Intervention de Christophe-André Frassa

Ces amendements ont pour objet de rétablir le texte issu des travaux de l’Assemblée nationale.

Je souhaite, au préalable, écarter tout doute sur les intentions de la commission des lois et surtout prévenir toute confusion, que l’actualité immédiate pourrait introduire dans nos débats, sur l’article 20 septies.

L’objet de cet article est de protéger non pas des lanceurs d’alerte, mais des « hackers blancs », c’est-à-dire des informaticiens. C’est bien là tout l’enjeu des dispositifs qui vous sont soumis, mes chers collègues, l’un au travers de ces deux amendements, l’autre via les deux qui suivront.

Ces deux dispositifs sont diamétralement opposés, de même que les philosophies qui y prévalent.

J’en viens à l’avis de la commission des lois sur les amendements n° 464 et 541 rectifié.

La commission a supprimé la rédaction adoptée par l’Assemblée nationale, laquelle, sous prétexte de protéger certaines personnes qui, de bonne foi, signalent des failles de sécurité, est une véritable incitation au délit, voire au crime.

Selon ce dispositif, toute personne qui accéderait frauduleusement et intentionnellement à un système de traitement automatisé de données, un STAD, afin de supprimer des données ou d’alerter sur son fonctionnement, par exemple, devrait être exemptée de peine, dès lors qu’elle aurait contacté après son forfait le responsable du traitement en cause. Une telle immunité ne peut qu’encourager le développement des attaques informatiques, puisqu’il suffirait d’un courriel pour échapper à toute peine.

De plus, cette rédaction tend à exonérer également ceux qui tentent d’accéder frauduleusement à un STAD. Or la tentative n’est constituée que « lorsqu’elle n’a été suspendue ou n’a manqué son effet qu’en raison de circonstances indépendantes de la volonté de son auteur ».

En somme, cela offrirait une immunité même à ceux qui attaquent sans succès un STAD, du fait d’une sécurité convenable, et donc de l’absence de faille informatique, ou de leur arrestation, notamment par les forces de sécurité avant l’accomplissement de leur action.

Je tiens à souligner que, contrairement à ce qui a pu être dit à l’Assemblée nationale, le signalement d’une faille informatique au responsable dudit traitement n’est pas pénalement répréhensible lorsque la vulnérabilité était apparente à tout internaute.

En revanche, la publication en ligne desdites failles est, quant à elle, répréhensible quand elle vise à faciliter d’autres attaques. L’article 323-3-1 du code pénal réprime en effet le fait, sans motif légitime, de « mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçue ou spécialement adaptée afin de permettre une atteinte à un système de traitement informatisé des données ».

Si informer le responsable du traitement de l’existence d’une vulnérabilité relève d’un objectif d’intérêt général, il en va autrement de la mise à disposition auprès de tiers d’une information facilitant la commission d’infractions.

Je suis donc très défavorable à ces amendements.

Je considère néanmoins qu’il est essentiel de favoriser le signalement des failles de sécurité. C’est pour cela que la commission des lois a adopté un dispositif de guichet auprès de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, notamment pour qu’elle ne soit pas tenue de dénoncer des faits illégaux dont elle pourrait avoir connaissance lorsque la personne est de bonne foi et qu’elle n’a pas fait de publicité autour de la faille.

Je propose même d’améliorer encore le dispositif. Ce sera l’objet de mon amendement n° 636.

Dans ces conditions, je vous demande, mes chers collègues, de bien vouloir retirer vos amendements. À défaut, l’avis de la commission sera, je le répète, très défavorable.