Signalement par un lanceur d’alerte : adresser une alerte à l’ANSSI

Conformément au cadre légal en vigueur, l’ANSSI a mis en place un dispositif spécifique pour recueillir et traiter les signalements des lanceurs d’alerte.

Publié le 07 Septembre 2023 Mis à jour le 28 Novembre 2023

En quoi consiste le dispositif de signalement par un lanceur d’alerte ?

Le dispositif de signalement par un lanceur d’alerte concerne des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, une violation ou une tentative de dissimulation d’une violation d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, du droit de l’Union européenne, de la loi ou du règlement.

Les faits, informations et documents, quel que soit leur forme ou leur support, dont la révélation ou la divulgation est interdite par les dispositions relatives au secret de la défense nationale, au secret médical, au secret des délibérations judiciaires, au secret de l’enquête ou de l’instruction judiciaires ou au secret professionnel de l’avocat sont exclus du régime de l’alerte.

Signaler une alerte à l’ANSSI n’est pas un acte anodin. En effet, le dispositif lanceur d’alerte ne prévoit pas de dispense à l’article 40 du code de procédure pénale qui dispose que :

Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs.

Article 40, Code de procédure pénale, Légifrance

Quels types de signalements sont traités par l’ANSSI ?

Il est possible de saisir l’ANSSI au titre du dispositif lanceur d’alerte en cas de non-respect d’une disposition issue d’un cadre réglementaire en matière de sécurité des systèmes d’information susceptible de faire l’objet d’une sanction :

  1. manquements au respect par les opérateurs de services essentiels (OSE) des règles de sécurité nécessaires à la protection de leurs systèmes d’information essentiels, prévues par l’article 6 de la loi n°2018-133 du 26 février 2018 ;
  2. manquements au respect par les fournisseurs de services numériques (FSN) des mesures de sécurité nécessaires à la protection des réseaux et systèmes d’information nécessaires à la fourniture de leurs services dans l’Union européenne, prévues par l’article 12 de la loi n°2018-133 du 26 février 2018 ;
  3. manquements au respect des obligations d’information sans délai de l’ANSSI des incidents affectant la sécurité ou le fonctionnement de leurs systèmes d’information d’importance vitale par les OIV, de leurs systèmes d’information essentiels par les OSE, des réseaux et systèmes d’information nécessaires à la fourniture de leurs services dans l’Union européenne par les FSN, qui découlent respectivement de l’article L 1332-6-2 du Code de la Défense et des articles 7 et 13 de la loi n°2018-133 du 26 février 2018 ;
  4. manquements au respect par les prestataires de service de confiance, qualifiés ou non, des dispositions du règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur ;
  5. manquements au respect par les autorités administratives ou les prestataires de services de confiance aux exigences prévues par le Référentiel général de sécurité ;
  6. manquements au respect par les entités concernées par le décret 2019-1088 (sécurité du système d’information et de communication de l’Etat et de ses établissements publics) modifié aux exigences qui y – sont prévues ;
  7. manquements au respect par les organismes manipulant des informations sensibles aux exigences prévues par l’II 901.
  1. au titre de la certification nationale (décret 2002-535 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information) ;
  2. au titre de la qualification nationale (décret 2010-112 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives et décret 2015-350 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information) ;
  3. au titre de la certification européenne (règlement européen (UE) 2019/881 relatif à la certification de cybersécurité des technologies de l’information et des communications).
  1. au titre de l’article D.98-5 du Code des postes et des communications électroniques (CPCE) ;
  2. au titre de l’article L.33-14, al.2, du CPCE ;
  3. au titre de l’article L.33-14, al.5, du CPCE ;
  4. au titre de l’article L.2321-2-1 du Code de la défense.
  1. au titre du contrôle des moyens de cryptologie (articles 29 à 40 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique) ;
  2. au titre du contrôle R226 (art 226-3 du Code pénal) ;
  3. au titre du régime d’autorisation préalable de l’exploitation des équipements de réseaux radioélectriques de 5ème génération (article L34-11 du CPCE).

Si vous avez un doute quant à votre signalement ou pour toute question sur le statut des lanceurs d’alerte, vous pouvez contacter le Défenseur des droits, en charge de coordonner l’action des autorités externes en matière de signalement de lanceurs d’alerte :

  • par téléphone au 09 69 39 00 00
  • par voie électronique via son site Internet : defenseurdesdroits.fr
  • par courrier gratuit sans affranchissement à :Défenseur des droits – Libre réponse 71120 – 75342 Paris CEDEX 07.

L’ANSSI vous invite à indiquer clairement votre statut de lanceur d’alerte en la contactant :

  • par voie postale: ANSSI/CERT-FR : 51, boulevard de La Tour-Maubourg 75700 PARIS 07 SP FRANCE.

Le signalement s’effectue par écrit et sous double enveloppe :

  • sur l’enveloppe intérieure figurera EXCLUSIVEMENT la mention suivante :

SIGNALEMENT D’UNE ALERTE AU TITRE DE LA LOI DU 9 DECEMBRE 2016

EFFECTUÉ LE (date de l’envoi)

  • sur l’enveloppe extérieure figurera l’adresse d’expédition

Le respect de ces modalités d’envoi garantit la confidentialité des informations transmises.

  • par voie électronique à l’adresse : lanceurdalerte@ssi.gouv.fr, en privilégiant un envoi chiffré grâce à un conteneur Zed! ou à PGP
  • par téléphone : au +33 (0)1 71 75 84 68.

