Intervention de Pierre Morel-A-L'Huissier

Le présent amendement a pour objet de protéger les lanceurs d’alerte de sécurité informatique.

Certaines personnes, lorsqu’elles découvrent une faille sur un site internet, avertissent le responsable de ce site afin de permettre la résolution du problème et la protection des données mises en danger. Elles jouent ainsi un rôle utile de lanceurs d’alerte.

Or, selon l’article 323-1 alinéa 1 du code pénal, tout accès non autorisé à un système peut être considéré comme frauduleux. Le simple fait de vérifier l’existence d’une faille constitue un accès non autorisé, donc une infraction.

Plusieurs décisions de justice ont été rendues en la matière, mais elles sont contradictoires : je pense notamment aux affaires Kitetoa en 2002, Zataz en 2009 et Bluetouff en 2015. Le risque est de dissuader ceux qui découvrent des failles de les signaler aux responsables informatiques par peur de poursuites judiciaires.

Un amendement identique avait été proposé dans le cadre de l’examen du projet de loi pour une République numérique. Contrairement à ce qui avait été dit au cours des débats, son adoption ne permettrait aucunement à un hacker malveillant de rechercher l’impunité en envoyant un avertissement après avoir commis des actes hostiles contre le système d’information ou après avoir volé des informations.

C’est pourquoi nous vous proposons de réexaminer aujourd’hui cet amendement.