Les lanceurs d’alerte, notamment de sécurité informatique, bénéficient d’une protection particulière organisée par le droit français. La définition du statut de lanceur d’alerte et de leur protection est issue de la loi du 9 décembre 2016. À la suite de plusieurs affaires très médiatisées, la nécessité d’organiser une protection particulière pour les lanceurs d’alerte en sécurité informatique est apparue comme grandissante. Après de nombreux amendements proposés par les députés, la protection des lanceurs d’alerte de sécurité informatique fut introduite à l’article 47 de la loi pour une République numérique (aussi appelée Loi Lemaire), loi promulguée le 7 octobre 2016. L’Union européenne travaille par ailleurs sur un projet de directive, afin d’harmoniser les législations nationales des Etats membres en matière de protection des lanceurs d’alerte, tout en mettant en place un niveau de protection minimal commun aux Etats membres.
Législations françaises relative à la protection des lanceurs d’alerte
Les lanceurs d’alerte
En février 2016, Le Conseil d’État, à la demande du Premier ministre, réalise une dressant un bilan critique des dispositions adoptées depuis 2007 relatives aux lanceurs d’alerte. Il y définit les lanceurs d’alerte comme des personnes qui « signalent, de bonne foi, librement et dans l’intérêt général, de l’intérieur d’une organisation ou de l’extérieur, des manquements graves à la loi ou des risques graves menaçant des intérêts publics ou privés, dont ils ne sont pas l’auteur ». Le lanceur d’alerte n’est pas l’auteur des faits qu’il dénonce ou signale : il est totalement extérieur à l’infraction dénoncée ou signalée, ne participant pas même à un ou plusieurs actes matériels de l’infraction, car sinon il en serait l’auteur, le coauteur ou le complice.
L’article 6 de la loi du 9 décembre 2016 définit le lanceur d’alerte comme « une personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice grave pour l’intérêt général, dont elle a eu personnellement connaissance ».
D’après cette définition, le lanceur d’alerte doit avoir eu « personnellement connaissance » des faits susceptibles d’être révélés : les informations ne relevant que du ouï-dire ou de la supputation sont ainsi exclues du champ d’application de cet article. D’autre part, le lanceur d’alerte doit agir « de manière désintéressée et de bonne foi », écartant toute possibilité d’exercer une alerte dans son intérêt propre. Dans son rendu le 21 septembre 2016, le député Sébastien Denaja explicitait les objectifs de cette formulation : « nous [les députés] refusons la vision anglo-saxonne qui, à certains égards, transforme les lanceurs d’alerte en chasseurs de prime. En France, au lieu de chasseurs de primes, nous voulons des gens qui défendent l’intérêt général et qui le fassent de bonne foi ». Si la mauvaise foi ou l’intention de nuire du lanceur d’alerte est caractérisée, il peut être poursuivi sur le fondement de l’article 1240 du Code civil, engageant sa responsabilité civile, ou être poursuivi sur le fondement de la dénonciation calomnieuse, mettant en jeu sa responsabilité pénale.
Le lanceur d’alerte peut signaler des faits selon trois canaux, dont la gradation est prévue par la loi du 9 décembre 2016 dans l’objectif de préserver les intérêts de l’entreprise et ceux du lanceur d’alerte.
- Tout d’abord, il faut porter le signalement de l’alerte à la connaissance du supérieur hiérarchique direct ou indirect, de l’employeur ou d’un référent désigné par ce dernier (notamment le déontologue de l’entreprise ou de l’administration).
- Dans un second temps, si aucune suite n’est donnée dans un délai raisonnable, le lanceur d’alerte peut saisir l’autorité judiciaire ou administrative ou l’ordre professionnel concerné.
