Déposé le 22 mars 2010 par : MM. Türk, Amoudry.
Après l'article 7, insérer un article additionnel ainsi rédigé :
A l'article 226-17 du code pénal, les mots : « à l'article » sont remplacés par les mots : « au premier alinéa de l'article ».
L'article 7 de la proposition de loi propose une nouvelle rédaction de l'article 34 de la loi « informatique et libertés » afin d'introduire dans notre droit l'obligation de notification des failles de sécurité. Cette nouvelle obligation est souhaitable car elle améliorera le niveau de sécurité des systèmes d'information tout en anticipant la transposition dans notre droit d'une nouvelle directive européenne modifiant le « paquet télécom ».
Cette nouvelle obligation soulève toutefois une difficulté juridique puisque notre code pénal (article 226-17) punit d'une peine de 5 ans d'emprisonnement et de 300 000 euros d'amende le fait de mettre en œuvre un fichier en méconnaissance des obligations de sécurité prévues à l'article 34 de la loi « informatique et libertés ».
Dès lors, la conjonction de l'introduction de cette nouvelle obligation de notification des failles de sécurité avec ces dispositions pénales inchangées pourrait conduire les responsables des traitements concernés à devoir s'accuser d'être auteurs de la commission d'un délit, ce qui n'est pas envisageable. En effet, le texte de l'article 34 prévoit que, en l'absence d'un correspondant « informatique et libertés », c'est à la CNIL que le responsable de traitement doit notifier la faille de sécurité. Or, les agents de la CNIL, comme tous les agents publics, doivent dénoncer au Procureur de la République toutes les infractions dont ils ont connaissance dans le cadre de l'exercice de leur fonction (article 40 du code de procédure pénale). Ce mécanisme conduirait donc bien les personnes à s'auto-dénoncer au risque d'être ensuite poursuivies.
C'est pourquoi le présent amendement propose que le délit de défaut de sécurité prévu à l'article 226-17 du code pénal ne soit pas applicable à la notification des failles de sécurité, ce qui renforcera d'ailleurs l'incitation des responsables à effectuer cette notification.
Aucun commentaire n'a encore été formulé sur cet amendement.