Cybercriminalité particulier Article 226-4-1 Code pénal 1 an prison · 15 000 € Mis à jour · Avril 2026

Usurpation d'identité

Aussi appelée : vol d'identité · identity theft · impersonation
Réponse rapide

Fait d’utiliser frauduleusement l’identité d’une autre personne (nom, prénom, date de naissance, numéro de sécurité sociale, adresse, pièce d’identité) pour commettre des actes en se faisant passer pour elle.

En une phrase — L'usurpation d'identité consiste à utiliser frauduleusement l'identité d'une autre personne pour commettre des actes en son nom. Une des cybermalveillances les plus fréquentes touchant les particuliers. Punie par l'article 226-4-1 du Code pénal : jusqu'à 1 an de prison et 15 000 €.
Cadre légal France
Article 226-4-1 du Code pénal (depuis 2011)
Peine maximale
1 an d'emprisonnement et 15 000 € d'amende
Circonstances aggravantes
Peines aggravées si commises via Internet
Signalements
Des dizaines de milliers par an via Cybermalveillance.gouv.fr
Délai pour contester une opération bancaire
13 mois après la transaction
Source principale des données
Fuites massives, phishing, vol physique

01 — DéfinitionQu'est-ce que l'usurpation d'identité ?

L'usurpation d'identité consiste à utiliser frauduleusement l'identité d'une autre personne pour se faire passer pour elle et commettre des actes en son nom. Les données utilisées peuvent inclure :

  • Nom, prénom, date et lieu de naissance.
  • Adresse, téléphone, email.
  • Numéro de sécurité sociale.
  • Numéros fiscaux.
  • Pièce d'identité (carte, passeport, permis).
  • Données bancaires (IBAN, RIB).
  • Éléments biométriques (photo, signature).
  • Identifiants de connexion.

Cadre légal en France

L'usurpation d'identité est un délit spécifique depuis la loi LOPPSI 2 du 14 mars 2011, codifié à l'article 226-4-1 du Code pénal :

« Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende. »

L'article précise que l'infraction est caractérisée même si elle est commise via un réseau de communication au public en ligne : Internet, réseaux sociaux, messagerie.

Autres infractions connexes

L'usurpation peut se cumuler avec d'autres infractions :

  • Escroquerie (article 313-1) : 5 ans et 375 000 €.
  • Faux et usage de faux (articles 441-1 et suivants) : 3 ans et 45 000 €.
  • Atteinte à un système de traitement automatisé de données (article 323-1) : pour les aspects techniques.
  • Collecte frauduleuse de données personnelles (article 226-18).
  • Diffamation si l'usurpation vise à nuire à la réputation.

Sources des données usurpées

  • Fuites massives : combolists du dark web contenant des millions de données (LinkedIn 2012/2016, Yahoo 2013, Adobe 2013, Marriott 2018, MGM 2019, Optus 2022, T-Mobile 2023, et bien d'autres).
  • Phishing : la victime fournit elle-même ses données sur un faux site.
  • Vol physique : portefeuille, pièce d'identité volée.
  • Perte d'appareil : téléphone, ordinateur contenant documents.
  • Malwares : infostealers qui exfiltrent mots de passe, documents.
  • Réseaux sociaux : profils publics riches en informations (OSINT).
  • Compromission d'administrations ou services : incidents majeurs touchant CAF, Pôle Emploi, organismes publics.
  • Fouille poubelles : dumpster diving — documents non déchiquetés.

Ampleur du phénomène

  • Dizaines de milliers de signalements par an via Cybermalveillance.gouv.fr.
  • Une des infractions cyber les plus fréquentes touchant les particuliers.
  • Nombre exact difficile à mesurer (beaucoup de victimes ne portent pas plainte par honte ou méconnaissance).
  • Secteurs touchés : tous, mais particulièrement les retraités (plus vulnérables aux arnaques), les personnes médiatisées, et les victimes de fuites massives récentes.
L'usurpation d'identité est devenue, à l'ère des fuites massives de données, une menace de masse. Là où le vol d'identité nécessitait autrefois un vol physique, il suffit aujourd'hui que vos données aient fuité d'un service piraté pour que votre identité soit potentiellement exploitable. La prévention se joue autant en amont (limiter l'exposition) qu'en aval (détection rapide, réaction).

