Comme récemment signalé par le blog ActuSecu, une proposition de loi est déposée, afin de modifier le code pénal sur le chapitre des « vols d'identité informatique ». Le texte en question est minimaliste :
« Art. 323-8 - Est puni d'une année d'emprisonnement et de 15 000 euros d'amende, le fait d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une autorité publique.
« Les peines prononcées se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l'infraction à l'occasion de laquelle l'usurpation a été commise.»

Il faut dire que le projet, ainsi le précise la note accompagnant l'article, s'est inspiré d'un maître à penser très populaire ces temps ci : GW Bush. Une lecture particulière qui donne un cadre relativement « flou et mal cadré » à un article du code pénal dont l'interprétation peut conduire à des résultats répressifs inattendus.

Le projet qui a probablement inspiré l'article 323-8 est l'amendement des Sénateurs Arlen Specter et Patrick Leahy, qui qualifient de « fraude aggravée » tout vol d'identité et « condamne à 2 ans d'emprisonnement l'usurpation d'identité numérique, peine cumulative et ne pouvant être confondue avec d'autres chefs » (on est... confondu par tant de similitudes).

Mais les textes américains font preuve d'un peu plus de détermination.
- Ils restreignent notamment l'usage du numéro de Sécurité Sociale en lieu et place des identifiants de comptes bancaires -chose inconnue en nos contrées, mais les « login » non modifiables de consultation de compte proposé par certaines banques françaises sont parfois issus des numéros de comptes... ce qui est quasiment aussi dangereux-
- Ils encadrent précisément les conditions de gestion des identités des fameux « data brokers », ces industriels de la gestion de fichier nominatif, et les contraignent à autoriser la modification des données contenues dans leurs bases par les intéressés eux-mêmes (équivalent de la loi Informatique et Liberté Française). Avec un tel texte, l'affaire CardSystems aurait eu moins de chances de survenir.
- Ils condamnent les entreprises qui auraient tenté de cacher un vol d'information à leurs clients (à ce jour, en France, aucune entreprise financière ne s'est officiellement fait pirater, et les transactions sont inviolables, si l'on en croit les études publiées par la Documentation Française)

Des textes qui sont encore renforcés par la publication du tout récent Identity Protection Act , présenté au Sénat US ce 14 juillet 2005 par Gordon Smith. Un projet qui précise notamment, sous le chapitre « protection des données personnelles sensibles », que toute entreprise qui ne se soumettrait pas à ce devoir de transparence pourrait être poursuivie pour unfair or deceptive act or practice, et condamnée à des amendes pouvant friser les 11 millions de dollars. A partir d'un certain montant, même un banquier devient un homme avec un coeur.

Dans les deux cas, les lois Specter et Smith sont issus de travaux bipartites -républicains et démocrates- et semblent parfois « pensées dans l'urgence » pour prouver que les hommes politiques ne demeurent pas insensibles aux séries de catastrophes bancaires révélées depuis le début de cette année. L'équipe de CSO France se demandait récemment si précisément cette situation ne déboucherait pas sur un « Sarb-Ox » des contrats d'externalisation. Il semblerait que l'on en prenne le chemin à pas redoublé. De l'autre coté de l'Atlantique pour l'instant.

. Web-profils.com, la place de marché du conseil et de l'ingénierie