- Sanction : 1 an de prison + 15 000 € d'amende (art. 226-4-1 Code pénal), jusqu'à 5 ans + 300 000 € si collecte frauduleuse de données
- Action immédiate : signaler le faux compte + changer tous les mots de passe + déposer plainte via THESEE ou au commissariat
- Numéro d'urgence : 3018 (Cybermalveillance, 7j/7 9h-23h) ou 116 006 (France Victimes)
- Déréférencement : délai de 1 à 3 mois pour Google/Bing, article 17 RGPD
Introduction
L'usurpation d'identité en ligne est punie par l'article 226-4-1 du Code pénal : 1 an d'emprisonnement et 15 000 € d'amende. Depuis la loi n°2024-449 du 21 mai 2024, l'auteur peut aussi être banni de la plateforme pendant 6 mois (1 an en récidive). En 2026, les démarches passent par la plateforme 17Cyber (3018), le dépôt de plainte au commissariat ou via THESEE, et le droit au déréférencement Google (article 17 du RGPD). cybermalveillance.gouv.fr/17cyber.
Qu'est-ce que l'usurpation d'identité en ligne : définition et sanctions 2026
L'usurpation d'identité en ligne consiste à utiliser l'identité d'une autre personne (nom, photo, coordonnées, comptes) sur internet sans son accord. Le Code pénal distingue plusieurs infractions :
- Article 226-4-1 : usurpation d'identité par voie électronique — 1 an de prison + 15 000 € d'amende (5 ans + 75 000 € en récidive)
- Article 323-1 : accès frauduleux à un système de traitement automatisé de données (STAD) — 3 ans + 100 000 € (5 ans + 150 000 € si altération de données)
- Article 226-18 : collecte frauduleuse de données personnelles — 5 ans + 300 000 €
- Article 226-15 : atteinte au secret des correspondances — 1 an + 45 000 €
- Articles 226-16 à 226-24 : traitement illicite de données personnelles — 5 ans + 300 000 € (peines doublées si identification de la personne possible)
La loi n° 2022-471 du 30 mars 2022 a créé le délit spécifique d'usurpation d'identité en ligne (art. 226-4-1). La loi n°2024-449 du 21 mai 2024, article 16 ajoute la peine de bannissement de plateforme : l'auteur condamné peut être interdit de présence sur la plateforme concernée pendant 6 mois maximum (1 an en cas de récidive). Les fournisseurs d'accès doivent bloquer les comptes de l'auteur et empêcher la création de nouveaux comptes.
Les 5 démarches immédiates en cas d'usurpation d'identité
Dès la découverte de l'usurpation, agissez dans cet ordre précis :
- Conserver les preuves : faire des captures d'écran horodatées du faux compte avec l'URL visible, la date et les publications frauduleuses. Ne supprimez rien avant d'avoir documenté.
- Signaler le faux compte sur la plateforme concernée (Facebook, Instagram, LinkedIn) via le bouton « Signaler » puis « Usurpation d'identité ». Puis changer tous vos mots de passe sur les comptes compromis ET sur les sites où vous utilisiez le même mot de passe. Activer la 2FA sur chaque compte.
- Contester les opérations frauduleuses auprès de votre banque dans les 13 mois suivant l'opération (art. L133-24 du Code monétaire et financier). Faire opposition immédiatement si des coordonnées bancaires étaient enregistrées.
- Déposer plainte : au commissariat/gendarmerie ou via THESEE (seulement pour piratage avec chantage ou escroquerie). Attention : un signalement THESEE n'est pas une plainte — il informe les services d'enquête mais vous ne serez pas tenu informé des suites. Pour être partie civile, déposez plainte au commissariat.
- Demander le déréférencement sur Google, Bing et Qwant via leurs formulaires de droit à l'oubli (article 17 du RGPD). Voir la section dédiée ci-dessous.
Comment signaler : numéros et plateformes officiels
Trois numéros gratuits sont à votre disposition en 2026 :
- 3018 (17Cyber / Cybermalveillance) : 7j/7, 9h-23h — pour être orienté vers un policier ou gendarme spécialisé. Aussi accessible sur cybermalveillance.gouv.fr/17cyber et via Messenger/WhatsApp.
