Dans le cadre du projet de loi relatif à la transparence, en discussion à l’Assemblée nationale, les députés ont repoussé un amendement Les Républicains qui voulait protéger les hackers ayant découvert une faille informatique.
Le moteur de cette rustine, portée par Nathalie Kosciusko-Morizet, Alain Suguenot ou encore Lionel Tardy, était limpide : le droit pénal de l’informatique punit aujourd’hui de deux ans d’emprisonnement et 60 000 euros d’amende, le simple fait « d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données ».
Kitetoa, Zataz, Bluetouff
Or, ce couperet attend tous les intrus, peu importe leur motivation. Aujourd’hui, « le simple fait de vérifier l’existence d’une faille constitue un accès non autorisé, donc une infraction », constatent les signataires qui citent trois jurisprudences, les affaires Kitetoa (2002), Zataz (2009) et Bluetouff (2015) qui toutes, ont confirmé l’existence d’une épée de Damoclès pesant sur ce genre d’activités : « Le risque est désormais de dissuader ceux qui découvrent des failles de les signaler aux responsables informatiques, par peur de poursuites judiciaires. [Or,] sans lanceurs d’alerte, les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés ».
Ces députés de l’opposition voudraient donc déployer un parapluie au profit des hackers qui ont « tenté de commettre ou commis ce délit » mais - point crucial - ont « averti immédiatement l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause » afin « d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».
Dans une telle hypothèse, ces « sentinelles du web » doivent être exemptées de poursuites, puisqu’elles « jouent ainsi un rôle utile de lanceurs d’alerte » et méritent « un cadre juridique » exonératoire de responsabilité, ces vigies n’ayant aucune intention de nuire.
Seulement, en séance, leur généreuse proposition a été repoussée d’un revers de la main. Alors que le projet de loi Sapin 2 contient des articles relatifs aux lanceurs d’alerte, le rapporteur et député PS Sebastien Denaja l’a jugée... « hors sujet ». Quant au gouvernement, il s’est contenté du minimum syndical, un rapide et bref « avis défavorable ». Circulez !
La vaine tentative lors du projet de loi Lemaire
Ce n’est pas la première fois que des députés tentent une telle incursion. Lors du projet de loi pour une République numérique, deux amendements LR et EELV avaient été pareillement repoussés. À l’Assemblée nationale, c’est une autre option, portée par la majorité PS, qui l’a emportée, à savoir une exemption de peine, mais non comme ici, de poursuite (notre actualité).
Au Sénat, craignant l’arrivée d’une forme d’immunité pénale encourageant le piratage informatique, les parlementaires ont préféré un système encore moins ambitieux. En l’état actuel du projet de loi Lemaire, bientôt arbitré en Commission mixte paritaire, les fonctionnaires de l'Agence nationale de sécurité des systèmes informatiques (ANSSI), alertés de l’existence d’une faille de sécurité par une personne de bonne foi, n’auraient pas à dénoncer cette intrusion comme l’oblige en principe l’article 40 du Code de procédure pénale.
Cependant, cette bienveillance n’est que de façade : rien n’empêchera la prétendue victime, le responsable du système informatique poreux, de porter plainte contre l'intrus et même d’obtenir sa condamnation.
Voilà pourquoi NKM, Lionel Tardy et les autres signataires de l’amendement ont blâmé ces alternatives : « en exemptant de peine mais pas de poursuite (rédaction AN), ou en se contentant d’autoriser à l’ANSSI à ne pas poursuivre systématiquement le lanceur d’alerte (rédaction Sénat), ces dispositions n’apportent pas une véritable sécurité à ce dernier, qui risque toujours des poursuites (même s’il n’y a pas de peine à la fin) et qui devra assumer le coût de sa défense ». Leur argumentaire n’aura pas pesé une cacahuète dans l’hémicycle.