infraction. Pour que les poursuites d’infractions réalisées sur le réseau puissent aboutir à des sanctions, il est nécessaire de disposer de moyens d’identification des personnes, les plus fiables possibles. La technique apporte des réponses et vient suppléer les risques pesant sur l’État.
9À ces difficultés d’identification, s’ajoutent, par ailleurs, des risques menaçant plus directement l’individu et son identité. Dans un monde virtuel, il est aisé de prendre l’identité de quelqu’un d’autre en utilisant les composants de sa personnalité, de son état civil, en particulier son nom et son prénom. L’usurpation d’identité sera facile et portera atteinte à la réputation ou à l’honneur d’un individu, voire permettra des escroqueries ou abus de confiance. Mais les dangers qui guettent l’individu ne trouvent pas seulement leur origine dans le comportement des autres. Les individus eux-mêmes, exposant à l’envie leur identité, prennent des risques dont ils ne mesurent pas toujours la portée.
10Dès lors, l’identification des personnes physiques et morales sur l’internet est un enjeu essentiel pour les pouvoirs publics et oblige à repenser les moyens d’identification utilisés, laissant une forte place à la technique (I). Mais il est aussi nécessaire de protéger l’individu dans sa personnalité, car, dans un environnement numérique, plusieurs menaces planent sur son identité, essentiellement en raison d’une forte valorisation économique des données identitaires et des informations sur sa personnalité (II).
I – L’IDENTIFICATION DES PERSONNES PHYSIQUES ET MORALES SUR L’INTERNET : LA TECHNIQUE AU SERVICE DU DROIT
11Sur l’internet, il existe des procédés techniques permettant de suppléer la défaillance des moyens habituels d’identification des personnes. L’adresse IP est, à l’évidence, un outil privilégié pour ce faire (A). Ce numéro de connexion à l’internet doit être éclairé par une identification réelle de la personne physique ou morale. Cela sera rendu possible par la coopération des opérateurs techniques, soumis à une obligation de conservation et de communication des éléments d’identification réelle (B).
A – L’identification par l’adresse IP des personnes physiques ou morales
12La plupart du temps, l’identification par l’adresse IP est destinée à trouver l’auteur d’une infraction en vue d’engager sa responsabilité (1). Néanmoins, l’identification par l’adresse IP peut aussi permettre une localisation d’une personne physique, facteur de rattachement dans la recherche de la loi applicable (2).
1) L’identification par l’adresse IP et la responsabilité des auteurs d’infractions
13 Anonymat trompeur sur les réseaux numériques. – L’internaute, personne physique, peut être tenté de commettre des infractions sur l’internet, très faciles à réaliser, à l’instar du téléchargement illicite d’œuvres protégées par le droit d’auteur. Fort de l’immatérialité du réseau, il peut avoir le sentiment d’impunité, notamment en dissimulant son identité véritable par l’usage de pseudonymes. Mais cette sensation “de ne pas être vu et reconnu” est trompeuse9, puisqu’il existe des moyens techniques de retrouver et d’identifier la personne par son adresse IP. L’adresse IP correspond au numéro de connexion donné par le fournisseur d’accès à l’internet au moment de la conclusion d’un contrat d’accès au réseau. Techniquement, il est le point d’entrée de l’ordinateur sur le réseau internet. À partir du numéro, le fournisseur d’accès l’ayant attribué a l’obligation de retrouver l’identité physique de son client, c’est-à-dire son nom et son prénom. Comme tout numéro, il constitue un élément indirect d’identification de la personne et, par là même, une donnée à caractère personnel.
14 L’adresse IP et la commission de l’infraction. – L’adresse IP est essentielle à l’identification de l’internaute, notamment pour poursuivre les auteurs d’infractions. Ainsi, par exemple, l’article 227-23 al. 1er du Code pénal protège la moralité des mineurs et sanctionne “le fait, en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque cette image ou cette représentation présente un caractère pornographique”. Une telle infraction est punie de cinq ans d’emprisonnement et de 75 000 euros d’amende. Les peines sont portées à sept ans d’emprisonnement et à 100 000 euros d’amende, lorsque le réseau a été utilisé, pour la diffusion de l’image ou de la représentation du mineur à destination d’un public non déterminé (C. pén., art. 227-23 al. 3). L’adresse IP doit permettre de retrouver l’ordinateur à partir duquel l’image a été diffusée, ce qui va, si ce n’est permettre d’aboutir à l’auteur de l’infraction, en faciliter, pour le moins, sa recherche. La matérialité de l’infraction devra, en outre, être prouvée par la recherche des données matérielles illicites sur le disque dur de l’ordinateur par exemple.
