Interventions sur "éditeur"

L'article 34 prévoit un dispositif de remontée des vulnérabilités significatives et des incidents informatiques des éditeurs de logiciel à l'Anssi. L'agence aurait ainsi la possibilité de publier ces informations si l'entreprise n'a pas mis les utilisateurs au courant, même si la vulnérabilité n'a pas été réparée. La méthode est étonnante et s'apparente à une forme de chantage déguisé. Ce sont des procédés de hacker ! Vous autorisez l'Anssi à divulguer des données compromettantes pour faire plier sa cible. Comment jus...

Votre question rejoint la discussion que nous avons eue au précédent amendement. Si nous adoptons le vôtre, l'Anssi ne pourra agir tant que la vulnérabilité n'a pas été réparée. Dans un souci d'équilibre, il faudrait aussi prévoir que l'Anssi puisse enjoindre à l'entreprise de réparer la vulnérabilité. Sinon, il suffirait que l'éditeur ne fasse rien pour que l'incident ne soit jamais publié.

L'amendement tend à ce que seuls les utilisateurs professionnels soient informés en cas de vulnérabilité des produits, pour alléger la charge que fait peser cette disposition sur les éditeurs, sans méconnaître pour autant la portée ni l'objectif de l'article.

Si certaines dispositions législatives actuelles s'appliquent aux éditeurs de logiciel, ces derniers n'y sont pas expressément définis. Dans un souci de clarté, il conviendrait de définir la notion d'éditeur de logiciel. Ainsi, nul ne pourra prétendre se soustraire aux dispositions de l'article dès lors que son activité correspondra à la définition que nous vous proposons, dans la continuité de la jurisprudence rendue en la matière : « Toute personne assurant la conce...

Je suis favorable à tout amendement qui pourrait éclaircir la loi et je soutiens le principe de l'ajout d'une telle définition. Cependant, la rédaction que vous proposez exclurait les éditeurs de logiciel libre, ce qui fragiliserait le dispositif juridique. Je vous invite à retirer l'amendement afin de le retravailler avant l'examen en séance publique.

Il s'agit d'un amendement de repli. Nous proposons que le décret d'application précise « le type de vulnérabilité et d'incident informatique que les éditeurs de logiciel sont tenus de signaler à l'Anssi ».