14 octobre 2016 
Au delà du titre un brin provocateur, la Loi pour une République Numérique vient, parmi de nombreuses dispositions toutes plus intéressantes les unes que les autres et sur lesquelles nous reviendrons prochainement plus en détail, d’opérer un changement de cap concernant la façon de traiter les atteintes au système d’information d’un tiers.
Rappelons que l’article 323-1 du Code pénal sanctionne la pratique du hacking frauduleux.
Il rend les intrusions dans un système de traitement automatisé de données passibles de deux ans d’emprisonnement et de 60 000 euros d’amende.
L’alinéa 2 de ce même article prévoit même une aggravation de peine lorsque l’accès frauduleux au système a entrainé la suppression ou la modification des données ou l’altération du fonctionnement du système (3 ans d’emprisonnement et de 100 000 euros d’amende).
Par ailleurs, lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 150 000 euros d’amende.
De nombreuses décisions sont déjà venues sanctionner le fait de tenter de profiter d’une faille de sécurité d’un site au motif que l’auteur de l’atteinte au système d’information avait tenté de s’y introduire frauduleusement ou, alors même qu’il n’avait pas forcé la sécurité, il était démontré qu’il s’était maintenu dans ledit système en sachant que son accès était originellement restreint[1].
L’accès frauduleux est constitué dès lors qu’une personne non habilitée pénètre dans un système de traitement automatisé de données tout en sachant qu’elle est dépourvue d’autorisation.
L’article 86 de la récente Loi pour une République Numérique, lequel est en vigueur depuis le 9 octobre dernier dispose désormais que le code de la défense est complété en son article L. 2321-4 par la mention suivante :
« Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.
L’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.
L’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information ».[2]
Par le biais de cet article, le Gouvernement annonce « vouloir favoriser la protection des citoyens détecteurs de faille informatique, connus aussi sous le nom de « hackers blancs », afin de les inciter à révéler ces failles à l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI), sans recourir de risque pénal pour cette action ».
Jusqu’ici, pour ne pas être condamné pour l’incrimination d’accès ou de maintien frauduleux d’accès dans un système de traitement automatisé de données prévue à l’article 323-1 du Code pénal, il fallait soit avoir été mandaté expressément par le responsable du système d’information pour tester la sécurité dudit système (autorisation préalable) soit s’y être introduit par hasard (ex : par le biais d’une recherche Google) et l’avoir quitté à partir du moment où l’on s’est aperçu qu’il n’était pas d’accès libre (cf. bonne foi).
La loi pour une République Numérique en son article 86 transposé dans l’article L. 2321-4 du code de la défense permet désormais d’éviter toute sanction pénale si la faille de sécurité découverte par le hacker sur le système d’information d’un tiers est spontanément communiquée à l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI).
En réalité, cette nouvelle disposition de la Loi autorisera l’ANSSI à ne pas dénoncer le hacker, mais elle ne permettra pas pour autant à ce dernier, s’il est poursuivi par le responsable du système d’information, qui découvre par le biais d’une enquête l’infraction commise pour pénétrer frauduleusement son système d’information, de bénéficier d’une relaxe.
Il ne reste plus qu’à attendre de voir si cette « exemption » partielle déclenche ou non les vocations de transmission d’information que l’Etat semble appeler de ses vœux.
[1] (Cour d’appel de Paris Pôle 4, chambre 10 Arrêt du 5 février 2014 – Affaire dite Bluetooth)
[2] C’est déjà une exception à l’article 40 du Code de procédure pénale qui permet à la Commission de Protection des Droits de la HADOPI de décider de ne pas informer immédiatement le Procureur de la république des faits constatés lesquels pourraient être considérés comme étant de la contrefaçon lorsqu’elle s’aperçoit, preuves à l’appui, que le réseau d’un internaute a servi à télécharger illégalement un contenu sur un réseau peer-to-peer.
La Loi HADOPI lui permet de préférer l’envoi de deux recommandations à l’internaute indélicat avant transmission éventuelle, si l’abonné ne sécurise toujours pas son réseau de son dossier au Procureur de la république aux fins de poursuite éventuelle du chef de négligence caractérisée.
Clair & Net par Me Sadry PORLON, Avocat au Barreau de Paris 
Pas encore de commentaire... Lancez-vous!