15 La responsabilité légale du titulaire de l’adresse IP. – Plus encore, le législateur a créé une infraction pénale, en vue de responsabiliser directement le titulaire de la connexion internet. La loi no 2009-669 favorisant la diffusion et la protection de la création sur internet, dite Hadopi 1, et la loi no 2009-1311 du 28 octobre 2009, loi Hadopi 2, ont ajouté un nouvel article L. 336-3 dans le code de la propriété intellectuelle pour prévoir que “La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits (…)”.
16Le législateur a créé ici une nouvelle infraction dite de “négligence caractérisée”, selon laquelle le titulaire d’une connexion internet a l’obligation d’empêcher le téléchargement illicite d’œuvres sur les réseaux de peer-to-peer via sa connexion. Il ne sera donc pas lui-même rendu responsable de contrefaçon, tant que la matérialité de cette infraction n’a pas été prouvée, mais il sera en revanche responsable de ne pas l’avoir empêchée. Concrètement, il a l’obligation de prendre des précautions et d’installer un logiciel de sécurité pour bloquer le téléchargement illicite (CPI, art. 336-4). À défaut, il est considéré comme négligent et passible d’une contravention de la 5e classe (1500 euros d’amende). Il pourra également se voir imposer la peine complémentaire de suspension d’accès à l’internet pendant un mois (CPI, art. 335-7-1). Notons toutefois que, ce faisant, le législateur use d’un détour car ce n’est pas l’infraction de contrefaçon elle-même qui sera ainsi directement sanctionnée, ni même poursuivie, mais l’infraction de “négligence caractérisée” pour défaut de sécurisation ayant permis le téléchargement illicite d’œuvres.
17Cette nouvelle infraction est intéressante, car elle établit un lien direct entre l’adresse IP comme moyen d’identifier l’internaute et la mise en œuvre de sa responsabilité pénale. L’identification par l’adresse IP est alors source de responsabilité pénale.
18 L’adresse IP et la responsabilité des personnes morales. – Par ailleurs, la mise en œuvre de la responsabilité de l’auteur d’une infraction, identifié à l’aide de l’adresse IP, n’est pas l’apanage des personnes physiques. À partir du moment où une personne morale peut conclure un contrat d’accès à l’internet et être identifiée par une adresse IP, elle pourra aussi engager sa responsabilité en cas de commission d’infraction via la connexion. C’est ainsi que les employeurs, titulaires d’une connexion internet, peuvent être rendus responsables, en tant que commettants des actes commis par leurs préposés dans le cadre du travail et avec les moyens informatiques de l’entreprise (C. civ., art. 1384 al. 5). Il est alors prudent d’encadrer les conditions d’utilisation de l’internet dans des Chartes informatiques10 annexées au règlement intérieur de l’entreprise.
2) La localisation par l’adresse IP et l’application de la loi française
19 L’adresse IP comme critère de rattachement pour l’application de la loi française. – L’article 24 de la loi no 2010-476 du 12 mai 2010 relative à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne prévoit une disposition intéressante. Un joueur, personne physique, identifié par son adresse IP comme résidant en France doit être automatiquement redirigé vers le site de jeu ouvert en “.fr”, ce qui va impliquer l’application de la loi française sur les jeux et paris en ligne. L’adresse IP permet donc d’identifier et localiser le joueur. Elle constitue un moyen de rattachement pour appliquer le droit français.
20Cette fonction de l’adresse IP est tout à fait intéressante sur le réseau internet, réseau mondial dématérialisé, peu adapté à la territorialisation du droit. L’adresse IP peut s’avérer être un procédé de rattachement intéressant, ce qui n’a, pour l’instant, pas été pris en compte dans la mise en œuvre des règles du droit international privé sur l’internet. Le règlement 44/2001 du Conseil du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale dit Bruxelles I et le règlement no 593/2008 du 17 juin 2008 sur la loi applicable aux obligations contractuelles dit Rome I ont privilégié le critère de rattachement de “l’activité dirigée”. Par application de la théorie de la focalisation, cette notion invite à considérer l’action de l’opérateur intervenant sur l’internet via son site, plutôt que la situation physique de l’internaute. Cette approche n’est pas celle retenue par la législation des jeux et paris en ligne et pourrait compléter utilement les règles déjà mises en œuvre dans d’autres domaines.
