Comme je l’annonçais précédemment, l’amendement que je présente, au nom de la commission des lois, vise à compléter le dispositif proposé par celle-ci à l'article L. 2321-4 du code de la défense, en permettant à l'Agence nationale de sécurité des systèmes d'information, service de l'État désigné par le Premier ministre, de préserver vis-à-vis des tiers la confidentialité de l'identité de la personne leur ayant transmis une information concernant une vulnérabilité – le hacker blanc –, mais également à donner un fondement légal aux opérations techniques réalisées par l'ANSSI.
Il s’agit d’encadrer de manière solide et pérenne le dispositif, afin de supprimer la faille législative, juridique et – à mon sens, la plus dangereuse – philosophique qui subsiste dans la rédaction du texte tel qu’issu des travaux de l’Assemblée nationale. Cette faille constitue vraiment une porte ouverte, et même un encouragement, à la commission de délits, voire davantage.
Je ne serai pas plus long sur la présentation de cet amendement. Nous avons repris deux alinéas qui permettent, je le répète, de préserver la confidentialité, ce qui est essentiel pour garantir la sécurité des hackers blancs, et surtout de donner un fondement légal aux opérations de l’ANSSI.
J’en viens à l’avis de la commission sur l’amendement présenté par M. Rome.
Cet amendement est intéressant, mais vous comprendrez que, comme rapporteur, je préfère celui de la commission ! Celui-ci reprend l’idée retenue par la commission des lois dans le texte qui nous est soumis de remplacer une exemption dans le code pénal par un dispositif propre à l’ANSSI lui permettant d’agir en tant que guichet de signalement des vulnérabilités.
Néanmoins, je m’interroge sur la normativité du premier alinéa. Faut-il préciser qu’un tiers peut transmettre une information à l’ANSSI ? Par principe, tout le monde peut envoyer un mail à cette agence.
Monsieur Rome, tout comme le mien, votre amendement vise à préserver la confidentialité de l’identité de la personne signalant la faille vis-à-vis des tiers et à donner un fondement légal aux opérations techniques réalisées par l’ANSSI. Nous nous rejoignons sur ces points, sur lesquels nous avons bien une démarche commune.
Cependant, à la différence de l’amendement que je propose au nom de la commission des lois, le vôtre ne tend à créer aucune dérogation à l’article 40 du code de procédure pénale : il maintient donc l’obligation qui pèse sur l’ANSSI de dénoncer à l’autorité judiciaire les faits illégaux dont elle aurait connaissance. Il n’est par conséquent pas de nature à encourager les personnes de bonne foi à signaler les failles à l’ANSSI.
Il me semble que mon amendement dessine une voie médiane et plus mesurée – pour une fois on ne pourra pas me reprocher le contraire !
Je vous demande donc de retirer votre amendement au profit de celui de la commission des lois.