- 116 006 (France Victimes) : 7j/7, 9h-19h — accompagnement psychologique et juridique gratuit.
- 0 805 805 817 (Info Escroqueries) : lun-ven, 9h-18h30 — conseils contre les fraudes, numéro vert gratuit.
Pour les professionnels : vous devez notifier la CNIL dans les 72h après la découverte d'une violation de données personnelles, via notifications.cnil.fr. Le non-respect de ce délai est sanctionné d'une amende administrative pouvant atteindre 20 million euros ou 4% du CA annuel mondial.
Déposer plainte : les 3 voies possibles
Voie 1 — Plainte en ligne THESEE : accessible sur service-public.gouv.fr. Réservée au piratage de messagerie ou de réseau social accompagné de chantage ou d'escroquerie des contacts. Les mineurs ne peuvent pas utiliser cette voie. Traitement par la brigade nationale de lutte contre la cybercriminalité (BNLC). Important : un signalement THESEE n'est pas une plainte — il informe les services d'enquête mais l'auteur du signalement ne sera pas tenu informé des suites données.
Voie 2 — Plainte au commissariat : se rendre au commissariat ou à la gendarmerie le plus proche (trouver l'adresse sur masecurite.interieur.gouv.fr). La police est obligée d'enregistrer votre plainte. Apporter : pièce d'identité, captures d'écran imprimées, URL des faux comptes, relevés bancaires si fraude financière. Le récépissé de plainte est indispensable pour vos contestations bancaires et la demande de déréférencement.
Voie 3 — Plainte écrite au procureur : envoyer un courrier recommandé avec AR au tribunal judiciaire du lieu de l'infraction ou du domicile de l'auteur présumé. Pas de formulaire Cerfa spécifique — courrier libre avec les faits, dates, preuves.
Délai pour déposer plainte : 6 ans à compter des faits (prescription de l'action publique pour les délits). Si l'identité de l'auteur est inconnue, la plainte peut être déposée contre X.
Droit au déréférencement : supprimer vos données de Google et des moteurs de recherche
L'article 17 du RGPD donne le droit de demander la suppression de résultats de recherche associés à votre nom. La procédure :
- Accéder au formulaire de déréférencement Google (ou les formulaires équivalents sur Bing et Qwant — liens sur cnil.fr)
- Fournir l'URL exacte de chaque résultat à supprimer (clic droit sur le lien puis copier l'adresse du lien)
- Motiver la demande (données obsolètes, préjudice, vie privée)
- Le moteur a 1 mois pour répondre (3 mois si la demande est complexe)
En cas de refus ou silence, déposer une plainte auprès de la CNIL via cnil.fr/plainte. La CNIL propose aussi une extension navigateur (Firefox et Chrome) pour vérifier qu'un lien a bien été déréférencé.
Attention : le déréférencement ne supprime pas le contenu à la source — il empêche seulement que le résultat apparaisse quand on recherche votre nom. Pour supprimer le contenu, contactez directement le responsable du site web.
Outils numériques pour vérifier et protéger votre identité en ligne
Utilisez ces commandes et outils pour détecter et documenter une usurpation d'identité :
# Vérifier si votre adresse email a été compromise dans une fuite de données
curl -s "https://haveibeenpwned.com/api/v3/breachedaccount/votre@email.com" -H "hibp-api-key: VOTRE_CLE_API" | jq '.[].Name' # Vérifier si un mot de passe a été exposé (sans l'envoyer en clair)
# Le hash SHA-1 est tronqué pour ne révéler que les 5 premiers caractères (k-anonymity)
echo -n "votre_mot_de_passe" | sha1sum | cut -c1-5
# Puis vérifier sur https://api.pwnedpasswords.com/range/$(echo -n "votre_mot_de_passe" | sha1sum | cut -c1-5) # Capturer horodater les preuves d'usurpation avec le timestamp
wget --mirror --convert-links --adjust-extension --page-requisites --no-parent --timestamping --directory-prefix=preuves_usurpation "https://www.facebook.com/faux.profil.cible" # Générer des mots de passe robustes avec openssl
openssl rand -base64 16 # Vérifier les permissions d'accès Google (révoquer les accès suspects)
# Ouvrir : https://myaccount.google.com/permissions
# Et vérifier les connexions actives : https://myaccount.google.com/device-activityExtensions navigateur recommandées : uBlock Origin bloque les trackers et scripts malveillants, Privacy Badger (EFF) empêche le pistage tiers, et pass (gestionnaire de mots de passe en ligne de commande) permet de générer et stocker des mots de passe uniques chiffrés avec GPG.
