Chronique juri-geek

Chronique juri-geek

Lanceur d’alerte, « leaker » et hacker : le bon, la brute et le truand ?

Vol au dessus d'un nid de données. HypnoArt/Pixabay

Le 12 mai dernier, une cyberattaque massive a suscité l’inquiétude dans le monde entier. Mais les hackers rançonneurs ne sont pas les seuls à peupler la galaxie numérique. D’autres personnages comme les leakers et les lanceurs d’alerte (tel Chelsea Manning, dont on attend la libération prochaine) existent. Comment distinguer ces trois profils souvent amalgamés ?

Le hacker : auteur d’une infraction pénale

Ce qui caractérise le pirate informatique comme on l’appelle couramment est la fraude qui est commise de mauvaise foi : le téléchargement illégal de fichiers est l’exemple le plus courant. Le droit français réprime en effet l’introduction, la modification et la suppression frauduleuses de données ainsi que leur extraction, détention, reproduction et transmission frauduleuses.

Le cyberattaqueur n’est ni plus ni moins que l’auteur d’une infraction pénale où l’informatique est l’objet du délit et non le moyen de commission : accès non autorisé, maintien dans le système informatique (intrusion), piratage de site Internet, vol de données, chantage informatique… Le code pénal dispose que « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 euros d’amende » (affaire « Bluetoof », 2015), alors que pour la suppression ou la modification de données contenues dans le système, ou l’altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 euros d’amende.

À savoir que lorsque ces infractions sont commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à cinq ans d’emprisonnement et à 150 000 euros d’amende (art.323-1). En ce qui concerne la « prise d’otage » de données, il s’agit d’une entrave au fonctionnement du système informatique, puni (comme le fait de le fausser) d’une peine de cinq ans d’emprisonnement et à 150 000 euros d’amende (art.323-2).

Hier, on piratait votre carte bancaire, demain, on vous cambriolera et on volera votre voiture en accédant au réseau… Mais à ce jour, la cybercriminalité malgré ses nombreuses occurrences et son impact colossal sur les individus, les entreprises et les États ne reçoit pas de définition juridique ni en France, ni dans l’Union européenne. Secteur privé et gouvernements se voient contraints d’allouer des ressources de plus en plus importantes à la lutte contre le cybercrime : seuls des efforts coordonnés face à cette menace globale rendront moins attractif le piratage des données de masse et de l’intelligence artificielle. Cela nécessitera de franchir un cap dans la coopération internationale et c’est précisément ce que l’ONU préconise.

Transparence, secret gouvernemental et démocratie

Seul le lanceur d’alerte bénéficie d’un statut juridique en raison de son rôle essentiel dans la protection de l’intérêt général car il divulgue des pratiques illégales, immorales ou illégitimes qu’il constate dans le cadre de son activité professionnelle à un instant précis. Le salarié lance une alerte : lever le secret est nécessaire pour dénoncer une atteinte à l’intérêt public et dans le but d’y mettre un terme en appelant les autorités à intervenir pour adopter des sanctions. Un exemple récent est la dénonciation de la fraude commise par Uber. En France, plusieurs lois ont défini les modalités à respecter, avec en dernier lieu la loi Sapin II qui a repris les éléments de la loi Noé voulue par Emmanuel Macron.

Les entreprises de plus de 50 salariés doivent mettre en place pour le 1ᵉʳ janvier 2018 une procédure particulière pour faire remonter les signalements de lanceurs d’alerte potentiels, qu’ils soient membres de la société ou collaborateurs extérieurs. Attention toutefois à ne pas contacter les médias ou faire ses révélations sur les réseaux sociaux ! Le signalement doit respecter le cheminement prévu par le texte avec une hiérarchie donnant la priorité à la procédure interne à la structure à laquelle le salarié appartient afin de bénéficier d’une protection contre des représailles (cf la Recommandation du Conseil de l’Europe de 2014).

Secret gouvernemental et idéologie de la transparence

Historiquement, le lanceur d’alerte est né aux États-Unis avec le « Whistleblower Protection Act » avec toutefois pour limite les domaines du renseignement et de la défense et tout ce qui relève de la diplomatie et des armées. Par conséquent, dans ces domaines, l’individu ne peut pas lancer d’alerte dans le cadre d’une procédure légale donc s’il le fait, il se met dans l’illégalité. Ceci s’explique du fait que ces informations doivent être maintenues secrètes dans l’intérêt de la défense nationale ou de la conduite d’affaires étrangères, il s’agit de protéger le secret gouvernemental.

Or, comme l’a souligné la Cour européenne des droits de l’homme en 2008 :

« Dans un système démocratique, les actions ou omissions du gouvernement doivent se trouver placées sous le contrôle attentif non seulement des pouvoirs législatif et judiciaire, mais aussi des médias et de l’opinion publique » (§74).

De là à concevoir le « fuiteur » d’information (leaker) comme un militant de la transparence démocratique il n’y a qu’un pas. Dans ce monde complexe où les citoyens se sentent privés des moyens de s’approprier une question, peut-on encore considérer le fuiteur d’information comme un simple lanceur d’alerte hors la loi ? Dénoncer des faits précis de l’administration et obtenir ainsi l’appui de l’opinion publique confirme que le fuiteur d’info peut tout à fait poursuivre des objectifs démocratiques mais le fait qu’il soit démuni de protection légale le décrédibilise. Les cas d’Edward Snowden et Chelsea Manning en sont la parfaite illustration.

Faire de telles révélations est le cœur de l’activité de Wikileaks et des Anonymous par exemple, contrairement au lanceur d’alerte qui franchit le cap de la divulgation à l’occasion d’un événement isolé. L’objectif poursuivi ici n’est pas d’obtenir l’appui des autorités pour sanctionner une pratique illégale mais de porter à l’attention du public une information d’intérêt public, peu importe que la divulgation soit illégale. L’individu désobéit à l’interdiction de divulgation non pas pour contester le principe du secret gouvernemental, mais parce que les conséquences de celui-ci sont selon lui dommageables pour l’intérêt du public.

L’action de tels fuiteurs vise à faire évoluer l’équilibre reflété par le cadre juridique actuel entre protection du secret gouvernemental et intérêt public. Une réflexion a été lancée par Open Society Foundations (réseau de fondations créé par Georges Soros) avec les principes globaux sur la sécurité nationale et le droit à l’information afin de guider les personnes impliquées dans la rédaction, la révision ou la mise en œuvre de lois ou de dispositions liées à l’autorité de l’État à retenir des informations pour des raisons de sécurité nationale ou à punir la divulgation de telles informations. Ces principes sont basés sur les lois, normes et bonnes pratiques nationales et internationales, ainsi que sur des publications d’experts et visent à protéger les lanceurs d’alerte dans les secteurs qui en sont à ce jour exclus.

The Conversation is a non-profit + your donation is tax deductible. Help knowledge-based, ethical journalism today.