Avis 20173237 Séance du 25/01/2018

Monsieur X, pour l'association APRIL, a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 11 juillet 2017, à la suite du refus opposé par le directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) à sa demande de communication d'une copie, par courrier électronique ou par envoi postal, de l'« Accord de sécurité » passé entre l'Etat français et la société MICROSOFT. En réponse à la demande qui lui a été adressée, le directeur de l'ANSSI a informé la commission que l'accord sollicité avait pour finalité de permettre à l'ANSSI de disposer d'informations sur les produits et services de Microsoft, en particulier de leurs vulnérabilités, afin que l'agence s'assure de leur sécurité lorsqu'ils sont déployés au sein des services de l'Etat et procède, le cas échéant, aux opérations nécessaires pour prévenir, caractériser ou neutraliser une attaque des systèmes d'information dont serait victime une autorité publique ou un opérateur d'importance vitale. Il a fait valoir que la communication de ces documents serait de nature à porter atteinte à la sécurité des systèmes d'information des administrations dès lors, d'une part, qu'elle pourrait conduire à la résiliation du contrat par Microsoft pour méconnaissance des obligations de confidentialité figurant à l'article 7 de l'accord, que, d'autre part, elle pourrait avoir des conséquences sur les négociations à venir avec d’autres opérateurs privés pour la conclusion de contrats du même type, et qu’enfin, elle pourrait, si d'autres demandes étaient formulées en ce sens, donner à voir les autres contrats ou accords du même type passés par l'ANSSI avec d'autres partenaires et offrir ainsi une vision précise des capacités de l'agence en matière de détection et de remédiation d'attaques sur le périmètre des systèmes d'information des administrations. La commission, qui a pu prendre connaissance des documents sollicités, estime que la résiliation du contrat passé avec la société Microsoft serait de nature à compromettre l’efficacité des moyens déployés par l’ANSSI pour assurer la sécurité des systèmes d’information. Elle relève toutefois, en l’espèce, que contrairement à ce que soutient l'administration, les stipulations de l’article 7 du contrat ne prévoient pas expressément que la communication des documents contractuels sollicités emporte leur résiliation automatique, alors que conformément à la doctrine constante de la commission, la présence d'une clause de confidentialité ne saurait, à elle seule, justifier la non-communication de ces documents. En outre, en l’état des éléments qui lui ont été soumis, et alors que l’existence de ce contrat a été révélée dans les médias par la société Microsoft elle-même, la commission estime que le risque de rupture des relations contractuelles avec cette société n’est pas établi. Elle considère en revanche que la communication du périmètre des codes sources sur lesquels porte l'échange d'informations, du détail de la procédure d’accès en ligne à ces codes sources ainsi que des noms et coordonnées de agents de la société Microsoft et des agents de l'ANSSI désignés pour cet échange serait de nature à porter atteinte à la sécurité des systèmes d'information des administrations, en méconnaissance du d) du 2° de l'article L311-5 du code des relations entre le public et l'administration. En outre, le 1° de l'article L311-6 fait obstacle à ce que les mentions concernant Microsoft figurant dans les documents sollicités et protégées par le secret en matière industrielle et commerciale soient communiquées à des tiers. La commission estime par suite que les documents sollicités constituent des documents administratifs communicables à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, sous réserve de l'occultation dans les contrats annexes des mentions évoquées relevant des articles L311-5 et L311-6 du code des relations entre le public et l'administration. La commission estime enfin, qu’il résulte de ce qui précède que la seule communication de ces documents contractuels entre l’ANSSI et la société MICROSOFT n'est pas de nature à offrir une vision d'ensemble sur les capacités de l'Agence à prévenir et remédier aux attaques informatiques portées aux systèmes d'information des administrations. Elle émet donc sous ces réserves un avis favorable.