Un accusé réception sera adressé sous 7 jours à l’auteur de l’envoi comportant un numéro identifiant qui sera ensuite utilisé pour les échanges.

L’existence de procédures au sein de l’ANSSI de recueil et de traitement des signalements n’exclut pas la possibilité pour les auteurs de signalements qui remplissent les conditions pour y avoir recours de procéder à un signalement interne dans l’entité à laquelle ils appartiennent et au sein de laquelle les faits faisant l’objet de l’alerte se sont produits ou sont très susceptibles de se produire.

Les suites du signalement

Lorsque le signalement ne respecte pas les conditions prévues par l’article 6 de la loi du 9 décembre 2016, le signalement est classé sans suite. L’auteur du signalement en est alors informé.

Dans le cas d’un signalement anonyme, l’ANSSI se réserve la possibilité de le classer sans suite si elle n’est pas en mesure de vérifier l’exactitude des éléments apportés.

Dans le cadre du traitement d’une alerte, l’ANSSI est susceptible de demander au lanceur d’alerte tout élément qu’elle jugerait nécessaire à l’appréciation de l’exactitude des allégations formulées.

L’ANSSI peut engager diverses actions lorsqu’un lanceur d’alerte lui adresse un signalement :

  • informer une autre autorité compétente et transmettre l’ensemble des éléments ; par exemple, un signalement relatif à un manquement au droit de la consommation sera transmis à la DGCCRF, un signalement relatif à la protection des données personnelles sera transmis à la CNIL, etc.
  • prendre attache avec la personne morale concernée pour caractériser le manquement et demander à ce qu’il y soit remédié, en fonction des pouvoirs qui lui sont dévolus dans le cadre de celui-ci (contrôle, mise en demeure, etc.).
  • procéder à sa clôture lorsqu’il est devenu sans objet ou lorsque les allégations sont inexactes, infondées, manifestement mineures, ou ne contiennent aucune nouvelle information significative par rapport à un signalement déjà clôturé.

L’ANSSI communique par écrit au lanceur d’alerte, dans un délai raisonnable n’excédant pas trois mois à compter de l’accusé de réception du signalement, ou à défaut d’accusé de réception, trois mois à compter de l’expiration d’une période de sept jours ouvrés suivant le signalement, des informations sur les mesures envisagées ou prises pour évaluer l’exactitude des allégations et, le cas échéant, remédier à l’objet du signalement ainsi que sur les motifs de ces dernières. Ce délai est porté à six mois si les circonstances particulières de l’affaire, liées notamment à sa nature ou à sa complexité, nécessitent de plus amples diligences, auquel cas l’autorité justifie de ces circonstances auprès de l’auteur du signalement avant l’expiration du délai de trois mois précédemment mentionnés.

L’ANSSI communique par écrit à l’auteur du signalement le résultat final des diligences mises en œuvre.

Comment est protégé le lanceur d’alerte ?

Garantie de confidentialité de l'identité 

La confidentialité de l’identité des auteurs du signalement, des personnes visées et de tout tiers mentionné dans le signalement est garantie.

Les éléments de nature à identifier le lanceur d’alerte ne peuvent pas être divulgués sans son accord. Ils peuvent cependant être transmis à l’autorité judiciaire, dans certains cas, conformément à l’article 9 de la loi du 9 décembre 2016.

Lorsque les personnes chargées du recueil ou du traitement des signalements doivent dénoncer les faits recueillis à l’autorité judiciaire, les éléments de nature à identifier le lanceur d’alerte peuvent également lui être communiqués.

Irresponsabilité civile 

Lorsque la procédure de signalement ou de divulgation publique est respectée, les bénéficiaires de la protection ne pourront pas être condamnés à verser des dommages et intérêts pour les dommages causés par ce signalement ou cette divulgation publique.

Le lanceur d’alerte doit avoir eu des motifs raisonnables de croire que cette procédure était nécessaire à la sauvegarde des intérêts menacés.

Irresponsabilité pénale 

Lorsque la procédure de signalement ou de divulgation publique est respectée, les bénéficiaires de la protection ne sont pas responsables pénalement.

Cette irresponsabilité s’applique aux infractions : Acte interdit par la loi et passible de sanctions pénales éventuellement commises pour obtenir les documents permettant de prouver les informations signalées ou divulguées.

Néanmoins, il ne doit pas y avoir eu infraction pour obtenir les informations proprement dites.

Protection contre des mesures de représailles, notamment disciplinaires

La protection porte sur toute mesures de représailles qui prendraient notamment l’une des formes suivantes :

  • Suspension, mise à pied, licenciement.
  • Rétrogradation ou refus de promotion.
  • Transfert de fonctions, changement de lieu de travail, réduction de salaire.
  • Suspension de la formation.
  • Évaluation de performance négative.
  • Mesures disciplinaires.
  • Non-renouvellement d’un contrat de travail à durée déterminée ou d’un contrat de travail temporaire.

Retrouvez des informations utiles relatives aux lanceurs d’alerte sur service-public.fr : Lien : Lanceurs d’alerte en entreprise | Service-public.fr.

1 Textes de référence :

2 Lien : Guide du lanceur d'alerte | Défenseur des Droits (defenseurdesdroits.fr)

Sur le même sujet :
ANSSI