Fin du compte YRIS et identité numérique en 2026
Le compte YRIS (identité numérique certifiée) ferme le 1er juillet 2026. Si vous utilisiez YRIS pour vos démarches en ligne, créez une autre identité numérique compatible sur franceconnect.gouv.fr. En cas d'usurpation via votre compte YRIS avant sa fermeture, signalez-la via la rubrique « Sécurité et confidentialité » de aide.franceconnect.gouv.fr. Vérifiez que personne n'a accédé à vos démarches administratives à votre insu en consultant votre historique FranceConnect.
Cas particuliers : comptes bancaires, impôts et cartes d'identité
Usurpation bancaire : appelez immédiatement le numéro d'opposition de votre banque (au dos de votre carte). Contestez par écrit dans les 13 mois (art. L133-24 du Code monétaire). Déposez plainte et signalez sur service-public.gouv.fr.
Usurpation fiscale : contactez votre centre des impôts et signalez sur impots.gouv.fr espace personnel. Vérifiez votre déclaration de revenus et vos avis d'imposition.
Vol de carte d'identité ou passeport : déposez plainte, puis déclarez la perte sur service-public.gouv.fr. La carte volée est invalidée automatiquement.
Usurpation sur les réseaux sociaux : chaque plateforme a un formulaire dédié — Facebook/Instagram, Twitter/X, LinkedIn, Snapchat, TikTok (liens complets sur cybermalveillance.gouv.fr).
Erreurs fréquentes et comment les éviter
Erreur 1 : supprimer le faux compte avant d'avoir pris des captures d'écran. Conséquence : impossible de prouver l'usurpation pour la plainte. Correctif : systématiquement faire des captures d'écran horodatées (avec l'URL visible) avant tout signalement.
Erreur 2 : se contenter d'un signalement THESEE sans porter plainte au pénal. Conséquence : le faux compte est supprimé mais l'usurpateur reste impuni et peut recréer un compte. THESEE n'est pas une plainte — il informe les services d'enquête mais vous ne serez pas tenu informé des suites. Correctif : toujours déposer plainte au commissariat en plus du signalement THESEE.
Erreur 3 : utiliser le même mot de passe partout. Conséquence : un seul piratage compromet tous vos comptes en quelques minutes via des outils automatisés. Correctif : utiliser un gestionnaire de mots de passe (Bitwarden gratuit ou 1Password) et activer la 2FA sur chaque compte sensible (banque, email, impôts).
Étapes à suivre5
Étape 1 — Sécuriser immédiatement vos comptes
Dès la découverte d'une usurpation d'identité, la priorité est de stopper l'accès de l'usurpateur. Changez immédiatement le mot de passe du compte compromis, puis celui de tous les comptes où vous utilisiez le même mot de passe. Activez l'authentification à double facteur (2FA) sur chaque compte : si l'usurpateur connaissait votre mot de passe, la 2FA l'empêche de se reconnecter. Vérifiez l'historique des connexions (disponible dans les paramètres de Google, Facebook, Instagram, LinkedIn) et déconnectez toutes les sessions inconnues. Si des coordonnées bancaires étaient enregistrées, appelez immédiatement le numéro d'opposition au dos de votre carte. Conservez des captures d'écran de toutes les sessions suspectes avec l'URL visible et la date — ces preuves serviront pour la plainte. Téléchargez l'application authenticator (Google Authenticator ou Authy) pour générer des codes 2FA plus sûrs que les SMS, interceptables par SIM swapping.