02 — TypesLes formes courantes d'usurpation

Usurpation financière

  • Souscription de crédit frauduleux : crédit à la consommation, revolving, microcrédits en ligne. La victime découvre l'incident avec les mises en demeure.
  • Ouverture de compte bancaire : dans banques en ligne qui n'ont pas de contrôle physique strict.
  • Virements et paiements non autorisés : utilisation de coordonnées bancaires récupérées.
  • Achat en ligne avec les coordonnées bancaires de la victime (numéro carte, e-cartes).
  • Location de voiture, d'équipements : qui ne sont jamais rendus.

Usurpation locative

  • Location d'appartement en utilisant les documents d'une autre personne.
  • Bail souscrit au nom de la victime qui reçoit ensuite les impayés et incidents.
  • Cas fréquent : sous-locations non autorisées.

Usurpation administrative et fiscale

  • Fausses déclarations d'impôts : remboursement demandé sur un compte attaquant. Cas croissant en France.
  • Fraude CAF : allocations demandées au nom de la victime.
  • Fraude Pôle Emploi / France Travail : inscription ou paiements frauduleux.
  • Fraude Sécurité sociale : remboursements, arrêts maladie.
  • Infractions au code de la route commises au nom de la victime (fausse plaque + identité).

Usurpation sur réseaux sociaux

  • Faux profils : création d'un profil au nom et photo de la victime.
  • Prise de contrôle d'un compte existant après vol de mot de passe.
  • Utilisé pour : arnaquer les contacts (fausses demandes d'argent), harceler, ternir la réputation, publier contenus compromettants.
  • Variante : arnaque sentimentale où le profil usurpé sert à séduire et escroquer des victimes.

Usurpation professionnelle et B2B

  • Fraude au président : usurpation du PDG pour ordonner virements urgents.
  • Fraude au fournisseur : usurpation d'un fournisseur réel pour détourner les paiements.
  • Piratage messagerie professionnelle : compte email compromis utilisé pour tromper les clients.
  • Voir notre fiche BEC.

Usurpation pour échapper à la justice

  • Fausse identité lors de contrôles (papiers d'identité volés ou falsifiés).
  • La victime se retrouve avec un casier judiciaire ou des amendes pour des faits non commis.
  • Nécessite une procédure de régularisation lourde.

Harcèlement et atteinte à la réputation

  • Création de comptes au nom de la victime pour publier contenus compromettants.
  • Diffusion de rumeurs ou propos diffamatoires.
  • Inscription à des services compromettants (sites de rencontre, forums extrémistes).
  • Cyberharcèlement ciblé, notamment sur le lieu de travail ou dans l'entourage.

Arnaques aux proches

  • WhatsApp « nouvelle numéro » : message prétendument d'un enfant ayant changé de téléphone, demandant de l'argent urgemment.
  • Fausse détresse familiale : piratage d'un compte pour demander aide financière aux contacts.
  • Particulièrement efficace sur personnes âgées moins techniques.

Usurpation et IA / deepfake

  • Deepfake audio (voice cloning) pour passer des appels frauduleux en imitant une voix connue.
  • Deepfake vidéo pour créer des visioconférences trompeuses (Arup incident 2024 : 25 M$ perdus via deepfake en visio).
  • Images IA pour créer de faux profils réalistes.
  • Menace émergente majeure 2024-2026.

03 — SignauxReconnaître une usurpation en cours

Courriers inattendus

  • Relances de crédits non souscrits.
  • Mises en demeure d'organismes inconnus.
  • Accusés de réception d'achats non passés.
  • Avis de passage pour colis non commandés.
  • Avis d'impôts ou de CAF concernant des démarches non faites.
  • Amendes pour infractions routières non commises.

Activité bancaire

  • Transactions non reconnues sur relevés.
  • SMS de confirmation d'achats inconnus.
  • Refus inattendus de paiement (carte bloquée alors que solde suffisant).
  • Relances de crédits dont on ignore l'existence.
  • Inscription surprise au FICP (fichier des incidents de crédit) ou FCC (chèques).
  • Découvert inexpliqué.

