Avis 20193176 Séance du 16/01/2020

Maître X, conseil de l'association X, a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 13 juin 2019, à la suite du refus opposé par le directeur général de l'association française pour le nommage internet en coopération à sa demande de communication des codes sources développés par l'AFNIC dans le cadre de sa mission de service public afférents aux opérations relatives à la suppression effective des noms de domaine, à savoir : 1) du serveur EPP ; 2) du serveur DAS ; 3) du serveur WHOIS. La commission relève que l'Association française pour le nommage internet en coopération (AFNIC) est chargée, aux termes des dispositions de l’article L45 du code des postes et des communications électroniques, « d'attribuer et de gérer les noms de domaine, au sein des domaines de premier niveau du système d'adressage par domaines de l'internet, correspondant au territoire national (…) dans l'intérêt général ». Comme elle a eu l'occasion de le préciser dans son avis n° 20091918, la commission considère que cette personne morale de droit privé, en qualité d’office d'enregistrement chargé d'attribuer et de gérer les noms de domaine au sein des domaines de premier niveau du système d'adressage par domaines de l'internet correspondant au « .fr », doit être regardée comme chargée d’une mission de service public, soumise à ce titre au droit d'accès prévu par les articles L311-1 et suivants du code des relations entre le public et l'administration (Voir également CE, n° 327375, 10 juin 2013). La commission rappelle ensuite que l'article L300-2 du code des relations entre le public et l'administration (CRPA), dans sa version issue de l'article 2 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, prévoit que « Sont considérés comme documents administratifs (...) les documents produits ou reçus, dans le cadre de leur mission de service public, par l'État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. Constituent de tels documents notamment les (...) codes sources (...) ». La commission estime que les documents sollicités, produits par l'administration dans le cadre de sa mission de service public, constituent des documents administratifs au sens de l'article L300-2 précité du code des relations entre le public et l'administration et sont, par suite, communicables à toute personne qui en fait la demande, en application de l'article L311-1 de ce code, sous réserve le cas échéant de l'occultation préalable des mentions relevant des secrets protégés en application des dispositions des articles L311-5 et L311-6 du même code. La commission, qui a pris connaissance de la réponse du directeur général de l'AFNIC, estime, d'une part, que la protection du secret des affaires, prévue à l'article L311-6 du code des relations entre le public et l'administration, est, en principe, susceptible de faire obstacle à la communication des codes sources, notamment en ce qu'elle révélerait de la part de l'association un procédé particulier d'implémentation des Request For Comments (RCF) sur lesquels reposent les trois serveurs en cause dont la divulgation pourrait lui porter un préjudice commercial dans ses activités concurrentielles en révélant à des tiers des développements qui lui sont propres contribuant à la performance de ses systèmes d'information, à la résilience de ses services et à l'architecture logicielle sous-jacente de ses systèmes. Il appartient toutefois à l'organisme sollicité de faire la preuve de la matérialité du préjudice commercial dont il se prévaut, notamment au regard des implémentations en open source existantes pour les RCF utilisés. Elle relève, d'autre part, que l'AFNIC est, en qualité d’office d'enregistrement chargé d'attribuer et de gérer les noms de domaine au sein des domaines de premier niveau du système d'adressage par domaines de l'internet correspondant au « .fr », un opérateur offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services, au sens de l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité et du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique. Si, à ce titre, l'AFNIC est soumise au respect de règles garantissant un niveau de sécurité adapté au risque existant qui définissent les mesures appropriées pour prévenir les incidents qui compromettent la sécurité des réseaux et systèmes d'informations utilisés pour la fournitures des services essentiels, la commission estime que la divulgation des codes sources sollicités, qui permettrait de vérifier la fiabilité des protocoles mis en œuvre et d'identifier leurs éventuelles vulnérabilités, est de nature à faciliter l'exploitation des éventuelles faiblesses des systèmes d'information développés par l'association et de favoriser soit des intrusions soit la création de situations dangereuses, notamment des règles de contournement, d'un service essentiel au fonctionnement de la société ou de l'économie. Elle considère par suite, que les codes sources sollicités sont couverts par le d) du 2° de l'article L311-5 du code des relations entre le public et l'administration qui prévoit que ne sont pas communicables les documents dont la communication porterait atteinte à la sécurité des systèmes d'information. La commission émet, en conséquence, un avis défavorable à la demande.