21Si l’adresse IP est utilisée par les autorités de police judiciaire pour poursuivre les infractions, l’identification réelle de leurs auteurs implique l’intervention des opérateurs techniques, censés conserver les données de leurs clients.
B – L’identification réelle des personnes physiques et morales
22 L’obligation de conservation et de communication des données d’identification. - L’adresse IP est un élément clé de la traçabilité sur l’internet. Mais elle n’est qu’un simple numéro, procédé indirect d’identification11. Au numéro, doivent être rattachés les éléments d’une identification réelle de la personne morale ou physique. Ces informations sont détenues par les opérateurs techniques, c’est-à-dire les fournisseurs d’accès à l’internet avec qui l’internaute conclut un contrat d’accès et les hébergeurs ayant pour rôle de stocker et de rendre visibles les sites internet.
23Les articles 6-II et 6-II bis de la loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dite LCEN, imposent à ces opérateurs de conserver les données d’identification de leurs clients et de les communiquer à la demande du juge. Ces opérateurs sont les seuls à pouvoir associer le nom d’une personne à une adresse IP, aussi leur coopération est-elle essentielle. Les juges leur ordonnent de communiquer l’identité physique des personnes soupçonnées d’avoir commis une infraction et dont l’adresse IP a été collectée par les enquêteurs des services spécialisés de la police judiciaire. Le décret no 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données12 permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne précise la nature des données que les fournisseurs d’accès à internet et les fournisseurs d’hébergement doivent conserver et communiquer à la demande des autorités publiques, afin de coopérer dans la lutte contre les contenus illicites diffusés sur l’internet.
24 L’obligation d’identification physique des joueurs et parieurs. – De la même façon, l’article 17 de la loi no 2010-476 du 12 mai 2010 relative à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne prévoit que l’entreprise de jeu sollicitant l’agrément de l’ARJEL (Autorité de Régulation des Jeux et Paris en Ligne) pour exercer une activité de jeu ou pari en ligne doit préciser “les modalités d’accès et d’inscription à son site de tout joueur et les moyens lui permettant de s’assurer de l’identité de chaque nouveau joueur, de son âge, de son adresse et de l’identification du compte de paiement sur lequel sont reversés ses avoirs” (loi no 2010-476, art. 38). Un décret no 2010-509 du 18 mai 2010 précise les obligations imposées aux opérateurs agréés de jeux ou de paris en ligne en vue du contrôle des données par l’ARJEL. Les données à conserver combinent des informations de nature administrative et technique, destinées à identifier avec certitude le joueur.
25 La coopération des acteurs. – Ainsi, les opérateurs techniques doivent fortement coopérer avec les autorités publiques, sous peine d’engager leur responsabilité13. Le rôle de ces techniciens est primordial car le droit est dépendant de la technique, ce qui est source de risques car on sait très bien que tout dispositif technique comporte des failles et des possibilités de contournement. Il convient donc de nuancer l’efficacité du procédé d’identification et d’admettre que des outils techniques puissent déjouer l’identification par l’adresse IP, rendant par la suite toute poursuite impossible.
26Si la personne juridique, sujet de droits et responsable de ses actes, peut s’avérer difficile à trouver sur l’internet, elle peut, par ailleurs, subir des atteintes par la voie de détournement des éléments de son identité et de sa personnalité.
II – L’IDENTIFICATION DES PERSONNES PHYSIQUES ET MORALES SUR L’INTERNET : LA VALORISATION DES DONNEES IDENTITAIRES
27L’identité des personnes physiques et morales est particulièrement chahutée sur l’internet, en raison d’une remarquable valorisation économique des données identitaires. La dématérialisation de l’internet facilite leur collecte, lors même que les usages participatifs attractifs du Web 2.0 incitent les internautes à se livrer eux-mêmes. Dès lors, deux principaux risques planent sur l’identité des personnes physiques et morales : l’usurpation d’identité (A) et la surexposition d’informations personnelles (B).
A – L’identité usurpée
28 La consécration d’un délit pénal d’usurpation d’identité. – La loi no 2011-267 dite LOPPSI 2 du 14 mars 2011 vient de consacrer une nouvelle infraction pénale d’usurpation d’identité (art. 2). Codifiée à l’article 226-4-1 du Code pénal, cet article prévoit que : “Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende”. L’alinéa 2 ajoute que “cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne”, de même que la tentative (C. pén., art. 226-5).
