Les lanceurs d’alerte et les failles de sécurité sont un sujet d’importance, qui fut soulevé lors des débats en commission. Je m’étais alors engagée à vous faire part, en séance, de la position précise du Gouvernement.
Il arrive que des personnes expertes en numérique ou en informatique, parfois appelées « pirates » ou « hackers », identifient des failles de sécurité ou des documents mal sécurisés : par crainte de sanctions pénales, elles ne le font pas toujours savoir aux entreprises ou administrations concernées.
Le droit pénal offre déjà des garanties, puisqu’il est nécessaire de démontrer l’intentionnalité de la faute. Lorsque l’entité concernée n’a pas sécurisé certains documents, il arrive cependant que ce ceux-ci soient accessibles directement via le moteur de recherche. Les dispositions du droit pénal peuvent alors s’appliquer contre celui qui a signalé la faille, et non contre celui qui a mal sécurisé le système.
Dans le monde actuel, la sécurisation des informations, des données personnelles et des infrastructures revêt un caractère de plus en plus fondamental, voire vital. Dans cette démarche d’amélioration constante de la sécurité informatique, le Gouvernement a beaucoup fait. Il a d’abord engagé avec l’Agence nationale de la sécurité des systèmes d’information – ANSSI –, à travers la création d’une nouvelle catégorie d’opérateurs d’importance vitale, un travail de fond pour améliorer la sécurité de nos installations. Nous avons aussi, avec le Premier ministre, lancé une stratégie en matière de cybersécurité. Avec la Commission nationale de l’informatique et des libertés – CNIL –, ce projet de loi et le prochain règlement, nous encourageons les démarches de sécurité ; j’ai moi-même lancé un appel à projets pour la protection des données personnelles : vingt-sept projets ont ainsi été recueillis pour améliorer très concrètement la sécurité numérique de nos concitoyens.
Avec le débat que vous soulevez, une autre modalité, tout aussi essentielle, s’ouvre à nous : faire alliance avec la multitude d’informaticiens compétents et avec la communauté externe des développeurs pour identifier et corriger plus rapidement les failles de sécurité dans un cadre légal sûr.
Il n’est aucunement question d’introduire une exemption pénale qui permettrait à des personnes délibérément hostiles de se voir exonérées de toute responsabilité : le Conseil d’État – encore lui – travaille d’ailleurs à une étude plus générale sur les lanceurs d’alerte. Il convient cependant de garantir l’immunité pénale des lanceurs d’alerte dont l’action a permis l’amélioration globale de la sécurité. L’ANSSI y est favorable, de même que le secrétariat général de la défense et de la sécurité nationale, et les Pays-Bas ont introduit dans leur droit une disposition similaire. Aussi le Gouvernement émet-il un avis de sagesse bienveillante sur l’amendement.