Justice et administration

  • Convocations police ou justice pour des faits non commis.
  • Amendes diverses sans lien avec votre activité.
  • Problème de domiciliation fiscale (votre adresse déclarée ailleurs).
  • Changements d'adresse inconnus chez des organismes.

Réseaux sociaux et présence en ligne

  • Faux profils à votre nom et photo sur Facebook, LinkedIn, Instagram, X.
  • Messages envoyés sans que vous en soyez l'auteur.
  • Proches qui demandent à confirmer une demande d'argent que vous n'avez pas envoyée.
  • Apparition dans des groupes ou forums que vous n'avez pas rejoints.
  • Présence sur sites de rencontre ou services compromettants.

Comptes en ligne

  • Emails de changement de mot de passe que vous n'avez pas initié.
  • Notifications de connexion depuis IPs, appareils ou localisations inhabituelles.
  • Tentatives de connexion échouées remontées par les services (Gmail, Microsoft).
  • Confirmations de création de nouveaux comptes à votre nom.
  • Emails de confirmation d'abonnements inconnus.

Refus inattendus

  • Location d'appartement refusée alors que votre dossier aurait dû passer.
  • Crédit refusé par votre banque alors que votre situation n'a pas changé.
  • Mutuelle qui demande confirmation d'informations.
  • Fichier réputation dégradé chez certains organismes.

Que faire en cas de doute

Toujours contacter directement l'organisme via ses canaux officiels (pas les numéros des courriers suspects). Exemples :

  • Impôts : se connecter à impots.gouv.fr via FranceConnect.
  • Banque : application officielle ou numéro dos de carte.
  • CAF : caf.fr directement.
  • Pôle Emploi / France Travail : pole-emploi.fr.

Ne jamais répondre ni cliquer sur les courriers suspects eux-mêmes (phishing possible pour collecter encore plus de données).

04 — Que faireProcédure d'urgence

1. Rassembler les preuves
  • Captures d'écran des profils, messages, transactions.
  • Copies des courriers, mises en demeure, accusés.
  • Emails avec headers complets.
  • Relevés bancaires concernés.
  • Témoignages des proches contactés frauduleusement.
  • Tout document qui prouve l'usurpation.
  • Préserver les originaux, faire des copies de travail.
2. Déposer plainte
  • Démarche obligatoire pour toute suite (assurance, démarches administratives, régularisation).
  • Pré-plainte en ligne : service-public.fr → pré-plainte en ligne. Puis rendez-vous au commissariat.
  • Commissariat ou gendarmerie : directement.
  • Récépissé à demander et conserver (preuve de dépôt pour les autres démarches).
  • Possibilité aussi : plainte avec constitution de partie civile directement auprès du procureur si refus de police.
  • Apporter toutes les preuves rassemblées.
3. Contacter la banque
  • Opposition immédiate sur les comptes, cartes, chéquiers concernés.
  • Contestation des transactions frauduleuses : délai légal 13 mois pour contester selon le Code monétaire et financier (article L.133-24).
  • La banque doit rembourser rapidement en cas d'opération non autorisée (sauf négligence grave prouvée du client).
  • Demander un relevé détaillé de toutes les opérations de la période concernée.
  • Mettre en place des alertes SMS sur toutes opérations.
4. Contacter les organismes concernés

Selon le type d'usurpation :

  • Impôts : DGFiP via impots.gouv.fr. Service dédié « usurpation d'identité ».
  • CAF : caf.fr section signalement.
  • Pôle Emploi / France Travail : pole-emploi.fr.
  • Sécurité sociale : ameli.fr.
  • URSSAF si fausse activité professionnelle.
  • Préfecture si pièce d'identité volée/perdue.
5. Inscriptions préventives
  • FCC (Fichier Central des Chèques) : demander inscription si usurpation chèques.
  • FICP (Fichier des Incidents de Crédit) : inscription préventive possible.
  • Blocage Banque de France : service payant mais efficace pour bloquer les demandes de crédit frauduleuses à votre nom.
  • Opposition sur pièce d'identité : déclaration en préfecture si perte/vol.
6. Surveillance de l'identité numérique
  • Rechercher son nom sur Google, X, Facebook, LinkedIn, Instagram.
  • Créer des alertes Google sur son nom complet.
  • Demander suppression des faux profils aux plateformes (procédures dédiées).
  • Vérifier sa présence sur haveibeenpwned.com.
  • Certains services payants de surveillance : BLIK, Experian, services d'assureurs.
7. Contacter Cybermalveillance
  • cybermalveillance.gouv.fr : diagnostic et fiches réflexes usurpation d'identité.
  • Mise en relation avec prestataires si besoin d'accompagnement juridique ou technique.
  • Service gratuit.
8. Informer les proches
  • Prévenir famille et contacts si risque qu'ils reçoivent des sollicitations frauduleuses (fausses demandes d'argent, messages).
  • Particulièrement important pour les proches moins techniques.
  • Annoncer publiquement sur réseaux sociaux si compte piraté.
9. Renforcer sa sécurité numérique
  • Changer TOUS les mots de passe des comptes importants.
  • Activer le MFA partout où c'est possible.
  • Vérifier et nettoyer les appareils (antivirus, suppression malwares).
  • Revoir les paramètres de confidentialité des réseaux sociaux.
  • Adopter un gestionnaire de mots de passe si pas déjà fait.
10. Suivi long terme
  • Conserver tous les documents de la procédure.
  • Surveiller régulièrement sa situation (6-24 mois).
  • Les fraudeurs peuvent réutiliser les données plus tard.
  • En cas de crédit frauduleux souscrit, suivi juridique complet jusqu'à régularisation.

05 — RecoursAspects juridiques

Sanctions pénales

  • Article 226-4-1 Code pénal : 1 an d'emprisonnement et 15 000 € d'amende.
  • Escroquerie (article 313-1) : 5 ans et 375 000 € si préjudice financier.
  • Faux et usage de faux (article 441-1) : 3 ans et 45 000 €.
  • Collecte frauduleuse de données (article 226-18) : 5 ans et 300 000 €.
  • Atteinte système d'information (323-1 à 323-7) : jusqu'à 5 ans.
  • Peines aggravées si plusieurs infractions cumulées.

Indemnisation

  • Constitution de partie civile : demander des dommages-intérêts dans le cadre de la procédure pénale.
  • Préjudices indemnisables : moral, matériel (frais juridiques, démarches), financier (sommes détournées), préjudice d'image.
  • Difficulté : si l'auteur n'est pas identifié ou insolvable, indemnisation rare.
  • CIVI (Commission d'Indemnisation des Victimes d'Infractions) : possible dans certains cas.
  • Assurance cyber personnelle : certaines assurances habitation incluent garantie usurpation, à vérifier dans son contrat.

Défense contre créances frauduleuses

Si un crédit a été souscrit à votre nom :

  • Ne payez pas — contestez formellement par LR/AR auprès de l'organisme créancier.
  • Fournir le dépôt de plainte comme preuve.
  • L'organisme doit prouver que vous êtes bien le signataire (authenticité de la signature, correspondance d'adresse, etc.).
  • Contester devant le tribunal si nécessaire.
  • Avocat recommandé pour dossiers complexes.
  • Associations d'aide aux victimes : France Victimes, UFC-Que Choisir peuvent accompagner.

Procédure auprès des réseaux sociaux

  • Chaque plateforme a une procédure dédiée pour signaler un faux profil.
  • Facebook / Instagram : formulaire « Signaler un compte qui m'usurpe ».
  • X (Twitter) : formulaire dédié usurpation d'identité.
  • LinkedIn : support avec preuve d'identité.
  • TikTok, Snapchat : procédures similaires.
  • Fournir pièce d'identité à la plateforme pour prouver qui vous êtes réellement.
  • Délais de traitement : quelques jours à plusieurs semaines.
  • Si sans suite : saisir la CNIL (pour aspects données personnelles) ou Pharos (signalements contenus illicites).

Pharos — plateforme de signalement

  • Plateforme officielle du gouvernement français : internet-signalement.gouv.fr.
  • Signalement de contenus illicites en ligne.
  • Traite notamment : usurpation d'identité publique, faux profils à but malveillant, contenus illicites associés.
  • Articulation avec police et justice.

