En France, la loi sur le phishing n'existe plus

Le 4 juillet 2005, le sénateur Michael Dreyfus-Schmidt avait soumis au Sénat une proposition de loi pour pénaliser les auteurs de phishing, cette pratique visant à attirer l'internaute vers un site frauduleux. Cependant, M.Dreyfus Schmidt s'est éteint le 7 septembre dernier et, selon le règlement de la Haute assemblée, ce texte ne peut être approuvé et devient donc obsolète.  En classant le texte sous l'appellation « usurpation d'identité numérique », M. Dreyfus-Schmidt souhaitait mettre à jour le code pénal en y ajoutant l'article 323-8:

« Est puni d'une année d'emprisonnement et de 15 000 euros d'amende, le fait d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une autorité publique. Les peines prononcées se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l'infraction à l'occasion de laquelle l'usurpation a été commise. ».

Michael Dreyfus-Schmidt avait déclaré à Zdnet qu' : « il y a deux possibilités pour s'attaquer à ces phénomènes : soit l'on s'attache à certifier l'identité de quelqu'un avec une mesure technique, comme la biométrie, soit on utilise le droit » avant d'ajoute que la première « apporte une réponse de principe qui ne rentre pas dans un débat technologique complexe »

En 2007, l'APWG (Anti-Phishing Working group) avait classé la France au 5e rang mondial sur la liste des pays hébergeant des sites de phishing avec un taux de 2,7%. Dans les autres pays jugés potentiellement dangereux, les règlements sont déjà en vigueur. Ainsi, il est estimé que 28% des faux sites résident sur le sol américain. Le 9 juillet 2004, le pays a donc adopté le Anti-Phishing Act ainsi qu'un renforcement des peines quelques jours plus tard avec le « Identity Theft Penalty Enhancement Act ». En juin 2005, la Grande-Bretagne à voté le Fraud Bill avec une peine de dix ans de prison pour tout escroc ayant tenté une usurpation d'identité numérique.

Dans l'Hexagone, le code pénal prévoit de sanctionner l'usurpation de fonction. Par ailleurs, tout escroc tentant de prendre le nom d'une personne tierce à des fins frauduleuses est passible d'une peine de 5 ans d'emprisonnement et de 75 000 euros d'amende. L'objectif de M.Dreyfus-Schmidt était non seulement de simplifier la procédure, mais aussi de recentrer le texte sur l'usurpation d'identité numérique sur les réseaux informatiques c'est-à-dire en déterminant des critères d'identité pour les internernautes tels que les adresses e-mail ou les pseudonymes.

Si l'usurpation d'identité est lourdement sanctionnée, selon le site e-juristes.org, le phishing est caractérisé par plusieurs actes frauduleux et son auteur peut aussi être jugé pour spamming, escroquerie, abus de confiance, accès frauduleux à un système de traitement automatisé de données, collecte frauduleuse de données nominatives ou encore contrefaçon de marque.