CS numérique |
Projet de loi Sécuriser et réguler l'espace numérique (1ère lecture) (n° 593 ) |
N° COM-70 rect. 27 juin 2023 |
AMENDEMENTprésenté par |
|
||||
Mme Nathalie DELATTRE, MM. FIALAIRE, BILHAC, CABANEL, GOLD et GUÉRINI et Mme GUILLOTIN ARTICLE ADDITIONNEL APRÈS ARTICLE 6 |
Après l'article 6
Insérer un article additionnel ainsi rédigé :
I. - L’article L. 2321-4 du code de la défense est ainsi rédigé :
« Art. L. 2321-4. – Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi respectant les règles de fonctionnement et de conduite des lanceurs d’alerte numérique qui transmet à l’Agence nationale de sécurité des systèmes d’information et au responsable du système de traitement automatisé de données en cause une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.
« La personne à l’origine de la transmission ne peut agir au-delà de ce qui est nécessaire et proportionné afin de vérifier l’existence de ladite vulnérabilité.
« L’Agence nationale de sécurité des systèmes d’information et le responsable du système de traitement automatisé de données en cause préservent la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.
« Un décret en Conseil d’État, pris après avis de l’Agence nationale de la sécurité des systèmes d’information, fixe les règles de fonctionnement et de conduite des lanceurs d’alerte numérique. »
II. - Après le premier alinéa de l'article 323-1 du code pénal, insérer 5 alinéas ainsi rédigés :
« Toute personne de bonne foi qui a tenté de commettre ou commis ce délit est exemptée de poursuites si :
« 1° Elle a respecté les règles de fonctionnement et de conduite des lanceurs d’alerte numérique ;
« 2° Elle a transmis à l’Agence nationale de sécurité des systèmes d’information et au responsable du système de traitement automatisé de données en cause une information sur l’existence d’une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données ;
« 3° Elle n'a pas agi au-delà de ce qui est nécessaire et proportionné afin de vérifier l’existence de ladite vulnérabilité.
« Un décret en Conseil d’État, pris après avis de l’Agence nationale de la sécurité des systèmes d’information, fixe les règles de fonctionnement et de conduite des lanceurs d’alerte numérique. »
Objet
Le présent amendement a pour objet de protéger les lanceurs d’alerte numérique ou « hackers éthiques ».
L’objectif est d’appeler à une meilleure reconnaissance du statut des hackers éthiques en droit français. Cette reconnaissance appelle notamment un encadrement juridique de cette pratique, qui permettrait d’assurer la protection juridique aux hackers éthiques.
Cet encadrement renforcerait ainsi la confiance et encouragerait le recours par tous les acteurs du numérique aux hackers éthiques.
Cette reconnaissance du statut des hackers éthiques permettrait notamment aux personnes de bonne foi, découvrant une vulnérabilité, d’avertir simultanément l’ANSSI et l’entité concernée afin de permettre la résolution du problème et la protection des données mises en danger.
En effet, le droit en vigueur ne permet pas aux lanceurs d’alerte numérique de prévenir directement l’entité concernée par une vulnérabilité quant à la sécurité de son système de traitement automatisé de données (article L2321-4 du code de la défense), mais la seule ANSSI, sous peine de poursuites judiciaires (article 323-1 du code pénal). Cette limite constitue un vecteur supplémentaire de ralentissement dans l’apport de solutions à ces failles numériques car dissuade ceux qui les découvrent de les signaler aux responsables informatiques, par peur de poursuites judiciaires.
Or, par leur fonction de lanceurs d’alerte numérique, ils constituent un rôle utile de sentinelle du web, permettant aux sites mal protégés de réduire leurs vulnérabilités face à aux internautes mal intentionnés.
Par ailleurs, l’établissement d’un code de conduite permettrait d’harmoniser les règles de fonctionnement des hackers éthiques, où figureraient notamment les règles de fonctionnement et de conduite et une définition du périmètre et de la criticité des failles.