Discussion :

[Stéphane le calme]

France : le gouvernement s'oppose à nouveau à la protection des lanceurs d'alerte,
lors d'une discussion sur un projet de loi à l'Assemblée nationale

De Prism à Panama Papers en passant par les révélations de télégrammes de la diplomatie américaine par WikiLeaks, ces scandales fortement médiatisés ont pu être portés à la connaissance du public grâce aux lanceurs d’alerte qui ont eu accès à l’information.

Plusieurs députés ont sans doute estimé que ces personnes devraient être protégées : ils ont apporté un amendement dans ce sens au projet de loi relatif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique qui est en discussion à l’Assemblée nationale.

Dans l’amendement, les députés rappellent que certaines personnes, lorsqu’elles découvrent une faille sur un site web, avertissent le responsable de ce site afin de permettre la résolution du problème et la protection des données mises en danger. Elles jouent ainsi un rôle utile de lanceur d’alerte.

Or, selon le Code pénal, tout accès non autorisé à un système peut être considéré comme frauduleux (articles 323-1 alinéa 1). Le simple fait de vérifier l’existence d’une faille constitue un accès non autorisé, donc une infraction.

Dans la jurisprudence Kitetoa (2002), un journaliste qui avait trouvé des données clients en accès libre sur le site du groupe Tati, avait prévenu ce dernier d’une faille sur son site web. Tati l’avait néanmoins attaqué en justice pour accès frauduleux à son système d’information. Après avoir été condamné en première instance, le journaliste avait finalement été relaxé en appel, au motif que d'après ART. 6 N° 72 2/2 puisque les données étaient librement accessibles par un simple navigateur web, et n’étaient pas indiquées comme n’étant pas publiques, on ne pouvait pas sanctionner le fait d’y accéder.

L’arrêt du 9 septembre 2009 de la Cour d’appel de Paris, statuant en référé dans l’affaire Zataz, apporte un point de vue différent. Dans une affaire a priori similaire, la Cour énonce que l’accès non autorisé à un système constitue un « trouble manifestement illicite », et le journaliste qui avait signalé la faille de sécurité dans le système de la société FLP s’est vu ordonner de rendre inaccessible son article et de détruire les pièces copiées sur le serveur, tout en étant condamné aux dépens.

Les élus ont également évoqué l’affaire Bluetouff dans laquelle la Cour de cassation a rejeté en mai 2015 le pourvoi d’un blogueur condamné à 3000 € d’amende pour avoir téléchargé des fichiers sur le site d’une agence de sécurité sanitaire, fichiers qui étaient pourtant en accès libre du fait d’un défaut de sécurisation du site.

Aussi, afin de permettre aux internautes de continuer à exercer leur vigilance sur les failles de sécurité, jouant ainsi le rôle utile de sentinelles du web, et afin d’éviter la répétition de jurisprudences contradictoires et incertaines, les députés ont estimé qu’il serait souhaitable d’établir un cadre juridique exonérant de responsabilité les lanceurs d’alerte, personnes détectant et signalant les failles de sécurité informatique sans intention de nuire, par exemple en s’inspirant de l’article 221-5-3 du Code pénal qui dispose pour les assassinats : « Toute personne qui a tenté de commettre les crimes d’assassinat ou d’empoisonnement est exempte de peine si, ayant averti l’autorité administrative ou judiciaire, elle a permis d’éviter la mort de la victime et d’identifier, le cas échéant, les autres auteurs ou complices ».

Dans le projet de loi numérique pour une République numérique, un amendement similaire avait été rejeté. Pierre Morel-A-L'Huissier a tenu à rappeler que « contrairement à ce qui avait été dit au cours des débats, son adoption ne permettrait aucunement à un hacker malveillant de rechercher l’impunité en envoyant un avertissement après avoir commis des actes hostiles contre le système d’information ou après avoir volé des informations ».

Pour rappel, les élus avaient proposé que l'article soit ainsi modifié « toute personne qui a tenté de commettre ou commis le délit prévu aux alinéas précédents est exempte de peine si, ayant averti immédiatement l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause, elle a permis d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».

La proposition n’avait pas reçu l’aval du gouvernement, même si la secrétaire d'État chargée du numérique a compris l'importance du sujet et a décidé de s'en remettre au Conseil d'État qui doit prochainement rendre un avis sur la question : « le Conseil d'État travaille à une étude globale sur la question des lanceurs d'alerte », a-t-elle assuré.

Cette fois-ci également la demande de réexamen de cet amendement a aussi obtenu un avis défavorable. En clair, l’amendement n° 72 visant à protéger les lanceurs d’alerte n’a donc pas été adopté.

