Intervention de Yves Rome

L’alerte éthique a été récemment introduite dans notre droit et figure désormais dans plusieurs dispositions législatives. Par ailleurs, des projets de directives européennes comprenant des dispositions sur cette question sont en discussion.

Toutes ces mesures ont pour point commun de régir la situation d’une personne qui pense avoir découvert des éléments graves et les porte à la connaissance d’autrui. Ces dispositions ont pour objet de protéger les intéressés s’ils ont agi de bonne foi.

C’est exactement le cas des personnes dénommées les « hackers blancs ». Il s’agit de spécialistes en sécurité informatique qui parviennent à s’introduire dans les failles existantes des systèmes d’informations d’une organisation, non pour se servir des données piratées à des fins mal intentionnées, mais pour avertir le responsable du traitement de leur découverte.

Cette action animée par la bonne foi doit être appréciée à sa juste mesure et mieux encadrée, car la préservation des membres de la communauté informatique qui entreprennent des démarches d’alerte vertueuses permettra d’améliorer le niveau global de sécurisation des systèmes d’information à l’échelle nationale.

Nous convenons que la rédaction retenue par l’Assemblée nationale n’était pas satisfaisante, mais la solution retenue par la commission des lois qui introduit une exception à l’article 40 du code de procédure pénale et supprime l’exemption ne nous paraît pas opportune.

Pour ce qui nous concerne, nous souhaitons garantir aux lanceurs d’alerte la confidentialité de leur identité s’ils transmettent à l’ANSSI des informations sur des failles de sécurité qu’ils n’ont pas obtenues frauduleusement. L’Agence pourra alors vérifier ces informations et, lorsque leur véracité est avérée, avertir le propriétaire du système d’information.