Durée de régularisation

  • Transactions bancaires contestées : généralement 30-60 jours pour résolution.
  • Crédits frauduleux : plusieurs mois à 1-2 ans selon complexité.
  • Fichiers administratifs : 3-12 mois.
  • Faux profils réseaux sociaux : quelques jours si bien signalé, plus long si la plateforme résiste.
  • Impacts fiscaux : peuvent traîner sur plusieurs exercices.

06 — ProtectionPrévention en amont

1. Limiter l'exposition de ses données
  • Réseaux sociaux : profils en privé, ne pas exposer date de naissance, adresse, lieu travail.
  • Paramètres de confidentialité maximum sur Facebook, Instagram, LinkedIn.
  • Ne pas répondre aux questionnaires viraux qui collectent des données identifiantes.
  • Limiter les photos personnelles en HD accessibles publiquement.
  • Attention aux CV en ligne — supprimer date de naissance complète.
2. Hygiène numérique
  • MFA sur tous les comptes critiques.
  • Mots de passe uniques et forts via gestionnaire.
  • Vigilance phishing permanente.
  • Navigateurs à jour, antivirus actif.
  • WiFi domestique sécurisé.
  • VPN sur WiFi publics.
3. Vérifications régulières
  • Relevé bancaire : vérification mensuelle.
  • Espace impôts.gouv.fr : consulter au moins une fois par an.
  • CAF, Pôle Emploi, ameli.fr : connexion régulière.
  • Recherche Google de son propre nom tous les 3-6 mois.
  • Alertes Google sur son nom (création gratuite).
  • haveibeenpwned.com pour les fuites d'emails.
4. FranceConnect et identités numériques
  • Utiliser FranceConnect plutôt que créer des comptes séparés pour chaque service public.
  • Limite la prolifération des comptes et renforce la sécurité.
  • FranceConnect+ avec niveau d'assurance élevé (Identité Numérique La Poste) pour démarches sensibles.
  • Carte d'identité électronique (CNIe) avec puce : nouveau format depuis 2021, plus sécurisée.
5. Protection des documents d'identité
  • Ne pas photocopier sa carte d'identité sans nécessité.
  • Le recto seul suffit souvent (pas le verso avec numéro complet, MRZ).
  • En cas de perte : déclaration rapide en préfecture pour invalidation.
  • Ne jamais envoyer une pièce d'identité par email non chiffré.
  • Déchiquetage des documents papier avant mise à la poubelle.
6. Photos tatouées (watermarking)

Lorsque vous devez fournir un scan de pièce d'identité (location, ouverture de compte, contrat) :

  • Ajouter une mention manuscrite visible : « À l'usage exclusif de [organisme] pour [motif] le [date] ».
  • Réduit la valeur du document en cas de fuite ultérieure.
  • Ne pas couvrir les informations essentielles (nom, numéro, signature).
  • Pratique recommandée par Cybermalveillance.
7. Assurance cyber personnelle
  • Certains assureurs (MAIF, Allianz, Axa, Matmut) proposent des garanties usurpation d'identité.
  • Couverture typique : frais juridiques, assistance démarches, parfois indemnisation.
  • Vérifier si déjà inclus dans son assurance habitation ou multirisque.
  • Coût additionnel généralement modeste (10-30€/an).
8. Sensibilisation de l'entourage
  • Parents âgés : prévenir sur les arnaques téléphoniques (faux conseiller bancaire, faux petits-enfants).
  • Enfants : sensibilisation cyber adaptée à l'âge.
  • Code de sécurité familial pour valider les demandes d'argent (mot secret qu'un usurpateur ne connaîtrait pas).
  • Privilégier les appels directs pour confirmer demandes inhabituelles.

07 — FAQQuestions fréquentes

Comment savoir si mon identité a été usurpée ?

Signaux fréquents : courriers inattendus (relances de crédit, mises en demeure d'organismes inconnus), transactions bancaires non reconnues, notifications de connexion sur vos comptes depuis des IPs inhabituelles, emails de création de comptes que vous n'avez pas faits, avis d'impôts étranges, proches qui vous demandent confirmation d'une demande d'argent que vous n'avez pas envoyée. Vérifications proactives recommandées : connexion régulière à vos espaces impôts.gouv.fr, ameli.fr, caf.fr, pôle emploi, banque. Recherche Google de votre nom. Vérification sur haveibeenpwned.com. Au moindre doute sur un courrier ou email, contacter directement l'organisme par ses canaux officiels (jamais les numéros des courriers suspects).

