Conseil 20217426 Séance du 10/03/2022

La commission d'accès aux documents administratifs a examiné lors de sa séance du 10 mars 2022 votre demande de conseil relative au caractère communicable au public d'un tableau synthétique contenant des informations relatives aux politiques de sécurité et de gestion des mots de passe des fournisseurs d’identité, constitué par Agent Connect, service destiné à faciliter l’accès des agents publics d’État à leurs applications métiers, et à destination des fournisseurs de service. La commission vous rappelle qu'aux termes de l'article L311-1 du code des relations entre le public et l'administration : « Sous réserve des dispositions des articles L311-5 et L311-6, les administrations mentionnées à l'article L300-2 sont tenues de publier en ligne ou de communiquer les documents administratifs qu'elles détiennent aux personnes qui en font la demande, dans les conditions prévues par le présent livre ». Aux termes de l'article L311-5 du même code : « Ne sont pas communicables : / (...) 2° Les autres documents administratifs dont la consultation ou la communication porterait atteinte : / (...) d) (...) à la sécurité des systèmes d'information des administrations ; (...) ». Elle vous rappelle également que l’article 1er de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique garantit désormais au profit des administrations mentionnées au premier alinéa de l’article L300-2 un droit d’accès aux documents administratifs détenus par les autres administrations du même article, sous réserve des secrets protégés par les articles L311-5 et L311-6, lorsqu’elles en font la demande pour l’accomplissement de leurs missions de service public. La commission observe que le tableau en cause a vocation à rassembler certaines informations relatives à la politique de sécurité et à la politique de gestion des mots de passe. Il est ainsi demandé aux ministères qui participeront au service Agent Connect en tant que « fournisseurs d'identité » de présenter, de façon détaillée, les mesures de sécurité informatique mises en place pour lutter contre les tentatives d'intrusion, en indiquant notamment le format du mot de passe demandé aux utilisateurs, la durée du blocage en cas de tentatives infructueuses de connexion successives ainsi que, d'une façon générale, les outils permettant de lutter contre les attaques par force brute (dites « bruteforce »). Elle estime, néanmoins, que, compte tenu du caractère limité et stéréotypé de ces informations telles qu'elles figurent dans le tableau produit en annexe à votre saisine, la consultation ou la communication de ce document administratif ne porterait pas atteinte à la sécurité des systèmes d'information des administrations. Ce document peut donc être regardé comme communicable à toute personne qui en fait la demande en application de l'article L311-1 du code des relations entre le public et l'administration ou à l'administration demanderesse si sa demande est effectuée pour l'accomplissement de ses missions de service public, en application de l’article 1er de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. Elle précise toutefois qu'il pourrait en aller différemment si les données renseignées présentaient une ampleur et un degré de sensibilité plus important. La commission vous indique enfin, à toutes fin utiles, que le livre III du code des relations entre le public et l'administration et l'article 1er de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique n'ont vocation à régir que les demandes de communication qui relèvent de leur champ, et non la fourniture spontanée d'informations par l'administration à ses prestataires pour les besoins et les nécessités de l'exercice de leurs missions, le cas échéant, assorties d'exigences particulières de confidentialité.