Direction de la séance |
Projet de loi Programmation militaire pour les années 2024 à 2030 (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 740 , 739 , 726, 730) |
N° 1 rect. bis 27 juin 2023 |
AMENDEMENTprésenté par |
|
||||||||
Mme Nathalie DELATTRE, MM. GUÉRINI, GUIOL, ARTANO, BILHAC, CABANEL, CORBISEZ, FIALAIRE et GOLD, Mme GUILLOTIN et MM. REQUIER et ROUX ARTICLE ADDITIONNEL APRÈS ARTICLE 34 |
Après l’article 34
Insérer un article additionnel ainsi rédigé :
I. - L’article L. 2321-4 du code de la défense est ainsi rédigé :
« Art. L. 2321-4. – Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi respectant les règles de fonctionnement et de conduite des lanceurs d’alerte numérique qui transmet à l’Agence nationale de sécurité des systèmes d’information et au responsable du système de traitement automatisé de données en cause une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.
« La personne à l’origine de la transmission ne peut agir au-delà de ce qui est nécessaire et proportionné afin de vérifier l’existence de ladite vulnérabilité.
« L’Agence nationale de sécurité des systèmes d’information et le responsable du système de traitement automatisé de données en cause préservent la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.
« Un décret en Conseil d’État, pris après avis de l’Agence nationale de la sécurité des systèmes d’information, fixe les règles de fonctionnement et de conduite des lanceurs d’alerte numérique. »
II. - Après le premier alinéa de l’article 323-1 du code pénal, sont insérés cinq alinéas ainsi rédigés :
« Toute personne de bonne foi qui a tenté de commettre ou commis ce délit est exemptée de poursuites si :
« 1° Elle a respecté les règles de fonctionnement et de conduite des lanceurs d’alerte numérique ;
« 2° Elle a transmis à l’Agence nationale de sécurité des systèmes d’information et au responsable du système de traitement automatisé de données en cause une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données ;
« 3° Elle n’a pas agi au-delà de ce qui est nécessaire et proportionné afin de vérifier l’existence de ladite vulnérabilité.
« Un décret en Conseil d’État, pris après avis de l’Agence nationale de la sécurité des systèmes d’information, fixe les règles de fonctionnement et de conduite des lanceurs d’alerte numérique. »
Objet
Le présent amendement a pour objet de protéger les lanceurs d’alerte numérique ou « hackers éthiques ».
L’objectif est d’appeler à une meilleure reconnaissance du statut des hackers éthiques en droit français. Cette reconnaissance appelle notamment un encadrement juridique de cette pratique, qui permettrait d’assurer la protection juridique aux hackers éthiques.
Si un amendement à l’article 34 du présent projet de loi entend protéger les hackers éthiques pour les seuls signalements de vulnérabilités affectant un produit d’un éditeur de logiciels ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits, cet article additionnel visant la réécriture de l'article L2321-4 du code de la défense a pour objectif de généraliser leur reconnaissance et protection à l’ensemble des acteurs numériques, privés comme publics, pouvant être victime d’une vulnérabilité quant à leur système de traitement automatisé de données. En effet, les éditeurs de logiciels ne représentent que 5% des acteurs du numérique.
Cet encadrement renforcerait ainsi la confiance et encouragerait le recours par tous les acteurs du numérique aux hackers éthiques qui ne seraient plus sous la menace de poursuites judiciaires telles qu'actuellement prévues à l'article 323-1 du code pénal.
Cette reconnaissance du statut des hackers éthiques permettrait aux personnes de bonne foi, découvrant une vulnérabilité, d’avertir simultanément l’ANSSI et l’entité concernée afin de permettre la résolution du problème et la protection des données mises en danger.
En effet, le droit en vigueur ne permet pas aux lanceurs d’alerte numérique de prévenir directement l’entité concernée par une vulnérabilité quant à la sécurité de leur système de traitement automatisé de données (article L2321-4 du code de la défense), mais la seule ANSSI, sous peine de poursuites judiciaires (article 323-1 du code pénal). Cette limite constitue un vecteur supplémentaire de ralentissement dans l’apport de solutions à ces failles numériques car dissuade ceux qui les découvrent de les signaler aux responsables informatiques, par peur de poursuites judiciaires.
Or, par leur fonction de lanceurs d’alerte numérique, ils constituent un rôle utile de sentinelle du web, permettant aux sites mal protégés de réduire leurs vulnérabilités face à aux internautes mal intentionnés.
Par ailleurs, l’établissement d’un code de conduite permettrait d’harmoniser les règles de fonctionnement des hackers éthiques, où figureraient notamment les règles de fonctionnement et de conduite et une définition du périmètre et de la criticité des failles.