Combien de temps dure la régularisation ?

Variable selon la complexité. Transactions bancaires non autorisées : généralement 30-60 jours pour résolution après contestation formelle. La banque rembourse généralement rapidement sauf négligence grave prouvée. Crédit frauduleux souscrit en votre nom : plusieurs mois à 1-2 ans. Nécessite procédure avec avocat si l'organisme créancier résiste. Fichiers administratifs (FICP, impôts) : 3-12 mois pour régularisation complète. Faux profils réseaux sociaux : quelques jours à quelques semaines avec bon signalement. Impacts fiscaux : peuvent se propager sur plusieurs exercices si non détectés. Le dépôt de plainte rapide et le suivi rigoureux réduisent significativement les délais.

Puis-je récupérer l'argent perdu ?

Dépend du contexte. Transactions bancaires non autorisées : la banque doit rembourser sauf preuve de négligence grave du client (divulgation volontaire du code PIN par exemple). Délai de contestation légal de 13 mois. Crédit souscrit frauduleusement : si usurpation prouvée, vous n'avez pas à rembourser — c'est l'organisme créancier qui subit la perte. Mais peut nécessiter procédure judiciaire. Achats en ligne avec CB volée : contestation auprès de la banque, remboursement habituel. Détournement par messagerie piratée (faux proche) : argent envoyé volontairement à un compte frauduleux — récupération rare. Les assurances (habitation, cyber-spécifique) peuvent couvrir. La constitution de partie civile lors du procès permet de demander des dommages-intérêts, mais l'indemnisation effective dépend de l'identification et solvabilité de l'auteur.

Mon assurance habitation couvre-t-elle l'usurpation d'identité ?

Vérifier son contrat — c'est variable. De plus en plus d'assurances habitation et multirisques incluent désormais une garantie usurpation d'identité, en standard ou en option. Couverture typique : frais juridiques et avocat, frais de démarches (courriers, déplacements), parfois indemnisation directe plafonnée, assistance téléphonique d'accompagnement, parfois surveillance de l'identité numérique. MAIF, MACIF, Matmut, Allianz, AXA, Crédit Mutuel proposent des options ou garanties incluses. Coût additionnel : généralement 10-30€/an. Lire les exclusions avec attention (plafonds, types d'usurpation couverts, délai de carence). En cas d'incident : déclaration rapide à l'assureur (délais contractuels typiquement 5 jours).

Faut-il porter plainte même pour un petit montant ?

Oui, toujours. Raisons : la plainte est obligatoire pour la plupart des démarches (contestation bancaire au-delà d'un seuil, assurance, régularisation fichiers administratifs). Le récépissé est la preuve officielle que vous avez signalé la fraude, utile pour tous les organismes. Même pour de « petits » montants, la plainte alimente les statistiques qui permettent aux enquêteurs de détecter des campagnes coordonnées et potentiellement remonter aux auteurs. Ne pas porter plainte signifie laisser les fraudeurs agir sans traces. Procédure simple : pré-plainte en ligne puis commissariat/gendarmerie, quelques heures. Gratuit. Certains commissariats ont des personnels formés cyber, ne pas hésiter à demander.

Comment protéger mes enfants contre l'usurpation ?

Les enfants mineurs peuvent aussi être victimes. Leur numéro de sécurité sociale peut être utilisé frauduleusement, leur nom pour créer des comptes. Précautions spécifiques : ne pas publier de photos d'enfants avec des éléments identifiants (école, classe, nom complet, date de naissance exacte). Activer les paramètres de confidentialité enfants sur les plateformes (YouTube Kids, etc.). Contrôle parental. Sensibiliser sur le partage d'informations en ligne. Éviter le partage de documents officiels les concernant via messageries non sécurisées. Surveiller les comptes créés à leur nom. Vérifier périodiquement qu'ils ne sont pas dans des bases de données compromises (haveibeenpwned pour leur email). Adolescents : discussion régulière sur hygiène numérique (mots de passe, MFA, phishing).