Déposé le 24 juin 2013 par : M. Brottes.
Après l'article 323‑7 du code pénal, il est inséré un article 323‑8 ainsi rédigé :
« Art. 323‑8. – Les infractions prévues au présent chapitre ne sont pas applicables aux membres de la Commission nationale de l'informatique et des libertés, ainsi qu'aux agents de ses services habilités dans les conditions définies au dernier alinéa de l'article 19 de la loi n° 78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, lorsqu'ils agissent dans le cadre des contrôles prévus à l'article 44 de cette loi. ».
Cet amendement est le corollaire de l'amendement précédent visant à donner aux constatations effectuées sur internet par les agents de la CNIL une force probante
En effet, l'adoption du précédent amendement rend indispensable l'adoption de la présente disposition, pour garantir aux agents de la CNIL qui procèderont à des constatations en ligne que leur responsabilité pénale ne sera pas engagée dans le cadre ce cette mission.
En effet, toute personne qui s'introduit dans un système de traitement automatisé de données, même sans « hacker » ce système, mais simplement par une faille existante, court le risque de voir sa responsabilité pénale engagée sur le fondement de la loi n°88‑19 du 5 janvier 1988 sur la fraude informatique, dite « Loi Godfrain ».
Or, la CNIL est chargée par le législateur de s'assurer de la sécurité des traitements de données, et de mettre en demeure, le cas échéant, le responsable de traitement d'y remédier sans délai. Pour pouvoir constater ces failles, souvent temporaires, la seule procédure existante est celle du contrôle sur place, qui apparaît inadaptée comme précisé dans l'exposé sommaire du précédent amendement. Il faut donc que la CNIL, d'une part, puisse constater ces failles « béantes » dans les conditions déjà indiquées, mais aussi que la simple constatation de l'existence de ces failles, là encore sans aucun « hacking » des systèmes de sécurité, puisse être opérée sans risque pénal pour les agents.
Cette mesure serait strictement limitée aux constatations faites par les agents « lorsqu'ils agissent dans le cadre des contrôles prévus à l'article 44 », sans qu'il soit possible pour eux de tenter de s'introduire dans un système de traitement automatisé de données qui est protégé. Un agent qui tenterait de s'introduire dans le système d'un site internet en « hackant » ses dispositifs de sécurité, pourrait toujours bien évidemment être mis en cause pénalement.
Il ne s'agit donc nullement de permettre aux agents de la CNIL de « hacker » des sites internet, ou de s'introduire illégalement dans les serveurs de ces sites en passant outre des dispositifs de sécurité, mais uniquement de leur permettre de procéder à ces constatations en ligne, comme pourrait le faire n'importe quel citoyen qui accède à un site internet depuis n'importe quel ordinateur. Sans cette disposition, chaque agent qui constaterait qu'un site internet divulgue, par accident par exemple, des données personnelles, pourrait être mis en cause pénalement pour cela.
Aucun commentaire n'a encore été formulé sur cet amendement.