Intervention de Isabelle Attard

Cet amendement est lié à une affaire judiciaire que je résumerai brièvement ainsi : un journaliste a été condamné pour s’être maintenu dans un extranet non sécurisé de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail – l’ANSES. Cet extranet était mal sécurisé, et l’ensemble des fichiers était accessible de manière simple depuis un moteur de recherche.

Cela signifie qu’à partir d’une simple recherche via Google, un internaute a eu accès à des documents confidentiels qui ont – c’est le plus important – d’abord été copiés et mis à disposition par Google. L’ANSES a reconnu son erreur, et a retiré sa plainte. C’est le parquet qui a choisi de poursuivre l’internaute, qui avait pourtant fait la preuve de sa bonne foi en prévenant lui-même l’ANSES dès qu’il eut compris ce problème. Le parquet n’a jamais inquiété Google ; pourtant, dans sa logique, il aurait dû reconnaître que ce dernier est bien plus coupable que l’internaute, puisque c’est cette entreprise qui a copié et mis à disposition les fichiers qui n’auraient jamais dû se retrouver en libre circulation.

À cette occasion, la Cour de cassation a renversé la jurisprudence Kitetoa qui mettait à la charge du responsable du traitement des données une obligation de sécurisation minimale de son site. C’est pourquoi cet amendement vise à rétablir cette jurisprudence : le responsable du traitement ne peut reprocher à un utilisateur d’accéder à un système de traitement automatisé de données s’il ne l’a pas sécurisé au minimum.