Les lanceurs d’alertes dans la Loi pour une République numérique
Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour décrypter les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd'hui, Eric A. Caprioli déchiffre la loi à propos des lanceurs d'alertes.
Les lanceurs d’alertes ou "white hats" interpellent de plus en plus les medias depuis quelques années. Ces hackers éthiques interviennent dans l’informatique et le numérique, ils veillent à avertir les responsables de la sécurité des SI des vulnérabilités de leurs systèmes d’information ou de leurs sites web. De plus, avec le développement de plates-formes de bug bounty comme YesWeHack, il était important de légaliser une pratique exposée à des sanctions pénales (ex : art. 323-1 du code pénal, 2 ans de prison et 60.000 euros d’amende). La loi n° 2016-1321 du 7 octobre 2016 pour une République numérique vient préciser le cadre légal de leurs actions.
L’affaire de l’ANSES et le vol de données
Un journaliste-blogueur surnommé "Bluetouff" avait extrait, puis publié de nombreux fichiers confidentiels en pénétrant sur le site extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). Il a été condamné par la Cour d’appel de Paris le 5 février 2014, puis par la Cour de cassation le 20 mai 2015 pour maintien frauduleux dans le SI et vol de données. Le législateur, "alerté" de cette situation, a commencé par modifier l’article 323-3 du code pénal en y ajoutant les actions d'extraire, de détenir, de reproduire, de transmettre frauduleusement des données (Loi n°2015-912 du 24 juillet 2015).
La première mouture visée à l’article 20 septie de la loi
C’est un amendement du 15 janvier 2016, dit "Bluetouff" qui a relancé les débats sur le sujet ayant abouti à la proposition d’ajouter un nouvel alinéa à l’article 323-1 du code pénal, ainsi rédigé :
"Toute personne qui a tenté de commettre ou commis le délit prévu au présent article est exempte de peine si elle a immédiatement averti l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause d’un risque d’atteinte aux données ou au fonctionnement du système."
Il était censé protéger les lanceurs d’alerte lorsqu’ils veillent "à avertir les responsables de traitement des failles dans leurs systèmes." Or, cette rédaction laissait dubitatifs les juristes et posait plus de questions qu’elle n’en résolvait, notamment : quelle autorité saisir et par quel canal (appel téléphonique à la police, courrier postal ou électronique à une cour d’appel ou à la CNIL, etc.) ? Que se passe-t-il après l’avertissement et surtout, si entre temps le responsable du SI a porté plainte, ou encore si le lanceur d’alertes diffuse les informations sur l’internet pour se faire de la publicité ? De plus, exemption de peine ne signifie pas non inscription au casier judiciaire de la condamnation. Pourtant, une décision du 9 septembre 2009 a jugé que tout accès non autorisé à un SI constitue un trouble manifestement illicite alors même que cela peut permettre d’éviter des atteintes ultérieures aux données ou au fonctionnement du système.
La protection nouvelle des lanceurs d’alerte
L’article 47 de la nouvelle loi prévoit que le code de la défense soit complété par un article L. 2321-4 ainsi rédigé : "Art. L. 2321-4.-Pour les besoins de la sécurité des systèmes d'information, l'obligation prévue à l'article 40 du code de procédure pénale n'est pas applicable à l'égard d'une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d'information une information sur l'existence d'une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données."
"L'autorité préserve la confidentialité de l'identité de la personne à l'origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée."
"L'autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d'avertir l'hébergeur, l'opérateur ou le responsable du système d'information."
L’information vise les vulnérabilités de sécurité des SI (art. 323-1) mais sans doute pas les autres délits informatiques prévus aux articles 323-2 (entraver et fausser le fonctionnement d’un SI), 323-3 (introduction de données, extraction, transmission, reproduction, suppression, modification des données) et 323-3-1 (programmes malveillants), ainsi que les infractions commises en groupe ou en bande organisée. Ces dernières infractions peuvent, en effet, causer des dommages importants au responsable du SI. L’un des points essentiels sera de déterminer les conditions de la bonne foi de la personne ayant détecté la vulnérabilité, étant observé que si la personne agit dans le cadre d’un programme de Bug bounty, on peut supposer que la bonne foi est présumée dans la mesure où le programme est déterminé par l’utilisateur, c’est à dire l’entreprise (idem pour la société qui réalise un Pentest).Il en va de même, si l’informateur a pénétré dans le site et qu’il s’en retire dès le moment où il s’aperçoit qu’il accède à une partie du site ou des données protégées.
Toutefois, comme le texte ne précise pas si la personne qui informe l’ANSSI est en interne ou externe à l’entreprise, on peut penser que l’adage "Ubi lex non distinguit, nec nos distinguere debemus" (Là où la loi ne distingue pas, il n’y a pas lieu de distinguer) s’applique. Mais rien n’empêche l’ANSSI de dénoncer le lanceur d’alertes au procureur, tout dépendra des circonstances de la cause (ex : le lanceur d’alertes est malveillant ou il a rendu publique la vulnérabilité). Lors des débats au Sénat, Mme Axelle Lemaire a estimé, avec justesse, que "l’ANSSI est composée des meilleurs informaticiens de notre pays, lesquels sont susceptibles d’un point de vue technique, du fait de leur expertise, de comprendre plus rapidement que ne pourrait certainement le faire le système judiciaire si la détection de la faille avait une intention malveillante ou s’il s’agit d’un signalement sincère et non frauduleux".
Finalement, on est en présence d’une protection a minima mais apparemment efficace, puisque le responsable du traitement pourra toujours attaquer le lanceur d’alertes sur le fondement d'une introduction frauduleuse dans le SI ou sur d’autres fondements, sans qu’il puisse bénéficier d’une quelconque immunité dans le cadre de l'article 323-1 du code pénal. Tel pourra être le cas lorsque une entreprise ayant mis en place des moyens de sécurité (ex. : SOC, SIEM) détecte une intrusion. Outre, le cas échéant, son obligation de notifier à l’ANSSI l’incident de sécurité (LPM ou directive SRI), elle peut toujours porter plainte auprès du Procureur de la République. Mais les lanceurs d’alertes ayant procédé à l’information conformément au Code de la défense, seraient en droit de bénéficier d’une intervention de l’ANSSI auprès de l’autorité judiciaire permettant d’aboutir à un classement sans suite ou à une relaxe. L’application de ce texte sera à suivre …
Eric A. Caprioli
Docteur en droit, Avocat à la Cour de Paris
Membre de la délégation française aux Nations Unies
Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.
