Loi Sapin 2 : les lanceurs d’alerte informatique non protégés

vulnérabilité, faille sécurité

L’amendement de députés en faveur d’une extension de la protection aux spécialistes de la sécurité informatique et hackers éthiques, a été balayé par le gouvernement.

Porté par le ministre des Finances, Michel Sapin, le projet de loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique, jette les bases d’un régime de protection spécifique aux lanceurs d’alerte. Mais l’amendement de députés de l’opposition en faveur des lanceurs d’alerte de sécurité informatique a été écarté par le rapporteur du texte à l’Assemblée.

Les parlementaires à l’origine de l’amendement n°72 notent dans l’exposé des motifs que « tout accès non autorisé à un système peut être considéré comme frauduleux ». Par conséquent, « le simple fait de vérifier l’existence d’une faille constitue un accès non autorisé, donc une infraction ». Pour étayer leurs arguments, ils citent « des jurisprudences contradictoires et incertaines » (affaires Kitetoa en 2002, Zataz en 2009 et Bluetouff en 2015). Cela risque « de dissuader ceux qui découvrent des failles de les signaler » par peur de poursuites judiciaires. Or, ajoutent-ils, « sans lanceurs d’alerte, les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés ».

« Hors sujet », vraiment ?

Les députés ont donc proposé d’établir « un cadre juridique exonérant de responsabilité les lanceurs d’alerte, personnes détectant et signalant les failles de sécurité informatique sans intention de nuire ». Et ce en complétant le premier alinéa de l’article 323‑1 du code pénal de la phrase suivante : « Toute personne qui a tenté de commettre ou commis ce délit est exemptée de poursuites si, ayant averti immédiatement l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause, elle a permis d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».

Mais cette option ne convient toujours pas à l’exécutif et ses soutiens, comme l’a révélé NextInpact. Le rapporteur du projet de loi, le député socialiste Sébastien Denaja, a jugé l’amendement n°72 « hors sujet ». Et le gouvernement a émis un « avis défavorable », sans plus d’explication.

Deux textes pour les lanceurs d’alerte

Parmi les parlementaires à l’origine de l’amendement, se trouvent les députés Nathalie Kosciusko-Morizet, Laurence Arribagé, Pierre Morel-A-L’Huissier, Patrice Martin-Lalande et Lionel Tardy. Ils avaient présenté, sans succès, un amendement similaire lors de l’examen du projet de loi pour une République Numérique. Ce texte inclut aussi un volet sur la protection des lanceurs d’alerte. Mais le flou demeure, selon les députés. « En exemptant de peine mais pas de poursuite (rédaction AN), ou en se contentant d’autoriser à l’Anssi à ne pas poursuivre systématiquement le lanceur d’alerte (rédaction Sénat), précisent-ils, ces dispositions n’apportent pas une véritable sécurité à ce dernier, qui risque toujours des poursuites (même s’il n’y a pas de peine à la fin) et qui devra assumer le coût de sa défense ».

La commission mixte paritaire (CMP) devra trancher fin juin sur le texte pour une République Numérique. Et le projet de loi Sapin 2, de son côté, poursuit son chemin parlementaire…

Lire aussi :

Lanceurs d’alerte : des conséquences floues pour les DSI

Y-a-t-il une place pour les white hats dans la République numérique ? (tribune)

crédit photo © Pavel Ignatov – shutterstock