[Dans le cadre de l’intégration du cabinet ATIPIC, nous publions ici d’anciens articles sur des thématiques ou analyses qui nous semblent toujours pertinentes dans le cadre du Droit des Nouvelles Technologies.]

Dans deux articles de Silicon.fr des 8 juin et 21 octobre 2016 de Silicon.fr (Lanceurs d’Alerte : des conséquences floues pour les DSI et Hacker éthique : la législation française enfin claire?), Me François Coupez, fondateur du cabinet ATIPIC Avocat et actuellement associé du cabinet implid Legal, répond aux questions d’Ariane Becky sur la loi Sapin 2 et la loi pour une République Numérique qui accorde une « protection » aux White hats.
(Ces derniers sont des lanceurs d’alerte qui informent volontairement les entreprises des vulnérabilités que pourraient connaître leurs systèmes d’information.)

« L’Anssi apparaît bien comme le second point de contact officiel, en plus du responsable du système d’information objet des vulnérabilités » Me François Coupez.

La loi Lemaire publiée le 7 octobre 2016 a en effet consacré une certaine immunité aux White hats. Ils ont alors informé immédiatement l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) des vulnérabilités et failles que pourraient connaître certains systèmes d’information.

Le nouvel L2321-4 du Code de la défense concerne ainsi la « personne de bonne foi qui transmet à la seule Autorité Nationale de Sécurité des Systèmes d’Information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données. »

Cette protection accordée aux White hats consiste ainsi en une neutralisation du pouvoir de poursuite pénale du procureur de la République prévu à l’article 40 du code de procédure pénale.

Toutefois, un dépôt de plainte contre le hacker intrus par le responsable du SI en question est toujours possible. Cependant, « l’intervention de l’Anssi pourra être de nature à tempérer les ardeurs de l’entreprise (ciblée par l’intrusion) lors d’une éventuelle plainte, et aboutir, là aussi, à une meilleure protection des White hats » selon François Coupez.

La loi pour une République Numérique vient ainsi compléter l’article 6 de la loi Sapin 2 qui avait créé le statut du lanceur d’alerte, sans envisager spécifiquement l’hypothèse du White hat. Or son activité était toujours soumise aux incriminations du code pénal, ce qui pouvait mettre en porte à faux certains DSI, comme l’explique Me Coupez dans l’article du 8 juin.  En effet, l’activité des White hats tombe en principe sous le coup de la loi. Le code pénal réprime notamment le fait pour un tiers de s’introduire dans un SI, d’y dérober des données ou encore d’y introduire des programmes malveillants.

La Loi Lemaire déroge également à l’obligation des agents publics de dénoncer au parquet les crimes ou délits dont ils auraient connaissance. Ceci permettra aux agents de l’Anssi de ne pas exposer judiciairement les lanceurs d’alerte. Me François Coupez analyse que le texte « va surtout permettre une officialisation (de la pratique de l’Anssi) ».

Merci à Ariane Beacky et bonne lecture !

FRCO

François Coupez, Avocat à la cour, Associé, spécialiste en droit des nouvelles technologies

Parmi ses domaines d’expertises : droit de l’innovation, cybersécurité, droit de l’internet, contrats informatiques, protection des données personnelles, propriété intellectuelle.

Me François Coupez est avocat à la Cour, associé en charge de la practice Droit du numérique/Data. Titulaire des certifications « nouvelles technologies » délivré par le CNB et DPO (agrément CNIL), François met sa double compétence en droit et technologies de l’information au service de nombreuses grandes entreprises depuis près de 20 ans afin de les conseiller et de les assister face à leurs contraintes réglementaires.
Vice-président du club R2GS, il est également Senior Advisor du Cybercercle et membre de l’ANJB, de Cyberlex, ou encore de l’AFCDP. Il est l’auteur de nombreux articles de doctrine, conférencier et formateur (en Master II à Paris II, au CELSA, à Dauphine, au CNAM, etc.).