À l’ère de la communication numérique et de la diffusion instantanée des informations, chacun d’entre nous laisse quotidiennement des traces en ligne. Ces données, qui paraissent anodines lorsqu’elles sont partagées volontairement ou collectées par des services en ligne, peuvent pourtant être utilisées contre nous. Parmi les dérives majeures liées à cette hyper-exposition figure le doxing, ou « doxxing », pratique qui consiste à publier ou à transmettre des informations personnelles identifiantes sur une personne dans le but de l’exposer à des risques concrets. Longtemps cantonné à la sphère du cyberharcèlement et appréhendé par des textes de droit commun, le doxing a connu un tournant avec l’adoption de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, qui a introduit un article spécifique, l’article 223-1-1 du Code pénal, consacrant un nouveau délit autonome.

I. Définition et origines du doxing

Le terme « doxing » provient de l’anglais dropping docs, c’est-à-dire « publier des documents ». À l’origine, dans les années 1990, cette pratique était utilisée au sein de communautés de hackers pour démasquer ou intimider un adversaire en révélant ses informations personnelles. Avec le développement massif des réseaux sociaux et des bases de données accessibles en ligne, le doxing a pris une ampleur inédite et s’est diffusé dans des contextes variés, allant des conflits privés aux polémiques publiques.

Concrètement, le doxing désigne le fait de divulguer sans autorisation des données personnelles permettant d’identifier ou de localiser une personne, comme son nom complet, son adresse, son numéro de téléphone, son lieu de travail ou même des éléments relatifs à sa famille. Ce qui caractérise la gravité de cette pratique n’est pas tant la nature des informations révélées que l’intention malveillante qui préside à leur diffusion. L’objectif n’est pas d’informer, mais bien de nuire, d’exposer la victime à des menaces, à des pressions ou à des violences.

Il convient de distinguer le doxing d’autres infractions voisines. Contrairement au piratage, il ne suppose pas une intrusion dans un système informatique. Contrairement à la diffamation, il n’implique pas nécessairement la diffusion d’informations fausses. Contrairement à l’usurpation d’identité, il ne vise pas à se substituer à la victime. Toutefois, le doxing peut se combiner à ces pratiques et en démultiplier l’impact.

II. Les dangers concrets du doxing

Les conséquences du doxing sont multiples et touchent directement la vie quotidienne des victimes. La première menace est celle de la sécurité personnelle. Lorsqu’une adresse ou des habitudes de vie sont rendues publiques, la personne concernée peut faire l’objet de menaces physiques, d’intrusions à son domicile, voire d’agressions. Dans certains pays, la combinaison du doxing avec le phénomène du swatting a déjà conduit à des drames, lorsque des forces de l’ordre ont été envoyées à tort à l’adresse d’une victime désignée en ligne.

Le second risque est psychologique. Être la cible de centaines de messages, d’appels hostiles ou de menaces répétées constitue une forme de harcèlement particulièrement lourde. Les victimes témoignent de stress intense, d’angoisses persistantes, d’insomnies, voire de symptômes de stress post-traumatique.

Le troisième risque est professionnel. Lorsqu’une information personnelle est diffusée dans le cadre de l’activité professionnelle, elle peut entraîner une perte d’emploi, une atteinte durable à la réputation ou un isolement social. Les professions exposées au débat public — enseignants, journalistes, élus, personnels de santé — sont particulièrement vulnérables.

Enfin, le doxing a un impact indirect sur les proches de la victime. Lorsque des informations concernant des membres de la famille sont divulguées, ceux-ci peuvent être associés à la cible principale et subir à leur tour des menaces ou un harcèlement.

III. Les méthodes utilisées par les auteurs de doxing

Le doxing ne repose pas nécessairement sur des techniques sophistiquées. Bien souvent, il s’agit simplement d’exploiter ce qui est disponible en ligne. Les réseaux sociaux constituent une première source : beaucoup d’internautes y partagent des éléments d’identité, des photos géolocalisées, des habitudes de vie qui, mises bout à bout, permettent d’identifier avec précision une personne.

Les bases de données publiques offrent une deuxième voie d’accès. Annonces légales, registres, cadastres ou encore moteurs de recherche spécialisés contiennent des informations librement consultables qui peuvent être exploitées à mauvais escient.

À cela s’ajoute l’utilisation de fuites massives de données. Les piratages de grandes plateformes ont mis en circulation sur le dark web des millions d’adresses électroniques et de mots de passe, constituant un terrain fertile pour les doxers.