29La rédaction redondante de l’alinéa 2 peut surprendre mais se justifie par le fait que l’infraction avait initialement été conçue pour ne s’appliquer qu’à l’internet, avant d’être étendue au monde physique. Il est vrai qu’une telle usurpation d’identité n’est pas l’apanage de l’internet et en décider autrement aurait sans doute constitué une rupture d’égalité devant la loi pénale. On aurait donc pu faire l’économie de ce deuxième alinéa14. Placée désormais au chapitre des “atteintes à la vie privée”, cette infraction prend mieux sa place qu’au chapitre des “violences”, tel que le prévoyait initialement le projet de loi.
30 Le délit d’usurpation d’identité et les autres infractions. – Au premier abord, le champ d’application de cette infraction peut paraître modeste mais doit s’envisager à la lumière des infractions déjà existantes, ne laissant en réalité qu’une faible lacune, comblée par l’infraction nouvelle15. Ainsi, un délit d’usurpation d’identité16 est prévu à l’article 434-23 al. 1er du Code pénal. Mais n’est ici visé qu’un certain usage de l’usurpation d’identité, consistant à commettre des actes délictueux, susceptibles d’être imputés à la victime de l’usurpation.
31En outre, l’usurpation d’identité peut avoir une autre finalité, susceptible d’être sanctionnée par plusieurs infractions pénales. L’usurpation est ainsi fréquemment destinée à dérober de l’argent, par l’accès aux comptes bancaires de la personne dont l’identité a été détournée. La pratique du phishing ou “hameçonnage” consiste à obtenir les coordonnées bancaires d’un individu en lui envoyant un courriel dont l’apparence laisse penser qu’il est envoyé par la banque. La victime reçoit le message dans lequel il lui est demandé de se connecter via un lien hypertexte renvoyant sur un faux site, afin de reconfigurer ses identifiants, login et mots de passe. Ce faisant, ces informations sont automatiquement enregistrées sur le faux site de la banque et récupérées pour être utilisées sur le vrai site. Il y a là manœuvres frauduleuses, de nature à tromper une personne physique ou morale, afin de la déterminer à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L’escroquerie au sens de l’article 313-1 du Code pénal est bien caractérisée ici17. Il pourrait aussi s’agir d’un abus de confiance, lorsqu’une personne détourne, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé (C. pén., art. 314-1). Également, le faux site reproduisant les logos de la banque ou toute autre institution, de même que la présentation et la charte graphique du site, peut être sanctionné sur le fondement de la contrefaçon de marque18.
32Antérieurement à l’adoption de la loi LOPPSI 2, les juges ont pu sanctionner les usurpations d’identité ayant pour objet de porter atteinte à l’honneur et à la réputation19, mais la loi nouvelle a renforcé la nature des sanctions, désormais pénales.
33L’article 226-4-1 C. pén. apporte une précision importante concernant l’objet même du détournement. Est ainsi visée, non seulement l’usurpation de l’identité elle-même, mais aussi “l’usage de données permettant d’identifier la personne”. Cette notion se détache de la notion de “donnée à caractère personnel”, telle qu’envisagée à l’article 2 de la loi du 6 janvier 1978. Par ailleurs, son champ d’application est particulièrement large et intègre les données relatives aux personnes morales, jusqu’à présent peu protégées. Désormais, la réputation, l’image de marque ou encore la notoriété de la personne morale pourront être préservées. Mais là réside une nouvelle difficulté, dans le fait de viser de simples “données permettant d’identifier” les personnes. L’appréciation de la notion d’identité risque de devenir protubérante et si de nombreuses données peuvent permettre d’identifier la personne, elles ne présentent pas toutes le même degré d’intimité, d’individuation, et ne méritent sans doute pas toutes un niveau élevé de protection.
34Le rôle actif des personnes dans la diffusion de leurs données identitaires va faciliter l’usurpation d’identité. Les services du web 2.0, en particulier les réseaux sociaux, poussent ainsi les individus à se surexposer.
