On sait que la loi n°2012-410 du 27 mars 2012 relative à la protection de l’identité, parue au JO de ce mercredi 28 mars(1)JORF n°0075 du 28 mars 2012 page 5604. a été sérieusement retoquée par le Conseil constitutionnel(2)Censure totale ou partielle de 6 articles sur 12. .
Parmi les articles restants il en est un qui mérite notre attention. L’article 9 de la loi vient en effet ajouter à l’article 323-1 du Code pénal, texte qui réprime l’accès ou le maintien frauduleux dans un système de traitement automatisé de données, aka le piratage informatique, d’une peine de 2 ans de prison et de 30.000 euros d’amende. L’ajout vise à aggraver les peines lorsque l’intrusion et/ou l’altération des données « ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat ». Dans ce cas, la peine est portée à cinq ans d’emprisonnement et à 75 000 € d’amende.
Plus concrètement, les récents fuites de données dues, semble-t-il, au défaut de sécurisation du site intranet d’un groupe parlementaire de l’Assemblée Nationale, n’entraînent à notre connaissance aucune sanction à l’encontre des responsables du site (qui semblent pourtant avoir commis un délit(3)Article 226-17: « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi n°78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende ». Ledit article 34 dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »..).
En revanche, les pirates sont plus sévèrement punis.
Je conçois qu’il faille réprimer l’atteinte aux biens publics réalisés avec nos impôts, sites internet compris. Cependant, en terme d’efficacité, ne faudrait-il pas aussi appliquer les lois qui existent et sanctionner les manquements aux règles de la sécurité informatique de certains administrateurs de site internet, a fortiori lorsqu’elles ont pour conséquence la diffusion de données personnelles?
References
| ↑1 | JORF n°0075 du 28 mars 2012 page 5604. |
|---|---|
| ↑2 | Censure totale ou partielle de 6 articles sur 12. |
| ↑3 | Article 226-17: « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi n°78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende ». Ledit article 34 dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». |