Étape 2 — Rassembler les preuves et signaler le faux compte
Avant toute suppression, documentez méthodiquement l'usurpation. Pour chaque faux compte ou contenu usurpé : faites une capture d'écran complète incluant l'URL du profil, le nom affiché, les publications frauduleuses et la date (vérifiez que la date est visible). Notez l'URL exacte de chaque résultat Google qui pointe vers ces contenus. Ensuite, signalez le faux compte sur la plateforme concernée via le bouton « Signaler » puis « Usurpation d'identité ». Les formulaires spécifiques sont accessibles depuis la page de cybermalveillance.gouv.fr : Facebook (facebook.com/help/131719720300233), Instagram (facebook.com/help/instagram/149494825257596), Twitter/X (help.twitter.com/fr/safety-and-security#hacked-account), LinkedIn (linkedin.com/help/linkedin/answer/a1340402), Snapchat (support.snapchat.com/fr-FR/article/hacked-howto), TikTok (tiktok.com/legal/report/feedback). Ne supprimez pas le faux compte vous-même avant d'avoir toutes les preuves — la plateforme peut le faire à votre demande tout en conservant les données pour les enquêteurs.
Étape 3 — Déposer plainte via THESEE ou au commissariat
Deux voies pour déposer plainte. La voie en ligne via THESEE (service-public.gouv.fr/particuliers/vosdroits/N31138) est réservée au piratage de messagerie ou de réseau social avec chantage ou escroquerie des contacts. Les mineurs ne peuvent pas utiliser cette voie. Important : un signalement THESEE n'est pas une plainte — il informe les services d'enquête mais vous ne serez pas tenu informé des suites. Pour être partie civile et obtenir des dommages et intérêts, déposez plainte au commissariat. La voie classique : rendez-vous au commissariat ou à la gendarmerie (trouvez le plus proche sur masecurite.interieur.gouv.fr). La police est obligée d'enregistrer votre plainte. Apportez : votre pièce d'identité, les captures d'écran imprimées, les URL des faux comptes, les relevés bancaires si fraude financière, et toute correspondance avec l'usurpateur. Le procès-verbal de plainte est indispensable pour vos contestations bancaires et votre demande de déréférencement. La troisième voie est la plainte par courrier au procureur de la République (tribunal judiciaire du lieu de l'infraction), en recommandé avec accusé de réception. Le délai pour déposer plainte est de 6 ans à compter des faits.
Étape 4 — Demander le déréférencement sur Google, Bing et Qwant
L'article 17 du RGPD vous donne le droit de demander la suppression des résultats de recherche associés à votre nom. Pour Google : accédez au formulaire de demande de suppression de contenu personnel (support.google.com/websearch/contact/content_removal_form). Pour Bing et Qwant : formulaires de déréférencement en ligne dédiés (liens sur cnil.fr/fr/le-droit-au-dereferencement). Pour chaque moteur, vous devez fournir : l'URL exacte de chaque résultat à supprimer (clic droit sur le lien puis copier l'adresse du lien), une copie de pièce d'identité (seulement si le moteur a un doute raisonnable sur votre identité), et une motivation (données obsolètes, atteinte à la vie privée, préjudice). Le moteur a 1 mois pour répondre (3 mois si la demande est complexe). En cas de refus ou silence : déposez une plainte auprès de la CNIL sur cnil.fr/plainte. Important : le déréférencement supprime le résultat des recherches par votre nom, mais pas le contenu à la source — pour cela, contactez le responsable du site web.
Étape 5 — Surveiller et prévenir la récidive
Après les démarches d'urgence, mettez en place une surveillance continue. Inscrivez-vous sur FranceConnect (franceconnect.gouv.fr) pour vérifier que personne n'a accédé à vos services publics à votre insu. Activez les alertes Google avec votre nom (google.com/alerts) pour être notifié de toute nouvelle apparition de votre nom en ligne. Vérifiez votre rapport de solvabilité sur la Banque de France (banque-france.fr/intermediation) pour détecter tout crédit frauduleux contracté à votre nom. Changez vos mots de passe en utilisant un gestionnaire (Bitwarden gratuit ou 1Password) avec des mots de passe uniques de 16+ caractères. Activez la 2FA sur tous les comptes sensibles : banque, email principal, impôts, CPAM, CAF. Si l'usurpation continue après votre plainte, contactez le 3018 (Cybermalveillance, 7j/7 9h-23h) ou le 116 006 (France Victimes) pour un accompagnement spécialisé. Depuis la loi n°2024-449 du 21 mai 2024, l'auteur condamné peut être banni de la plateforme pendant 6 mois (1 an en récidive) — les fournisseurs d'accès doivent bloquer ses comptes et empêcher la création de nouveaux.