Source : amendement 72 (au format PDF), compte rendu intégral de la séance du 7 juin 2016 (Assemblée nationale)

Voir aussi :

Le gouvernement rejette un amendement qui prévoit de protéger les « lanceurs d'alerte de sécurité » sous certaines réserves

le forum actualités politique

[RyzenOC]

C'est logique, ils vont pas protéger ceux qui veulent dénoncer leurs petites magouillent.

[noremorse]

J'espère que cela n'empêchera pas aux lanceurs d'alerte de continuer de dénoncer les magouilles du gouvernement et des multinationales.

[LSMetag]

Ils devraient pourtant établir un cadre juridique pour ce genre de cas.

Il y a 3 cas : les failles de sécurité, la dénonciation d'actes hors la loi, et la dénonciation éthique.

1) C'est vrai qu'on peut penser qu'avant de dévoiler la faille, il y a peut-être déjà eu diffusion des données ou autres. On ne sait pas. Même pour une personne qui ne téléchargerait qu'un fichier sans importance, on pourrait se demander si elle n'a fait que ça.
Je pense qu'officieusement il y a déjà des lanceurs d'alertes protégés. Mais il y a aussi des entreprises si fières ou qui ont peur pour leur commerce qu'il ne faut surtout pas qu'on apprenne qu'il y avait une faille !
Pour les problèmes de sécurité il y a Google ou Microsoft qui rémunèrent les lanceurs d'alertes quand apprentissage d'une faille. Je trouve au contraire que c'est un gage de confiance pour la réputation de sécurité d'une appli.

2) Pour les scandales qui bafouent la loi, je serais justement contre des poursuites liées à la pénétration d'un système d'informations et la protection de ces personnes. Dénoncer des gens hors la loi ne devrait pas être puni par la loi. Par aucune loi même.

3) Là c'est embêtant. Mais je pense que le soutiens de la population et de certains politiques doivent peser pour qu'ils ne soient pas durement condamnés. Du sursis au pire.

Le sujet n'est pas clos non plus. Ils attendent l'avis du Conseil d'Etat avant de légiférer là-dessus. Car en substance, le "vol de données confidentielles" est condamné par la loi. Ce n'est pas si facile de prouver que la personne est EXCLUSIVEMENT lanceur d'alertes.

D'autres personnes ne sont pas du tout inquiétées par la justice, mais le problème c'est qu'après plus personne ne veut les embaucher...

[gstratege]

On m'a enseigné qu'il y a une séparation entre le pouvoir exécutif (gouvernement) et le pouvoir législatif en France
On m'aurait menti ?

[VivienD]

Protéger les lanceurs d'alerte est un projet à double tranchant pour la gens politica. Certes, cela pourrait restaurer le peu de crédibilité qu'il lui reste, mais au risque de «décriminaliser» ceux qui mettront au jour les opérations guère légales auxquelles elle s'adonne gaiement dans le feutré, mais qu'elle décrie publiquement, sans doute par démagogie. En fait, cela créerait à terme un contre-pouvoir sur lequel cette caste n'aurait, dans le «meilleur» de cas, que très peu d'influence et c'est surtout ça qu'elle cherche à éviter.

Ils devraient pourtant établir un cadre juridique pour ce genre de cas.

Il y a 3 cas : les failles de sécurité, la dénonciation d'actes hors la loi, et la dénonciation éthique.

1) C'est vrai qu'on peut penser qu'avant de dévoiler la faille, il y a peut-être déjà eu diffusion des données ou autres. On ne sait pas. Même pour une personne qui ne téléchargerait qu'un fichier sans importance, on pourrait se demander si elle n'a fait que ça.
Je pense qu'officieusement il y a déjà des lanceurs d'alertes protégés. Mais il y a aussi des entreprises si fières ou qui ont peur pour leur commerce qu'il ne faut surtout pas qu'on apprenne qu'il y avait une faille !
Pour les problèmes de sécurité il y a Google ou Microsoft qui rémunèrent les lanceurs d'alertes quand apprentissage d'une faille. Je trouve au contraire que c'est un gage de confiance pour la réputation de sécurité d'une appli.

2) Pour les scandales qui bafouent la loi, je serais justement contre des poursuites liées à la pénétration d'un système d'informations et la protection de ces personnes. Dénoncer des gens hors la loi ne devrait pas être puni par la loi. Par aucune loi même.

3) Là c'est embêtant. Mais je pense que le soutiens de la population et de certains politiques doivent peser pour qu'ils ne soient pas durement condamnés. Du sursis au pire.

Le sujet n'est pas clos non plus. Ils attendent l'avis du Conseil d'Etat avant de légiférer là-dessus. Car en substance, le "vol de données confidentielles" est condamné par la loi. Ce n'est pas si facile de prouver que la personne est EXCLUSIVEMENT lanceur d'alertes.

[...]