B – L’identité surexposée
35 L’exposition de soi dans les réseaux sociaux. - Les réseaux sociaux encouragent les internautes à donner eux-mêmes et spontanément des informations personnelles essentielles, voire très intimes. En quête de reconnaissance, l’internaute s’exécutera souvent de bonne grâce, car s’exhiber en ligne est souvent perçu comme un moyen d’être reconnu dans la vie réelle20. Pourtant, le dévoilement non contrôlé sur le réseau de ces informations personnelles est vécu comme une atteinte à la personne21. Il y a là un paradoxe dans le fait de souhaiter un niveau élevé de protection de ses données personnelles, tout en dévoilant soi même un nombre important d’informations personnelles sur les réseaux sociaux22. Les personnes morales ne sont pas à l’écart de cette évolution et, désormais, l’e-reputation est une préoccupation forte pour protéger l’image de l’entreprise et, plus encore, pour la valoriser.
36 La diffusion de données identitaires intimes. – Confortés par le sentiment d’être entre amis, entre soi, les membres de réseaux comme FaceBook se dévoilent, tout particulièrement les plus jeunes utilisateurs. Au-delà, l’outil de mise en relation est tellement performant qu’il donne un fort impact aux informations contenues sur son mur, sa page, pour ce qu’elles sont en elles-mêmes, mais aussi pour le lien créé avec les autres membres. Dans cette perspective, le profil FaceBook n’est rien d’autre qu’une exposition de soi, de son identité. La performance d’un tel outil propre à l’environnement numérique est remarquable car il permet de s’identifier par ses choix, ses goûts, ses activités, ses amis, les personnes que l’on aime ou que l’on n’aime pas, autant d’informations bien plus riches, exhaustives et intimes que l’état civil définissant classiquement l’identité d’un individu. On assiste alors à une redéfinition des moyens de s’individualiser par ce que l’on est ou prétend être mais aussi par ce que l’on fait.
37 Une identité fabriquée. – L’identité, réelle ou fabriquée, est racontée par la personne elle-même23, ce que Ricœur nomme les “identités narratives”24 et Foucault les “écritures de soi25”. D’autres encore évoquent “une expression de soi bricolée”26, dès lors que les “internautes essayent de se façonner et de se construire une identité par bricolage”. “Ce bricolage identitaire à l’œuvre dans cette autoreprésentation de soi digitalisée relève (…) d’un individualisme expressif contemporain”. Ces nouvelles formes de construction et présentation de l’identité numérique participent d’un renouvellement de la notion même d’identité.
38 Le profilage commercial des personnes physiques anonymes. – Les publicitaires glanent les informations personnelles que l’on trouve à foison sur les réseaux sociaux, souvent avec l’aide de ces derniers27, en vue de constituer des profils d’internautes pour leur envoyer des publicités ciblées. Ce profilage commercial reste le plus souvent anonyme puisque les données collectées vont porter sur l’âge, le sexe, la localisation, et surtout les goûts, sans permettre de nommer directement ou indirectement les personnes dont les données vont être collectées et traitées. Forts de l’anonymat préservé, les publicitaires rejettent l’applicabilité à ces pratiques de ciblage publicitaire de la loi du 6 janvier 1978 relatives à la protection des données à caractère personnel et refusent de respecter les obligations qui en sont issues. Il est vrai que l’article 2 de la loi du 6 janvier 1978 définit la donnée personnelle comme permettant une identification directe ou indirecte, supposant d’aboutir au nom de la personne. Mais la définition donnée par la directive 95/46/CE de la notion de “données à caractère personnel” est plus large que la définition française. Est identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale”. Si un profilage devient très précis, il ne faut pas exclure qu’il puisse aboutir à désigner un individu qui serait alors identifié et que l’on puisse y voir l’usage de données à caractère personnel. Au demeurant, même sans aller jusqu’à l’identification, le profilage concerne des données fortement identitaires, en ce qu’elles caractérisent intimement les individus et portent finalement sur la personnalité des internautes. On touche à l’intimité de la personne ce qui mériterait protection.
39Dans un avis 4/2007 du 20 juin 2007, le G29 estime d’ailleurs que “la possibilité d’identifier une personne n’implique plus nécessairement la faculté de connaître son identité”. L’identité n’est plus seulement, voire plus essentiellement, le nom mais de plus en plus la conjonction d’informations nombreuses et très personnelles, choisies, mises en valeur par l’individu lui-même comme le caractérisant et qu’il expose volontairement sur ses pages personnelles pour être visibles par quelques-uns ou par tous. Les données identitaires sans nommage de l’individu sont aujourd’hui sources de valeur alors que leur usage n’est pas encadré. Il est urgent de combler cette lacune législative, ce à quoi le législateur communautaire souhaite s’atteler, à l’occasion de la réforme de la directive 95/46/CE actuellement en cours. Une proposition de règlement relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données a été adoptée le 25 janvier 2012.
