Discussion :

[Stéphane le calme]

Le gouvernement rejette un amendement qui prévoit de protéger les « lanceurs d'alertes de sécurité »
sous certaines réserves

La Commission des lois de l’Assemblée nationale a poursuivi aujourd’hui son examen du projet de loi numérique d’Axelle Lemaire. Le gouvernement s'est prononcé sur le fait d'exonérer de toute responsabilité les lanceurs d'alertes de sécurité, amendement de l'article 25 du projet de loi défendu entre autres par monsieur Patrice Martin-Lalande.

« Certaines personnes, lorsqu’elles découvrent une faille sur un site web, avertissent le responsable de ce site afin de permettre la résolution du problème et la protection des données mises en danger. Elles jouent ainsi un rôle utile de lanceurs d’alertes », ont noté les élus.

Ils ont rappelé que « dans la jurisprudence Kitetoa (2002), un journaliste qui avait trouvé des données clients en accès libre sur le site du groupe Tati, avait prévenu ce dernier d’une faille sur son site web. Tati l’avait néanmoins attaqué en justice pour accès frauduleux à son système d’information. Après avoir été condamné en première instance, le journaliste avait finalement été relaxé en appel, au motif que puisque les données étaient librement accessibles par un simple navigateur web, et n’étaient pas indiquées comme n’étant pas publiques, on ne pouvait pas sanctionner le fait d’y accéder ».

De plus, l’arrêt du 9 septembre 2009 de la Cour d’appel de Paris, statuant en référé dans l’affaire Zataz, apporte un point de vue différent. Dans une affaire a priori similaire, la Cour énonce que l’accès non autorisé à un système constitue un « trouble manifestement illicite », et le journaliste qui avait signalé la faille de sécurité dans le système de la société FLP s’est vu ordonner de rendre inaccessible son article et de détruire les pièces copiées sur le serveur, tout en étant condamné aux dépens.

Enfin, dans l’affaire Bluetouff, la Cour de cassation vient de rejeter en mai 2015 le pourvoi d’un blogueur condamné à 3000 € d’amende pour avoir téléchargé des fichiers sur le site d’une agence de sécurité sanitaire, fichiers qui étaient pourtant en accès libre du fait d’un défaut de sécurisation du site.

Pour les élus, le risque est désormais de dissuader ceux qui découvrent des failles de les signaler aux responsables informatiques, par peur de poursuites judiciaires. Sans lanceurs d’alertes, les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés.

C'est pourquoi, afin de permettre aux internautes de continuer à exercer leur vigilance sur les failles de sécurité, jouant ainsi le rôle utile de sentinelles du web, et afin d’éviter la répétition de jurisprudences contradictoires et incertaines, ils ont estimé qu'il serait souhaitable d’établir un cadre juridique exonérant de responsabilité les lanceurs d’alertes, personnes détectant et signalant les failles de sécurité informatique sans intention de nuire, par exemple en s’inspirant de l’article 221-5-3 du Code pénal qui dispose pour les assassinats : « Toute personne qui a tenté de commettre les crimes d'assassinat ou d'empoisonnement est exempte de peine si, ayant averti l'autorité administrative ou judiciaire, elle a permis d'éviter la mort de la victime et d'identifier, le cas échéant, les autres auteurs ou complices ».

Ils ont proposé que l'article soit ainsi modifié « toute personne qui a tenté de commettre ou commis le délit prévu aux alinéas précédents est exempte de peine si, ayant averti immédiatement l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause, elle a permis d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».

Une proposition qui n'a toutefois pas reçu l'aval du gouvernement. Cependant, la secrétaire d'État chargée du numérique a compris l'importance du sujet et a décidé de s'en remettre au Conseil d'État qui doit prochainement rendre un avis sur la question : « le Conseil d'État travaille à une étude globale sur la question des lanceurs d'alertes », a-t-elle assuré.

Source : Assemblée Nationale

Voir aussi :

L’amendement pour l’OS souverain adopté, les députés votent pour la création d’un Commissariat à la souveraineté numérique

Loi sur le numérique : le gouvernement rejette les portes dérobées, NKM retire sa proposition

Les députés adoptent un amendement imposant la communication des codes source de logiciels utilisés ou développés par l'administration

[Mouke]

C'est rare mais j'approuve le rejet.

Je n'aime pas l'aspect global de l'amendement. Ouvert à trop de dérives.
L'exemple de la tentative d'assassinat est ridicule, car il y a quand même, à la base, volonté de nuire.

Dans le cas de l'informatique, il s'agit d'une pratique courante et connue : Certaines personnes se contentent de rechercher les failles pour le sport ou pour l'aspect pécuniaire, sans vouloir exploiter la faille à des fins de nuisance. Tant qu'il n'y a pas nuisance, la personne ne devrait pas être condamnée.
J'imagine mal un assassin préparer un assassinat juste pour ne pas tuer sa victime.