- Enfin, à défaut du traitement du signalement par les autorités ou les ordres professionnels dans un délai de trois mois, le lanceur d’alerte peut révéler les faits à l’opinion publique. La loi prévoit que s’il existe un danger ou un risque de dommages irréversibles, ou s’il n’existe pas de dispositif de recueil des signalements dans l’entreprise, l’alerte peut être donnée directement auprès de l’autorité administrative, judiciaire, ou de l’opinion publique. L’article 40 du code de procédure pénale impose toutefois à toute « autorité constituée, officier public, ou fonctionnaire dans l’exercice de ses fonctions » de porter à la connaissance du procureur de la République les faits susceptibles de constituer une infraction : cette catégorie d’individus ne bénéficiant donc pas des trois strates de signalement prévues pour les lanceurs d’alerte.
Les lanceurs d’alerte de sécurité informatique
Le 25 février 2000, le Tribunal de Grande Instance de Paris rendait un arrêt dans une affaire de fraude à la carte bancaire, dans laquelle un informaticien avait été condamné pour avoir réalisé un accès frauduleux. L’auteur invoquait la recherche de failles de sécurité comme une démarche purement scientifique, animée d’un esprit de sécurisation des systèmes. Le prévenu a tout de même été condamné, considérant qu’était constitué le délit d’accès frauduleux car il avait été réalisé « contre le gré du maître du système ».
Dans une autre affaire, la question posée était de savoir si un professionnel de la sécurité informatique pouvait légalement attaquer des systèmes potentiellement vulnérables afin de mettre en exergue des défauts réels, ou supposés, de sécurité. Le TGI de Paris trancha dans un arrêt rendu le 2 juin 2006, répondant à la question de manière négative. Les juges condamnent ainsi le prévenu pour accès et maintien frauduleux (323-1 du Code pénal), entrave et faussement du système (323-2), atteinte aux données (323-3), et pour la tentative de réalisation de ces infractions (323-7). Ainsi, cela conforte la position de la jurisprudence selon laquelle la recherche non autorisée de vulnérabilités d’un système n’est pas un motif exonérant l’auteur de la responsabilité pénale prévue par la loi Godfrain.
Deux jurisprudences (Bluetouff et Zataz) ont connu un grand retentissement médiatique, et ont également motivé la volonté d’introduire des dispositions protégeant les lanceurs d’alerte de sécurité informatique. Certaines personnes, lorsqu’elles découvrent une faille sur un site, avertissent le responsable du site afin de permettre la résolution du problème et la protection des données vulnérables, ces personnes jouant ainsi un rôle de lanceur d’alerte. Cela a motivé la rédaction d’amendements parlementaires lors de l’examen de la loi pour une République numérique.
L’amendement n°496 au projet de Loi pour une République numérique, déposé par deux députés écologistes, proposait d’exempter de poursuite une personne qui aurait commis des faits relevant de l’accès ou du maintien frauduleux dans un système de traitement automatisé de données, mais qui aurait immédiatement prévenu les autorités, la CNIL ou le responsable du traitement.
L’amendement n°651 (rect) visant à la même exemption de poursuite était proposé par des députés républicains, notamment Nathalie Kosciusko-Morizet, prévoyant plusieurs conditions : la démonstration de la bonne foi du lanceur d’alerte, une alerte immédiatement adressée aux autorités ou au responsable du système et une intervention utile, permettant d’éviter l’exploitation d’une faille.
Ces amendements n’ont toutefois pas emporté la faveur des parlementaires. L’amendement n°271 (rect), proposé par des députés socialistes, emportera l’accord des députés, et prévoit que : « toute personne qui a tenté de commettre ou a commis le délit d’accès ou de maintien frauduleux serait exemptée de peine, si elle a immédiatement averti l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de donnée en cause d’un risque d’atteinte aux données ou au fonctionnement du système[1] ».
La différence entre ces amendements tient en ce que si la personne est uniquement exemptée de peine, alors l’exemption n’intervient qu’après la reconnaissance de la culpabilité ; elle n’interdit ni la poursuite, ni le jugement, ni la reconnaissance de culpabilité. Le prévenu devra notamment assurer le coût de sa défense. L’amendement adopté par l’Assemblée Nationale n’a néanmoins pas été retenu par le Sénat, et ne figure pas dans le texte de loi adopté.
Protection des lanceurs d’alerte, principe d’opportunité des poursuites et rôle de l’ANSSI : La solution trouvée par les sénateurs
Devant le Sénat, lors de l’examen de l’amendement n°271 adopté par l’Assemblée Nationale, le rapporteur estimait qu’une telle immunité pénale « ne peut qu’encourager le développement des attaques informatiques puisqu’il suffirait d’un email pour échapper à toute peine ». Le sénateur Alain Richard allait même jusqu’à déclarer que « C’est un jeu intellectuel pervers que de justifier n’importe quel délit en persuadant l’opinion publique que son auteur sert l’intérêt général ». Les sénateurs n’ont pas retenu cet amendement, préférant s’orienter vers une autre solution.
Le Sénat a adopté un amendement proposé par Christophe-André Frassa, qui fut inséré à l’article 47 de la loi Lemaire et est codifié à l’article L.2321-4 du code de la défense. Cette disposition prévoit une dispense des obligations prévues par l’article 40 du code de procédure pénale au profit de l’ANSSI, lorsque celle-ci est saisie par un internaute ayant agi de bonne foi, sans avoir donné une publicité à sa découverte.
Ainsi, si un internaute de bonne foi alerte l’ANSSI de l’existence d’une faille de sécurité, les fonctionnaires de cette agence ne seraient pas alors obligés de dénoncer cette intrusion au procureur de la République.
L’ANSSI, lorsqu’elle reçoit une information sur l’existence d’une vulnérabilité concernant la sécurité d’un STAD, « préserve la confidentialité de l’identité de la personne à l’origine de la transmission, ainsi que des conditions dans lesquelles cette transmission a été effectuée ». Elle peut également « procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace lui étant présentée pour avertir l’hébergeur, l’opérateur ou le responsable du système d’information ».
Cette dispense prévue par l’article 40 de cette loi ne fait néanmoins pas obstacle à l’exercice de l’action publique, qui demeure une prérogative du parquet. Ce dernier peut donc poursuivre la personne à l’origine de la transmission s’il estime que l’infraction est constituée, et en particulier si existe une plaine de la victime. L’exemption pénale pour les lanceurs d’alerte de sécurité informatique a donc été abandonnée, au profit de la non-obligation pour les fonctionnaires de l’ANSSI, de dénoncer systématiquement ces agissements au procureur de la République.
Les signataires de ces amendements ont blâmé ces alternatives : « en exemptant de peine mais pas de poursuite [rédaction AN], ou en se contentant d’autoriser l’ANSSI à ne pas poursuivre systématiquement le lanceur d’alerte [rédaction Sénat], ces dispositions n’apportent pas une véritable sécurité à ce dernier, qui risque toujours des poursuites [même s’il n’y a pas de peine à la fin] et qui devra assumer le coût de sa défense[2] ».
Vers une directive européenne protégeant les lanceurs d’alerte ?
Une directive européenne[3] est un acte législatif fixant des objectifs aux Etats membres de l’UE. Si une directive précise les objectifs à atteindre, chaque Etat membre peut librement choisir et mettre en œuvre les moyens pour atteindre cet objectif. Une directive ne s’applique pas directement aux Etats membres (à la différence du règlement) ; elle nécessite d’être transposée par les Etats membres dans leur droit national, généralement via une loi de transposition. Les Etats membres disposent d’un délai (variant de 6 mois à 2 ans) pour intégrer la directive dans leur législation nationale via ce mécanisme de transposition. Enfin, la directive laisse une marge de manœuvre aux Etats membres ; tant que les Etats membres respectent l’objectif de la directive, ils peuvent adapter, ajouter ou préciser certaines mesures. Cet instrument permet donc de rapprocher les législations des Etats membres, en établissant un niveau de protection minimal commun aux Etats membres, tout en permettant aux Etats membres de respecter leurs traditions nationales.
Une directive pour la protection des lanceurs d’alerte est en préparation depuis 2016. Proposée par la Commission, le Conseil de l’UE a toutefois remis en cause cette directive le 19 décembre 2018. Dans un billet datant du 27 décembre 2018 présentant le travail à venir du parlement européen, on peut lire que « Les députés continueront à travailler sur des propositions visant à renforcer la protection des lanceurs d’alerte à travers l’UE suite à de nombreux scandales comme le Dieselgate, les Luxleaks, les « Panama Papers » et le scandale liant Facebook et Cambridge Analytica ».
On retrouve ici alors une volonté de couvrir, avec cette directive, le champ de l’évasion fiscale, volonté qui viendrait directement des retentissantes affaires touchant au sujet, notamment Luxleaks en novembre 2014 et la position d’Antoine Deltour, lanceur d’alerte à l’origine de ces révélations. La dernière version de la directive proposée par la Commission englobe tous les secteurs pouvant être concernés par l’alerte : environnement, protection des consommateurs, santé publique, concurrence, évasion fiscale. Le Conseil de l’UE a toutefois indiqué qu’il souhaiterait à la place 5 textes distincts : respectivement pour la fiscalité, la sécurité des armes, la sécurité nucléaire, la concurrence et les aides d’Etat, et un dernier pour le reste.
Le Conseil justifie cette idée par le fait qu’une alerte qui serait en rapport avec l’évasion fiscale concernerait l’harmonisation de la politique fiscale européenne, et qu’un tel texte devrait alors, comme tout texte relatif à la fiscalité, être voté à l’unanimité par les pays membres, d’après l’article 115 du traité sur le fonctionnement de l’UE (TFUE). Il est ainsi possible que le sujet de l’évasion fiscale soit extrait de la directive. De telles réticences viendraient particulièrement de l’Irlande, du Luxembourg et du Royaume-Uni : « plusieurs États membres sont favorables à ce texte, mais des oppositions apparaissent au fur et à mesure que l’on s’approche de la fin du processus, indique Virginie Rozière. Des États très à cheval sur la question fiscale craignent que l’on finisse par atteindre une définition harmonisée et contraignante de l’évitement fiscal, qui tomberait sur le coup de la loi. »
Virginie Rozière dénonce également une tentative de « manœuvre dilatoire » au regard des élections européennes du 23 mai 2019, et estime que si « le Conseil insistait pour une séparation du texte, [ils] repartiraient à zéro. La Commission devra refaire une proposition de texte dans plusieurs mois ». Afin de résister à cette volonté du conseil, elle indique que « L’idée est de faire monter la pression dans les différents États-membres pour que l’on n’ait pas de minorité de blocage. Il nous faut une majorité des deux tiers au Conseil qui décide d’avancer sur le texte pour que l’on ait une chance de boucler avant la fin du mandat. »
Après une discussion entre la Commission et le Conseil de l’UE, ce dernier a adopté un texte vendredi 25 janvier 2019. Ce dernier est particulièrement restrictif, ne permettant par exemple pas au lanceur d’alerte « de se tourner directement vers les médias, sauf en cas de danger imminent ou manifeste pour l’intérêt public, d’un risque de dommage irréversible ou en cas de collusion entre l’autorité compétente et l’auteur de l’infraction ». Par ailleurs, ce texte prévoit que seuls les actes ou omissions illégaux au regard du droit de l’UE sont couverts par la protection, conception restrictive, car elle n’englobe pas les actes qui menacent ou portent préjudice à l’intérêt général. Le Conseil et le Parlement ont ouvert les négociations le mardi 29 janvier 2019, afin de se mettre d’accord sur un texte commun.
Il s’agira in fine d’étudier quel régime la directive adoptera, en ce que si elle diffère trop substantiellement de celui prévu par la loi française, notre dispositif nécessitera d’être remis en conformité avec la norme européenne.
Club Droit et IE – Inès Demmou