Conseils pratiques
- L'article 226-4-1 du Code pénal punit l'usurpation d'identité en ligne de 1 an de prison et 15 000 € d'amende — citez cet article dans votre plainte au commissariat pour qualifier les faits.
- Depuis la loi n°2024-449 du 21 mai 2024 (article 16), l'auteur condamné peut être banni de la plateforme concernée pendant 6 mois maximum (1 an en récidive). Les fournisseurs d'accès doivent bloquer ses comptes et empêcher la création de nouveaux comptes.
- La CNIL propose une extension navigateur (Firefox et Chrome) qui vérifie automatiquement qu'un lien a bien été déréférencé — installez-la avant de faire votre demande pour documenter l'avant/après.
- Les professionnels doivent notifier la CNIL dans les 72h suivant la découverte d'une violation de données via notifications.cnil.fr — le non-respect de ce délai est sanctionné d'une amende pouvant atteindre 20 millions euros ou 4% du CA annuel mondial.
Points d'attention
- Ne supprimez jamais le faux compte avant d'avoir fait des captures d'écran complètes avec l'URL et la date visibles — sans preuve, la plainte sera classée sans suite pour insuffisance de preuves.
- Un signalement THESEE n'est pas une plainte : il informe les services d'enquête mais vous ne serez pas tenu informé des suites. Pour obtenir des dommages et intérêts, vous devez déposer plainte au commissariat ou par courrier au procureur.
- N'utilisez pas le même mot de passe sur plusieurs sites : si un seul compte est piraté, l'usurpateur peut tester ce mot de passe sur votre banque, votre messagerie et vos impôts en quelques minutes via des outils automatisés.
Questions fréquentes5
Comment signaler une usurpation didentité en ligne ?
Déposez une plainte en ligne sur service-public.fr ou au commissariat. Signalez aussi sur signal.spam pour les fraudes par email/SMS. Contactez votre banque immédiatement pour bloquer les comptes compromises.
Quels sont les délais pour agir en cas dusurpation didentité ?
Agissez dans les 24h pour bloquer vos comptes bancaires et cartes. La plainte pénale peut être déposée dans les 6 ans. Pour la banque, le délai de contestation dune opération frauduleuse est de 13 mois.
Comment se protéger contre lusurpation didentité ?
Utilisez des mots de passe uniques et complexes, activez lauthentification à deux facteurs, ne partagez jamais vos codes par téléphone, et vérifiez régulièrement vos comptes bancaires et relevés dinformation.
Quel est le délai pour déposer plainte en cas d'usurpation d'identité en ligne ?
Le délai de prescription est de 6 ans à compter des faits (délai applicable aux délits). Si l'auteur est identifié après ce délai, la plainte ne peut plus être déposée. Pour les crimes (usurpation aggravée avec escroquerie de grande ampleur), le délai est de 20 ans. En pratique, déposez plainte le plus vite possible car les preuves numériques s'effacent rapidement : les plateformes conservent les logs de connexion pendant 1 an maximum.
Peut-on être banni d'un réseau social pour usurpation d'identité ?
Oui. Depuis la loi n°2024-449 du 21 mai 2024 (article 16), toute personne condamnée pour usurpation d'identité sur internet peut être bannie de la plateforme concernée pour une durée de 6 mois maximum (1 an en cas de récidive). Les fournisseurs d'accès et les plateformes ont l'obligation de bloquer les comptes de l'auteur et d'empêcher la création de nouveaux comptes pendant cette période.
Guides Technologie & IA
Voir toutConstruire un chatbot local avec Ollama et Python en 30 minutes
Utiliser DeepSeek V4 en 2026 pour améliorer la recherche
Utiliser Claude Opus 4.7 en 2026 pour améliorer la productivité
Comment créer et gérer ses mots de passe de manière sécurisée en 2026
Comment utiliser Ollama en 2026
Poursuivez votre lecture
Multi-catégoriesÉquipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 16 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.