À l’occasion de la nouvelle lecture du projet de loi Sapin 2, Nathalie Kosciusko-Morizet tente (encore) de protéger les lanceurs d’alerte en sécurité informatique. Une disposition plusieurs fois rejetée dans le passé.
Après un échec en commission mixte paritaire, le projet de loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique sera examiné demain en commission des lois. À cette occasion, la députée LR a redéposé un amendement qu’elle n’avait pu faire passer lors de précédents épisodes parlementaires, celui du projet de loi Lemaire et même de ce projet de loi Sapin 2, en première lecture.
Le principe de son initiative est simple sur le papier : à ce jour, celui qui s’introduit ou se maintient sans droit dans un système informatique encourt jusqu’à deux ans de prison et 60 000 euros d’amende. Une infraction prévue à l’article 323-1 du Code pénal (alinéa 1).
Protéger les sentinelles de la sécurité informatique
Afin de protéger « les sentinelles » de la sécurité informatique, NKM compte leur faire bénéficier d’un pare-feu juridique. La personne qui a tenté de commettre ou même commis « ce délit de bonne foi est exemptée de poursuites si, ayant averti immédiatement l’autorité administrative ou judiciaire, ou le responsable du système de traitement automatisé de données en cause, elle a permis d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».
Plusieurs conditions, donc : la démonstration de la bonne foi du lanceur d’alerte. Une alerte immédiate adressée aux autorités ou au responsable du système poreux. Enfin une intervention utile, ayant permis d’éviter l’exploitation d’une faille future.
Tout cela cumulé évincerait les poursuites et donc tout procès ultérieur. Pour justifier cette rustine, l’élue s’appuie à nouveau sur l’affaire Tati vs Kitetoa de 2002, l’arrêt Zataz de 2009 et évidemment l’arrêt Bluetouff de 2015 où notre confrère a été condamné pour piratage informatique d’un système mal sécurisé.
Autant d’affaires qui, d’après NKM, ont ouvert le risque « de dissuader ceux qui découvrent des failles de les signaler aux responsables informatiques, par peur de poursuites judiciaires ». Or, « sans lanceurs d’alerte, les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés. »
À ceux qui opposeraient que ce texte permettrait à « un hacker malveillant de rechercher l’impunité en envoyant un avertissement après avoir commis des actes hostiles contre le système d’information ou après avoir volé des informations », la députée rappelle que son exemption ne couvre que l’accès ou le maintien dans le système. « Les éventuelles modifications, altérations, soustractions d’informations, introductions frauduleuses de données ou de virus, attaques en déni de service… constituent des infractions distinctes, réprimées par d’autres articles du Code pénal (principalement 323-2 et suivants) et ne sont pas concernées ».
Le projet de loi Lemaire et le rôle attendu de l'ANSSI
Rappelons que dans la future loi Numérique, après avoir envisagé un temps une exemption des peines (et donc pas des poursuites), le texte actuel met désormais l’ANSSI dans la boucle. Comme on peut le voir à l’article 20 septies, lorsque l'Agence nationale de sécurité des systèmes informatiques sera informée de l’existence d’une faille, elle n’aura plus l’obligation de dénoncer le nom de son inventeur à la justice.
Une mesure normalement obligatoire en vertu de l’article 40 du Code de procédure pénale. La personne devra néanmoins être de bonne foi, et devra avoir eu l’élégance de ne pas rendre publique cette information ailleurs.
Cette mesure est cependant bien moins musclée que l’amendement NKM, puisque dans le projet de loi Lemaire, celui qui alerte l’ANSSI pourra toujours être poursuivi par le responsable du système visité illégalement.