[Aiekick]

bizarre ta phrase ce qui fait de quelqu'un un assassin c'est son passage a l'acte. des l'ors un assassin qui prépare un crime n'est pas encore un assassin tant qu'il n'est pas passé à l'acte.
du coup ça rejoint ce que tu disais sur l'informatique

[AoCannaille]

bizarre ta phrase ce qui fait de quelqu'un un assassin c'est son passage a l'acte. des l'ors un assassin qui prépare un crime n'est pas encore un assassin tant qu'il n'est pas passé à l'acte.
du coup ça rejoint ce que tu disais sur l'informatique

Faux. Dans le droit français, l'intention si elle est prouvée est condamnable au même titre que l'infraction elle-même.

Et encore heureux. Tu échappes à une tentative d'assassinat à coup de feu devant caméra de sécurité et le mec au tribunal "Bah non, j'l'ai pas tué, je suis pas un assassin, je lui faisait juste peur et j'ai fait exprès de le louper. Méssi méssi madame le jure, je suis gentils, jle jure."

[Darktib]

Je crois que l'idée de la l'article sur l'assassinat a été pensé pour le cas où un groupe prévoit d'assassiner quelqu'un, mais un membre de la bande dénonce les autres à la police. Cela dit, je ne suis ni juriste ni avocat...

Pour le reste, je trouve que la généralisation de l'article aurait été bien (en fait, ils auraient même pu beaucoup plus généraliser), s'il avait été précisé que la clause n'opère pas si le "prévenu" a profité des données / du fait de pouvoir assassiner quelqu'un. Cela aurait probablement réglé une bonne partie des abus possibles.

[Angelsafrania]

il faut donc aller vers l'entreprise leur dire qu'on a découvert une faille sans indiqué la quelle (donc ils n'ont pas de preuve pour attaquer en justice).
Leur proposer un contrat ou ils s'interdise d'attaquer en justice en échange de l'exploit.

C'est bien ça qu'il faut faire ?
Parce que peu de personne le feront...

[abriotde]

Prenons un bon exemple : L'accès a l'espace VIP du festival de Cannes...

Il est interdit d'y pénétrer car toute personne y entrant est suceptible d'attenter a des personnes haut placé, d'écouter des discutions sensible, de poser des micros... Mais si un malin, arrive a se faire passer pour un photographe ou un producteur, on ne le condamne pas comme l'espion ou l’assassin car il est reconnu assez aisément qu'il n'a pas voulu intenté a des personnes. Tout au plus lui infligera t'on une peine essentiellement symbolique (Le prix d'un billet en première)

Il en est de même pour un lanceur d'alertes. Il met a jour un mécanisme pour récupérer ou simplement accéder mais il ne l'exploite pas. Il ne préviens pas les réseaux underground. Il a fait la partie difficile et s'arrête avant la partie simple... moneiller son geste.

Dans 95% des cas, le responsable système (ou plutôt son responsable ) lui dira merci voire le rémunérera. Mais dans 5% des cas (comme chez Apple) il aurra un process et il risque très lourd. Alors ce qu'il se passe c'est simple c'est qu'il passe du côté obscur de la force pousser par un système judiciaire moisi. C'est une perte sèche de cerveaux pour la France. (Ca ne concerne pas grand monde mais un monde précieux)

[Aurelien Plazzotta]

+150 abriotde !

Tant que les dirigeants politiques et industriels français considéreront l'industrie du génie logiciel comme un centre de coûts et non comme un centre de profits, leurs décisions seront toujours irrationnelles et la situation économique pour ceux et celles oeuvrant dans les technologies de l'information grotesque.

Le seul fait qu'une entreprise fasse appel à une SSII pour réaliser un projet logiciel prouve que son dirigeant est dénué de toute culture technologique. En clair, il paye au lance-pierres un "presta" parce que je n'a et n'aura jamais de développeurs en interne.
Avant même de signer un contrat, un développeur contacté par une SSII sait dèjà qu'il passera un entretien d'embauche pour intervenir dans une boîte client où la reconnaissance sociale et la considération de la personne est une relique du passé. Les meilleurs ont fini par fuir le pays ou accepter un job de chef de projet pour décrocher une rémunération décente.

Pour l'OS souverain, c'est la même histoire. La France est dotée d'un secrétariat aux technologies numérique; n'a-t-il pas un bassin de concepteurs-développeurs accrédités Confidentiel-Défense ? Ah bah non, j'oubliais, ça coûte trop cher ! (politique du centre de coûts).

Je m'éloigne du sujet mais aux Etats-Unis et au Canada, les développeurs et ingénieurs logiciels sont mieux rémunérés que les encadrants de proximité (coordinateurs, chefs de projets, responsables projets, ...).

Pas étonnant que notre pays subisse un exode des cerveaux pour ceux et celles ayant le courage de s'expatrier.