Avis 20210021 Séance du 15/04/2021

Monsieur X, X, a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 4 janvier 2021, à la suite du refus opposé par le ministre des solidarités et de la santé à sa demande de communication des documents suivants, concernant la plateforme des données de santé « Health Data Hub » : 1) l’intégralité des codes sources produits et utilisés par la plateforme depuis sa création ; 2) l’étude de réversibilité mentionnée dans la réponse du 13 février 2020 à la question écrite n° 14130 du sénateur X publiée dans le JO Sénat du 30/01/2020. En réponse à la demande qui lui a été adressée, le ministre des solidarités et de la santé a informé la commission que le document mentionné au point 2) a été transmis au demandeur par courrier électronique du 25 janvier 2021. La commission ne peut, dès lors, que déclarer sans objet la demande d’avis sur ce point. S'agissant du point 1) de la demande, la commission rappelle que l'article L300-2 du code des relations entre le public et l'administration (CRPA), dans sa version issue de l'article 2 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, prévoit que « Sont considérés comme documents administratifs (...) les documents produits ou reçus, dans le cadre de leur mission de service public, par l'État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. Constituent de tels documents notamment les (...) codes sources (...) ». La commission estime que les documents sollicités, produits par l'administration dans le cadre de sa mission de service public, constituent des documents administratifs au sens de l'article L300-2 précité du code des relations entre le public et l'administration et sont, par suite, communicables à toute personne qui en fait la demande, en application de l'article L311-1 de ce code, sous réserve le cas échéant de l'occultation préalable des mentions relevant des secrets protégés en application des dispositions des articles L311-5 et L311-6 du même code. En réponse à la demande qui lui a été adressée, le ministre des solidarités et de la santé a également informé la commission que la communication des codes sources produits et utilisés par la plateforme des données de santé « Health Data Hub » était susceptible de porter atteinte à la sécurité des systèmes d'information des informations prévue au d) du 2) de l'article L. 311-5 du 6 du code des relations entre le public et l'administration dès lors que cette plateforme est configurée selon le principe de « Infrastructure as code » ce qui signifie que la divulgation du code source revient à décrire techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure. Ainsi une telle divulgation des codes sources aurait pour conséquence de rendre détectables les dysfonctionnements et vulnérabilités potentiels de la plateforme technologique et donnerait une vision précise des capacités de détection et de remédiation d’attaques de la plateforme technologique, facilitant les intrusions dans la plateforme et compromettant, en conséquence, l’efficacité des moyens déployés pour assurer la sécurité des données de santé. La commission, qui prend acte de ces éléments, émet, en conséquence en l'état des informations en sa possession, un avis défavorable à la communication sur ce point de la demande.