Je te rejoins sur ce point: si toutefois ce projet finit, malgré tout, à voir le jour, je considère, moi aussi, qu'il faut distinguer plusieurs cas de figures; et la catégorisation que tu proposes me semble convenir, même s'il y a peut-être moyen d'affiner la chose. D'autre part, il faudra aussi légiférer sur la distinction entre lanceur d'alerte et simple de voleur de données, afin d'éviter, autant que faire ce peut, qu'il y ait de zones grises.

On m'a enseigné qu'il y a une séparation entre le pouvoir exécutif (gouvernement) et le pouvoir législatif en France
On m'aurait menti ?

Le recours à l'article 49, alinéa 3, de la Constitution dans le cadre du projet de loi El-Khomri aurait déjà dû te mettre la puce à l'oreille.

[Saverok]

Je pense qu'il faut distinguer 3 cas :
1/ on voit une faille de sécurité et on la signale
Je trouve que c'est du sens et du civisme.
C'est exactement la même chose que voir un nid de poule sur une route ou une grille d'égout cassée sur le trottoir et le signaler à sa mairie.
Internet est un espace public après tout.

2/ on force un système délibérément, on voit un truc illégal et on le dénonce.
Là, je peux comprendre qu'il y ait débat.
C'est un peu comme un cambrioleur qui découvre des photos pédophiles dans la maison qu'il vole et dénonce le propriétaire de la maison.
Il ne fait aucun doute que le pédophile présumé doit être poursuivi par la justice mais est-ce que ça excuse le cambrioleur pour autant ?

3/ on est salarié, on a accès aux données sécurisées et protégées de son entreprise et on y apprend que celle-ci se prête à des activités illégales que l'on dénonce.
D'un côté, on ne peut pas se montrer complice de ces agissements et il est moral de les dénoncer.
D'un autre côté, comment une entreprise peut elle faire confiance à ses salariés ?
Le débat est ouvert et n'est pas simple.
Surtout dans les cas récents où l'on parle de sécurité nationale (snowden) ou du secret bancaire (luxleaks, panama papers)

[ManusDei]

Autant appeler les choses par leur nom, il s'agissait d'un amendement pour protéger les "white hat".
Il est signé par Lionel Tardy au passage, probablement le seul parlementaire compétent sur le numérique.

L'exemple du cambrioleur est carrément hors sujet.

[LSMetag]

Autant appeler les choses par leur nom, il s'agissait d'un amendement pour protéger les "white hat".
Il est signé par Lionel Tardy au passage, probablement le seul parlementaire compétent sur le numérique.

L'exemple du cambrioleur est carrément hors sujet.

Oui mais comment être sûr que le White Hat n'est pas une couverture ? Il faudrait limite en faire un métier.

[Squisqui]

1/ on voit une faille de sécurité et on la signale

2/ on force un système délibérément, on voit un truc illégal et on le dénonce.

S'il faut s'introduire dans un système dans le but d'en voir le contenu, c'est de la violation de vie privé ou de l'espionnage industriel suivant les cas. Dans un monde idéal, je dis bien idéal, ce serait le job d'un service de renseignement (qui en l'état ne sont que des pirates anarchiques au compte de haut fonctionnaires peu recommandables).
Pour tout autre but non malveillant, j'espère un jour que ça rentre dans ton 1er point. Les réseaux wifi font souvent peine à voir (yolo, je peux jouer avec la lumière connectée de la chambre voisine dans un hôtel).

3/ on est salarié, on a accès aux données sécurisées et protégées de son entreprise et on y apprend que celle-ci se prête à des activités illégales que l'on dénonce.

Tu es parfaitement dans ton droit. Tu utilises ton droit de retrait si tu es directement impliqué et tu dénonces les activités illégales de la société pour laquelle tu as travaillé. Mais il faut avoir du courage et une famille qui accepte que tu quittes le confort d'un emploi stable.
Pour rendre les choses plus faciles, il faut que le salarié soit anonyme.

[Paradoxalix]

Il est très clair à mes yeux que la réponse à donner en cette occasion n'est pas d'ordre technique mais d'ordre éthique ; qu'un magouilleur professionnel comme un avocat ou un politicien ne puisse pas imaginer qu'on puisse le confondre par quel que moyen que ce soit me semble une évidence absolue.

Ceux qui vivent grâce à L'omerta ne seront jamais favorable aux lanceurs d'alertes ; ergoter sur la légitimité du regard de celui qui clame que le roi est nu est en soi une présomption de magouillage évidente pour un enfant de cinq ans.

Les puissants vous demanderont toujours des comptes en affirmant "les yeux dans les yeux " qu'ils sont innocents ... ils ne peuvent pas comprendre qu'ils seraient comme vous et moi responsables de leurs actes.

Les salauds sont une caste partout !

[Paul_Le_Heros]

Les enfants*: cessez de murmurer et faites confiance à ceux que vous avez élus. C’est ça la démocratie représentative.