De Prism à Panama Papers en passant par les révélations de télégrammes de la diplomatie américaine par WikiLeaks, ces scandales fortement médiatisés ont pu être portés à la connaissance du public grâce aux lanceurs d’alerte qui ont eu accès à l’information.
Plusieurs députés ont sans doute estimé que ces personnes devraient être protégées : ils ont apporté un amendement dans ce sens au projet de loi relatif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique qui est en discussion à l’Assemblée nationale.
Dans l’amendement, les députés rappellent que certaines personnes, lorsqu’elles découvrent une faille sur un site web, avertissent le responsable de ce site afin de permettre la résolution du problème et la protection des données mises en danger. Elles jouent ainsi un rôle utile de lanceur d’alerte.
Or, selon le Code pénal, tout accès non autorisé à un système peut être considéré comme frauduleux (articles 323-1 alinéa 1). Le simple fait de vérifier l’existence d’une faille constitue un accès non autorisé, donc une infraction.
Dans la jurisprudence Kitetoa (2002), un journaliste qui avait trouvé des données clients en accès libre sur le site du groupe Tati, avait prévenu ce dernier d’une faille sur son site web. Tati l’avait néanmoins attaqué en justice pour accès frauduleux à son système d’information. Après avoir été condamné en première instance, le journaliste avait finalement été relaxé en appel, au motif que d'après ART. 6 N° 72 2/2 puisque les données étaient librement accessibles par un simple navigateur web, et n’étaient pas indiquées comme n’étant pas publiques, on ne pouvait pas sanctionner le fait d’y accéder.
L’arrêt du 9 septembre 2009 de la Cour d’appel de Paris, statuant en référé dans l’affaire Zataz, apporte un point de vue différent. Dans une affaire a priori similaire, la Cour énonce que l’accès non autorisé à un système constitue un « trouble manifestement illicite », et le journaliste qui avait signalé la faille de sécurité dans le système de la société FLP s’est vu ordonner de rendre inaccessible son article et de détruire les pièces copiées sur le serveur, tout en étant condamné aux dépens.
Les élus ont également évoqué l’affaire Bluetouff dans laquelle la Cour de cassation a rejeté en mai 2015 le pourvoi d’un blogueur condamné à 3000 € d’amende pour avoir téléchargé des fichiers sur le site d’une agence de sécurité sanitaire, fichiers qui étaient pourtant en accès libre du fait d’un défaut de sécurisation du site.
Aussi, afin de permettre aux internautes de continuer à exercer leur vigilance sur les failles de sécurité, jouant ainsi le rôle utile de sentinelles du web, et afin d’éviter la répétition de jurisprudences contradictoires et incertaines, les députés ont estimé qu’il serait souhaitable d’établir un cadre juridique exonérant de responsabilité les lanceurs d’alerte, personnes détectant et signalant les failles de sécurité informatique sans intention de nuire, par exemple en s’inspirant de l’article 221-5-3 du Code pénal qui dispose pour les assassinats : « Toute personne qui a tenté de commettre les crimes d’assassinat ou d’empoisonnement est exempte de peine si, ayant averti l’autorité administrative ou judiciaire, elle a permis d’éviter la mort de la victime et d’identifier, le cas échéant, les autres auteurs ou complices ».
Dans le projet de loi numérique pour une République numérique, un amendement similaire avait été rejeté. Pierre Morel-A-L'Huissier a tenu à rappeler que « contrairement à ce qui avait été dit au cours des débats, son adoption ne permettrait aucunement à un hacker malveillant de rechercher l’impunité en envoyant un avertissement après avoir commis des actes hostiles contre le système d’information ou après avoir volé des informations ».
Pour rappel, les élus avaient proposé que l'article soit ainsi modifié « toute personne qui a tenté de commettre ou commis le délit prévu aux alinéas précédents est exempte de peine si, ayant averti immédiatement l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause, elle a permis d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».
La proposition n’avait pas reçu l’aval du gouvernement, même si la secrétaire d'État chargée du numérique a compris l'importance du sujet et a décidé de s'en remettre au Conseil d'État qui doit prochainement rendre un avis sur la question : « le Conseil d'État travaille à une étude globale sur la question des lanceurs d'alerte », a-t-elle assuré.
Cette fois-ci également la demande de réexamen de cet amendement a aussi obtenu un avis défavorable. En clair, l’amendement n° 72 visant à protéger les lanceurs d’alerte n’a donc pas été adopté.
Source : amendement 72 (au format PDF), compte rendu intégral de la séance du 7 juin 2016 (Assemblée nationale)
Voir aussi :
Le gouvernement rejette un amendement qui prévoit de protéger les « lanceurs d'alerte de sécurité » sous certaines réserves
le forum actualités politique
France : le gouvernement s'oppose à nouveau à la protection des lanceurs d'alerte
Lors d'une discussion sur un projet de loi à l'Assemblée nationale
France : le gouvernement s'oppose à nouveau à la protection des lanceurs d'alerte
Lors d'une discussion sur un projet de loi à l'Assemblée nationale
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !