Direction de la séance |
Projet de loi Programmation militaire pour les années 2024 à 2030 (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 740 , 739 , 726, 730) |
N° 2 rect. bis 27 juin 2023 |
AMENDEMENTprésenté par |
|
||||||||
Mme Nathalie DELATTRE, MM. GUÉRINI, GUIOL, ARTANO, BILHAC, CABANEL, CORBISEZ, FIALAIRE et GOLD, Mme GUILLOTIN et MM. REQUIER et ROUX ARTICLE 34 |
I. – Après l’alinéa 6
Insérer quatre alinéas ainsi rédigés :
« Dans le cas où la vulnérabilité édictée au premier alinéa du présent article est :
« 1° Signalée par une personne de bonne foi, respectant les règles de fonctionnement et de conduite des lanceurs d’alerte numérique et n’agissant pas au-delà de ce qui est nécessaire et proportionné afin de vérifier l’existence de ladite vulnérabilité ;
« 2° Immédiatement notifiée à l’Agence nationale de sécurité des systèmes d’information et à l’éditeur de logiciels ;
« Alors les obligations prévues à l’article 40 du code de procédure pénale et au premier alinéa de l'article 323-1 du code pénal ne sont pas applicables à l’égard de cette personne.
II. – Après l’alinéa 9
Insérer un alinéa ainsi rédigé :
« Un décret en Conseil d’État, pris après avis de l’Agence nationale de la sécurité des systèmes d’information, fixe les règles de fonctionnement et de conduite des lanceurs d’alerte numérique. »
Objet
Le présent amendement a pour objet de protéger les lanceurs d’alerte numérique ou « hackers éthiques ».
L’objectif est d’appeler à une meilleure reconnaissance du statut des hackers éthiques en droit français. Cette reconnaissance appelle notamment un encadrement juridique de cette pratique, qui permettrait d’assurer la protection juridique aux hackers éthiques.
Dans le cas présent, cette protection serait assurée pour les seuls signalements de vulnérabilités affectant un produit d’un éditeur de logiciels ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits.
In fine, cet encadrement renforcerait la confiance et encouragerait le recours par les éditeurs de logiciels aux hackers éthiques.
Par ailleurs, l’établissement d’un code de conduite permettrait d’harmoniser les règles de fonctionnement des hackers éthiques, où figureraient notamment les règles de fonctionnement et de conduite et une définition du périmètre et de la criticité des failles.
Cette reconnaissance du statut des hackers éthiques permettrait aux personnes de bonne foi, découvrant une vulnérabilité, d’avertir simultanément l’ANSSI et l’éditeur de logiciels afin de permettre la résolution du problème et la protection des données mises en danger.
En effet, le droit en vigueur ne permet pas aux lanceurs d’alerte numérique de prévenir directement l’entité concernée par une vulnérabilité quant à la sécurité de son système de traitement automatisé de données (article L2321-4 du code de la défense), mais la seule ANSSI, sous peine de poursuites judiciaires. Cette limite constitue un vecteur supplémentaire de ralentissement dans l’apport de solutions à ces failles numériques car dissuade ceux qui les découvrent de les signaler aux responsables informatiques, par peur de poursuites judiciaires.
En outre, selon l'article 323-1 du code pénal, un hacker éthique encourt trois ans d'emprisonnement et 100 000 euros d'amende pour avoir pénétrer un système de traitement automatisé de données sans l'accord préalable de son propriétaire.
Or, par leur fonction de lanceurs d’alerte numérique, ils constituent un rôle utile de sentinelle du web, permettant aux sites mal protégés de réduire leurs vulnérabilités face à aux internautes mal intentionnés.