40Même si on ne peut parler d’une nouvelle “identité numérique”, les questions d’identification et d’identité sont bousculées sur l’internet menaçant les personnes physiques et morales. Des réponses ont déjà été apportées à certaines difficultés, mais d’autres questions restent en suspens. Il ne sera pas simple de relever le défi de la protection de la personnalité juridique dans un contexte numérique, lors même que la volonté de l’individu est de se montrer. L’internet est un nouvel espace d’action et d’expression qui donne une deuxième chance de s’accomplir. Les prestataires des services du web 2.0 l’ont bien compris et en profitent. Le législateur européen devra donc prendre en compte cette réalité sociologique dans l’élaboration d’une nouvelle norme, ce qui supposera des solutions nouvelles pour protéger la personnalité juridique.
Notes de bas de page
1 Le style oral a été partiellement conservé.
2 D. Gutman, Le sentiment d’identité, préf. F. Terré, LGDJ, Thèses, Bibl. droit priv., 2000, t. 327.
3 F. Terré et D. Fenouillet, op. cit.
4 R. Lafargue, “La coutume face à son destin : réflexions sur la coutume judiciaire en Nouvelle-Calédonie et la résilience des ordres juridiques infra-étatiques”, LGDJ, Droit et société, no 22, 2010.
5 F. Deroche, Les peuples autochtones et leur relation originale à la terre : un questionnement pour l’ordre mondial, L’Harmattan, 2008.
6 Ainsi par exemple, la Cour d’appel de Nouméa (CA Nouméa, 22 août 2011, Chambre civile no R. G. : 10/00531 et 10/00532 (deux affaires)) vient de reconnaître la personnalité morale aux clans, organisation sociale fondamentale des Kanaks, faisant primer le groupe sur l’individu et reposant sur un mythe fondateur et une terre. Les clans pourront exercer directement les droits fonciers, sans plus qu’il soit nécessaire de créer des groupements comme le GDPL (Groupement de droit particulier local), personnes morales créées pour faciliter la restitution des terres coutumières par l’État français aux Kanaks et pour gérer le développement économique de ces terres.
7 A. Lepage, “Le délit d’usurpation d’identité : questions d’interprétation”, JCP 2011, I, 913. Cet auteur évoque même une “conception renouvelée de l’identité”.
8 A. Lepage, op. cit.
9 Pour une illustration : R. Meltz, “Une vie transparente sur internet”, in Internet et réseaux sociaux, dir. D. Cardon, Problèmes politiques et sociaux, la Documentation française, no 984, mai 2011, p. 103 et s.
10 Pour une illustration : C. Castets-Renard, “Vie privée du salarié et TIC : attention à la violation de la charte informatique !”, note sous Cass. Soc., 15 déc. 2010 ; RLDI 2011/69, no 2270. Pour une analyse d’ensemble : C. Castets-Renard, “TIC et droit du travail”, Jcl Communication, LexisNexis, Fasc. no 4820.
11 La qualification de ce numéro a fait l’objet de controverses, quant à savoir s’il peut être considéré comme une donnée personnelle ou non. L’article 2al. 2 de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 définit la donnée personnelle comme étant : “toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne”. La jurisprudence s’est montrée divisée sur le point de savoir si l’adresse IP est une donnée personnelle ou non. Certaines cours d’appel ont répondu par la négative en refusant de retenir la qualification de donnée personnelle : CA Paris, (13e ch., sect. B), 27 avr. 2007 ; CA Paris, (13e ch., sect. A), 15 mai 2007. La Cour de cassation a tranché en considérant que l’adresse IP est une donnée à caractère personnel indirect : Cass. Crim. 13 janv. 2009, no 08-84088. Finalement, la réponse est certainement positive, si on se fie en particulier aux lois hadopi 1 et 2 des 12 juin 2009 et 28 octobre 2009 qui autorisent les sociétés de gestion collective à collecter des adresses IP des internautes réalisant des téléchargements illicites d’œuvres sur les réseaux de peer-to-peer, en imposant le respect de la loi du 6 janvier 1978. Il est vrai que l’adresse IP permet une identification indirecte de l’internaute.