Enfin, l’ingénierie sociale complète l’arsenal. Il s’agit d’obtenir des renseignements en manipulant des interlocuteurs, par exemple en se faisant passer pour un service officiel auprès d’un opérateur téléphonique ou en exploitant la naïveté d’un proche de la victime. Le doxing résulte souvent du croisement de ces différentes méthodes : chaque élément pris isolément paraît anodin, mais l’assemblage permet de lever l’anonymat.

IV. Le cadre juridique français avant 2021

Avant l’introduction d’un délit autonome, les victimes de doxing pouvaient s’appuyer sur plusieurs textes. L’article 9 du Code civil garantissait le droit au respect de la vie privée et permettait d’agir en responsabilité civile pour obtenir réparation. L’article 226-1 du Code pénal sanctionnait quant à lui l’atteinte à l’intimité de la vie privée par la captation, l’enregistrement ou la transmission de données, passible d’un an d’emprisonnement et de 45 000 € d’amende. D’autres incriminations pouvaient être mobilisées, comme le harcèlement moral (article 222-33-2-2), l’usurpation d’identité (article 226-4-1) ou encore la diffamation et l’injure publiques.

Cependant, aucun de ces fondements ne permettait de réprimer spécifiquement le fait de divulguer des informations dans l’intention de mettre autrui en danger. C’est ce vide juridique que le législateur a entendu combler à la suite de faits particulièrement graves.

V. L’incrimination spécifique introduite par la loi du 24 août 2021

La loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République a créé un nouvel article 223-1-1 du Code pénal. Cet article dispose que le fait de révéler, de diffuser ou de transmettre des informations relatives à la vie privée, familiale ou professionnelle d’une personne, permettant de l’identifier ou de la localiser, dans le but de l’exposer, elle ou ses proches, à un risque direct d’atteinte à leur personne ou à leurs biens, est puni de trois ans d’emprisonnement et de 45 000 € d’amende.

La loi prévoit des circonstances aggravantes : la peine est portée à cinq ans d’emprisonnement et 75 000 € d’amende lorsque la victime est mineure, vulnérable ou lorsqu’elle exerce une fonction publique ou une mission de service public.

L’élément marquant de cette incrimination est son caractère préventif et autonome.

L’infraction est constituée par le simple fait de publier les informations dans l’intention de nuire, indépendamment de la réalisation effective d’un dommage. Autrement dit, il n’est pas nécessaire d’attendre que la victime subisse une agression pour que la responsabilité pénale de l’auteur soit engagée.

VI. Les premières applications et la portée pratique de l’incrimination

Depuis son adoption, cette disposition a permis d’engager plusieurs poursuites dans des affaires de cyberharcèlement. Des décisions récentes montrent que les juridictions retiennent largement la qualification de l’article 223-1-1 lorsqu’une adresse, un numéro de téléphone ou une photographie accompagnée de commentaires hostiles est diffusée dans un contexte conflictuel. Cette évolution renforce considérablement la protection des personnes exposées, notamment celles qui exercent des fonctions publiques.

VII. Comparaison avec les régimes étrangers

La France n’est pas le seul pays confronté au phénomène. Aux États-Unis, il n’existe pas toujours de délit spécifique, mais le doxing peut être poursuivi au titre de lois sur le harcèlement ou les menaces. Au Royaume-Uni, il peut relever du Data Protection Act ou du Malicious Communications Act. En Allemagne, les dispositions relatives à la protection de la personnalité et aux violences numériques couvrent des situations proches. Enfin, certains pays comme l’Australie ont récemment annoncé leur intention de créer une incrimination spécifique, inspirée du modèle français.

VIII. Prévention et protection

La meilleure arme contre le doxing demeure la vigilance. Limiter la diffusion volontaire de données personnelles est une première étape essentielle. Les internautes doivent veiller aux paramètres de confidentialité de leurs comptes, éviter de publier leurs coordonnées et réfléchir aux informations partagées publiquement.

La sécurisation des accès numériques est également déterminante. Des mots de passe robustes et uniques, l’authentification à deux facteurs et l’usage d’outils comme les VPN permettent de réduire les risques.

En cas de doxing avéré, il est crucial d’agir rapidement : conserver les preuves, faire constater les publications, signaler les contenus aux plateformes et déposer plainte en visant explicitement l’article 223-1-1 du Code pénal.

Conclusion

Le doxing illustre la fragilité de la vie privée dans un monde numérique où les données circulent sans frontières. Avec l’introduction de l’article 223-1-1 du Code pénal, la France s’est dotée d’un instrument juridique clair et efficace, qui reconnaît la dangerosité intrinsèque de cette pratique. Mais la protection ne saurait reposer uniquement sur la loi : elle suppose une prise de conscience collective et individuelle de l’importance des données personnelles. Divulguer une information, ce n’est pas seulement partager : c’est parfois exposer.