commission des lois |
Projet de loi République numérique (1ère lecture) (n° 325 ) |
N° COM-268 4 avril 2016 |
AMENDEMENTprésenté par |
|
||||
M. FRASSA, rapporteur ARTICLE 20 SEPTIES |
Rédiger ainsi cet article :
Après l’article L. 2321-3 du code de la défense, il est inséré un article L. 2321-4 ainsi rédigé :
« Art. L. 2321-4. - Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable aux services de l’Etat, définis par le Premier ministre, lorsqu’ils sont informés de l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données, par une personne agissant de bonne foi et en l’absence de publicité de l’information »
Objet
Le présent amendement vise à encourager les personnes ayant connaissance d'une faille de sécurité concernant un système de traitement automatisé d'informations à les signaler à l'ANSSI et plus particulièrement au CERT.
En conséquence, le présent amendement prévoit une dérogation à l'article 40 du code de procédure pénale, selon lequel tout fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République afin d'inciter les internautes qui découvrent, de bonne foi, une vulnérabilité dans la sécurité d'un système d'information, à la signaler et à ne pas en faire la publicité.
Cette dérogation ne supprime pas pour autant la possibilité pour l'ANSSI de porter à la connaissance de la justice tout comportement :
- ayant porté atteinte intentionnellement à la sécurité d'un système de traitement automatisé de données, ayant intentionnellement accéder à un système, protégé ou non ;
- qui ne relève pas de la bonne foi ;
- qui signale une vulnérabilité dans la perspective d'un intérêt financier ou moral ;
- qui diffuse au public, à des tiers non autorisés l'information concernant la faille de sécurité.