Me François Coupez répond à Silicon.fr sur la protection des White hats accordée par la loi Lemaire.

Dans deux articles de Silicon.fr des 8 juin et 21 octobre 2016 de Silicon.fr (Lanceurs d’Alerte : des conséquences floues pour les DSI et Hacker éthique : la législation française enfin claire?), Me François Coupez répond aux questions d’Ariane Becky sur la loi Sapin 2 et la loi pour une République Numérique qui accorde une « protection » aux Whites hat.  

Ces derniers sont des lanceurs d’alerte qui informent volontairement les entreprises des vulnérabilités que pourraient connaître leurs systèmes d’information.

« L’Anssi apparaît bien comme le second point de contact officiel, en plus du responsable du système d’information objet des vulnérabilités » Me François Coupez.

La loi Lemaire publiée le 7 octobre 2016 a en effet consacrée une certaine immunité aux White hats. Ils alors informer immédiatement l’Agence nationale de la sécurité des systèmes d’information (ANSSI) des vulnérabilités et failles que pourraient connaître certains systèmes d’information.

Le nouvel L2321-4 du Code de la défense concerne ainsi la « personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données. »

Cette protection accordée aux White hats consiste ainsi en une neutralisation du pouvoir de poursuite pénale du procureur de la République prévu à l’article 40 du code de procédure pénale.

Toutefois, un dépôt de plainte contre le hacker intrus par le responsable du SI en question est toujours possible. Cependant, « l’intervention de l’Anssi pourra être de nature à tempérer les ardeurs de l’entreprise (ciblée par l’intrusion) lors d’une éventuelle plainte, et aboutir, là aussi, à une meilleure protection des white hais » selon François Coupez.

La loi pour une République Numérique vient ainsi compléter l’article 6 de la loi Sapin 2 qui avait créée le statut du lanceur d’alerte, sans envisagé spécifiquement l’hypothèse du White hat. Or son activité était toujours soumis aux incriminations du code pénal, ce qui pouvait mettre en porte à faux certains DSI comme l’explique Me Coupez dans l’article du 8 juin.  En effet, l’activité des White hats tombe en principe sous le coup de la loi. Le code pénal réprime notamment le fait pour un tiers de s’introduire dans un SI, d’y dérober des données ou encore d’y introduire des programmes malveillants.

La Loi Lemaire déroge également à l’obligation des agents publics de dénoncer au parquet les crimes ou délits dont ils auraient connaissance. Ceci permettra aux agents de l’Anssi de ne pas exposer judiciairement les lanceurs d’alerte. Me Coupez analyse que le texte« va surtout permettre une officialisation (de la pratique de l’Anssi) ».

Merci à Ariane Beacky et bonne lecture!