12 Pour un commentaire : C. Castets-Renard, “Publication du décret d’application relatif à la conservation et à la communication des données d’identification à la charge des prestataires techniques : enfin” ; RLDI 2011/70, no 2323.
13 Sur cette question, voir : C. Castets-Renard et G. Azzaria, “Le renouvellement du droit de la responsabilité sur l’internet”, Lexisnexis, Litec, coll. Actes et colloques, sept. 2011.
14 V. A. Lepage, op. cit.
15 D. Chilstein, “Les nouveaux défis du droit pénal : incriminations générales et spéciales à l’épreuve de l’économie numérique”, in Les nouveaux défis du commerce électronique, dir. J. Rochfeld, LGDJ, Montchrestien, 2010.
16 Notons que si les travaux parlementaires et le juge retiennent l’expression “délit d’usurpation d’identité” (Cass. Crim. 16 févr. 1999, no 98-80.535), le législateur, pour sa part, n’a finalement pas retenu la notion “d’identité”.
17 Pour une illustration : TCel de Strasbourg, 2 septembre 2004. Cette affaire concernait un étudiant ayant imité le site du Crédit Lyonais.
18 TGI Paris, 21 sept. 2005, Microsoft Corporation c/ Robin B. ; legalis.net.
19 Le juge a pu sanctionner la création d’un faux profil FaceBook de l’humoriste Omar Sly (duo Omar et Fred) sur le fondement de l’atteinte à la vie privée et au droit à l’image (Conv. EDH, art 8 et C. civ., art. 9. V. C. Castets-Renard, ““Faux profil” FaceBook : de l’atteinte à l’image et à la vie privée à l’usurpation d’identité”, Note sous TGI Paris, 24 nov. 2010, Légipresse no 280, févr. 2011.
20 F. Granjon et J. Denouel, “S’exhiber en ligne pour être reconnu dans la vraie vie”, in Internet et réseaux sociaux, dir. D. Cardon, Problèmes politiques et sociaux, la Documentation française, no 984, mai 2011, p. 71 et s.
21 V. F. Granjon, “Exposition de soi et autoréification sur les sites de réseaux sociaux”, in Données personnelles et vie privée, coord. A. Rallet et F. Rochelandet, La découverte, collec. Réseaux, 2011, p. 77 et s.
22 F. Rochelandet, Économie des données personnelles et de vie privée, La Découverte, collec. Repères, no 546, 2011, p. 77 et s. L’analyse économique révèle toutefois que le paradoxe de ce comportement qui paraît peu raisonnable, peut en réalité se justifier par une analyse des coûts. Un comportement rationnel consisterait à ne pas divulguer ses propres données, mais les individus ont en réalité une faible incitation à se protéger mais une forte propension à s’exposer.
23 V. F. Granjon, op. cit. Cet auteur évique une “autoréification” de l’individu.
24 P. Ricoeur, “L’identité narrative”, Esprit, no 7-8, pp. 295-304, 1988.
25 M. Foucault, Dits et écrits II, Paris, Gallimard, 2001.
26 “Personnalisation et singularisation de l’identité des internautes, Les pages perso : une expression de soi bricolée”, in Internet et réseaux sociaux, dir. D. Cardon, Problèmes politiques et sociaux, la Documentation française, no 984, mai 2011, p. 69 et s.
27 M. Christensen, “Utilisation des données par Facebook, dérives commerciales et surveillance”, in Internet et réseaux sociaux, dir. D. Cardon, Problèmes politiques et sociaux, la Documentation française, no 984, mai 2011, p. 106 et s.
Auteur
Professeur, Université Toulouse 1 Capitole, IRDEIC
Le texte seul est utilisable sous licence Licence OpenEdition Books. Les autres éléments (illustrations, fichiers annexes importés) sont « Tous droits réservés », sauf mention contraire.
Qu’en est-il du code du commerce 200 ans après ?
États des lieux et projections
Corinne Saint-Alary-Houin (dir.)
2008
Qu'en est-il de la simplification du droit ?
Frédérique Rueda et Jacqueline Pousson-Petit (dir.)
2010
La réorientation européenne de la TVA à la suite du renoncement au régime définitif
Francis Querol (dir.)
2014
Regards critiques sur quelques (r)évolutions récentes du droit
Tome 1 : Bilans et Tome 2 : Réformes-Révolutions
Maryvonne Hecquard-Théron et Jacques Krynen (dir.)
2005