La Commission des lois de l’Assemblée nationale a poursuivi aujourd’hui son examen du projet de loi numérique d’Axelle Lemaire. Le gouvernement s'est prononcé sur le fait d'exonérer de toute responsabilité les lanceurs d'alertes de sécurité, amendement de l'article 25 du projet de loi défendu entre autres par monsieur Patrice Martin-Lalande.
« Certaines personnes, lorsqu’elles découvrent une faille sur un site web, avertissent le responsable de ce site afin de permettre la résolution du problème et la protection des données mises en danger. Elles jouent ainsi un rôle utile de lanceurs d’alertes », ont noté les élus.
Ils ont rappelé que « dans la jurisprudence Kitetoa (2002), un journaliste qui avait trouvé des données clients en accès libre sur le site du groupe Tati, avait prévenu ce dernier d’une faille sur son site web. Tati l’avait néanmoins attaqué en justice pour accès frauduleux à son système d’information. Après avoir été condamné en première instance, le journaliste avait finalement été relaxé en appel, au motif que puisque les données étaient librement accessibles par un simple navigateur web, et n’étaient pas indiquées comme n’étant pas publiques, on ne pouvait pas sanctionner le fait d’y accéder ».
De plus, l’arrêt du 9 septembre 2009 de la Cour d’appel de Paris, statuant en référé dans l’affaire Zataz, apporte un point de vue différent. Dans une affaire a priori similaire, la Cour énonce que l’accès non autorisé à un système constitue un « trouble manifestement illicite », et le journaliste qui avait signalé la faille de sécurité dans le système de la société FLP s’est vu ordonner de rendre inaccessible son article et de détruire les pièces copiées sur le serveur, tout en étant condamné aux dépens.
Enfin, dans l’affaire Bluetouff, la Cour de cassation vient de rejeter en mai 2015 le pourvoi d’un blogueur condamné à 3000 € d’amende pour avoir téléchargé des fichiers sur le site d’une agence de sécurité sanitaire, fichiers qui étaient pourtant en accès libre du fait d’un défaut de sécurisation du site.
Pour les élus, le risque est désormais de dissuader ceux qui découvrent des failles de les signaler aux responsables informatiques, par peur de poursuites judiciaires. Sans lanceurs d’alertes, les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés.
C'est pourquoi, afin de permettre aux internautes de continuer à exercer leur vigilance sur les failles de sécurité, jouant ainsi le rôle utile de sentinelles du web, et afin d’éviter la répétition de jurisprudences contradictoires et incertaines, ils ont estimé qu'il serait souhaitable d’établir un cadre juridique exonérant de responsabilité les lanceurs d’alertes, personnes détectant et signalant les failles de sécurité informatique sans intention de nuire, par exemple en s’inspirant de l’article 221-5-3 du Code pénal qui dispose pour les assassinats : « Toute personne qui a tenté de commettre les crimes d'assassinat ou d'empoisonnement est exempte de peine si, ayant averti l'autorité administrative ou judiciaire, elle a permis d'éviter la mort de la victime et d'identifier, le cas échéant, les autres auteurs ou complices ».
Ils ont proposé que l'article soit ainsi modifié « toute personne qui a tenté de commettre ou commis le délit prévu aux alinéas précédents est exempte de peine si, ayant averti immédiatement l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause, elle a permis d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».
Une proposition qui n'a toutefois pas reçu l'aval du gouvernement. Cependant, la secrétaire d'État chargée du numérique a compris l'importance du sujet et a décidé de s'en remettre au Conseil d'État qui doit prochainement rendre un avis sur la question : « le Conseil d'État travaille à une étude globale sur la question des lanceurs d'alertes », a-t-elle assuré.
Source : Assemblée Nationale
Voir aussi :
L’amendement pour l’OS souverain adopté, les députés votent pour la création d’un Commissariat à la souveraineté numérique
Loi sur le numérique : le gouvernement rejette les portes dérobées, NKM retire sa proposition
Les députés adoptent un amendement imposant la communication des codes source de logiciels utilisés ou développés par l'administration
Le gouvernement rejette un amendement qui prévoit de protéger les « lanceurs d'alertes de sécurité »
Sous certaines réserves
Le gouvernement rejette un amendement qui prévoit de protéger les « lanceurs d'alertes de sécurité »
Sous certaines réserves
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !