Adaptation au droit de l'union européenne dans le domaine de la sécurité — Texte n° 554

Amendement N° 48 (Rejeté)

Publié le 29 janvier 2018 par : Mme Obono, Mme Autain, M. Bernalicis, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Panot, M. Prud'homme, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin, Mme Taurine.

Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia 
Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia Photo issue du site de l'Assemblée nationale ou de Wikipedia 

Le Gouvernement remet au Parlement, dans un délai de six mois à compter de la promulgation de la présente loi, un rapport proposant la création d'un statut juridique spécifique pour les « chasseurs de failles informatiques » et les programmes dits de « prime de bug » ou « bug bounty », afin de promouvoir la cybersécurité informatique par amélioration continue et encourager la contribution de ces mêmes spécialistes informatiques.

Exposé sommaire :

Par cet amendement, nous souhaitons utilement soutenir les efforts de renforcement de notre cybersécurité.

En effet, ce alors même que l'informatique est devenue structurante dans et pour le fonctionnement de nombreux services publics, administrations, entreprises, associations, les vulnérabilités de sécurité informatique sont devenues d'autant plus nombreuses.

C'est ainsi développé une activité pouvant être à la fois lucrative et non lucrative, celle des « découvreurs de failles », ou « chasseurs de vulnérabilités de sécurité ». En effet, un « bug bounty » (ou « prime » de dysfonctionnement) est une récompense qu'une entreprise peut offrir à tous ceux qui trouvent des failles de sécurité dans un périmètre donné.

Nous sommes conscients de l'importance de ces « bug bounty » et de ce travail de fond des « découvreurs de failles », puisque contrairement aux interventions ponctuelles de sociétés en conseil informatique extérieures, les « bug bounty » permettent une amélioration continue contre des attaques ou tentatives d'attaques qui se renouvellement quasi quotidiennement, tant dans leurs méthodes que dans leur ampleur.

A cet effet, nous proposons ici qu'un rapport puisse permettre la création d'un statut juridique des « chasseurs de faille », qui puisse permettre qu'hors des séquences de « bug bounty » organisés par une entreprise elle-même, ou un organisme lui-même, le « chasseur de faille » pourra disposer d'une protection (et ne pas se voir directement menacé d'être accusé de piratage informatique / d'être dans l'illégalité). Ceci permettrait en outre de faire basculer du bon côté un grand nombre de spécialistes informatiques qui restent dans une zone oscillant entre la légalité et l'illégalité (dénommés « grey hats » en référence aux « blancs / white : spécialistes éthiques et »black / noirs« : spécialistes dans l'ombre et dans l'illégalité).

Cet amendement va de pair avec un autre amendement, qui lui est un amendement d'appel et législatif sur cette question.

Si lors de l'examen en Commission des lois ou en séance publique, le-la rapporteur-e refuse de se prononcer pour ou contre sur le fond de cet amendement, en arguant du fait qu'un tel amendement qui n'aurait pas pour but de transposer une directive européenne serait inconstitutionnel, en se référant à la jurisprudence du Conseil constitutionnel (Décision n° 2015‑719 DC du 13 août 2015 où ce dernier a estimé que “que, s'agissant d'une loi ayant pour objet de transposer des directives communautaires en matière pénale, des dispositions ayant pour objet de transposer des directives européennes relatives à la matière pénale autres que celles figurant dans le projet de loi initial présentent un lien direct avec le texte déposé. En revanche, des dispositions pénales n'ayant pas pour objet de transposer une directive européenne ne présentent pas un tel lien.”), le rapporteur - consciemment ou non - est soit malhonnête, soit se fourvoie.

=> En effet, cette jurisprudence du Conseil constitutionnel est d'ores et déjà explicitement restrictive puisqu'elle ne concerne explicitement que la matière pénale (ce qui n'est pas le cas ici en l'espèce). A noter que ce n'est pas la décision du Conseil elle-même qui précise tous ces points, mais… son communiqué de pressehttp ://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2015/2015‑719-dc/communique-de-presse.144290.html#)

=> En effet, l'interprétation de cette décision du Conseil constitutionnel est particulièrement capillotractée, puisqu'il suffit de lire les motifs même de cette décision n° 2015‑719 DC du 13 août 2015 pour lire que les amendements ont été jugés inconstitutionnels parce qu'ils “n'ont pas de lien, même indirect, avec le projet de loi initial, ont été adoptés selon une procédure contraire à la Constitution ; que, dès lors, ces articles sont contraires à la Constitution ;”. On remarquera par ailleurs que cette fameuse décision du Conseil constitutionnel n'a pas fait l'objet d'exégèse précise par le Conseil lui-même à part ce communiqué de presse - particulièrement indigent- , puisqu'elle n'est même pas commentée dans les Commentaires aux Cahiers du Conseil constitutionnel.

=> Enfin, si c'est là l'interprétation du Président de l'Assemblée nationale (qui selon le règlement de l'Assemblée nationale est le seul à pouvoir apprécier la recevabilité des amendements - articles 89 et 93), alors nous proposons que les services de l'Assemblée assument d'opposer directement l'irrecevabilité constitutionnelle au nom des articles 88‑1 et 88‑4 de la Constitution (liés à la participation de la France à l'Union européenne et sur la base desquelles le Conseil constitutionnel a dégagé l'exigence à valeur constitutionnelle de transposition des directives N° 2010‑605 DC. Il s'agit d'une décision très risquée étant donnée qu'elle s'opposerait directement avec les article 44 et 45 de la Constitution sur le droit d'amendement des parlementaires. C'est justement parce que cette position n'a absolument rien d'évident et pose de réels problèmes en termes d'effectivité du droit d'amendement que le présent amendement a bien été jugé recevable et que le président de l'Assemblée nationale n'osera pas le juger irrecevable en ce qu'il méconnaîtrait la Constitution en ne constituant pas une simple transposition de directive.

Nous vous serions donc reconnaissants de ne pas être hypocrites en tordant le droit pour des motivations politiciennes.

Aucun commentaire n'a encore été formulé sur cet amendement.

Cette législature étant désormais achevée, les commentaires sont désactivés.
Vous pouvez commenter les travaux des nouveaux députés sur le NosDéputés.fr de la législature en cours.