Avis 20222028 Séance du 12/05/2022

Monsieur X a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 21 mars 2022, à la suite du refus opposé par le ministre de l'Intérieur à sa demande de publication et communication dans un format numérique ouvert et réutilisable, par téléchargement ou par envoi électronique, des documents suivants se rapportant du code source du site « referendum.interieur.gouv.fr » : 1) le cahier des charges et directives de conception des sites web https://www.referendum.interieur.gouv.fr/ et https://institu.referendum.interieur.gouv.fr/ ; 2) le journal de développement, détaillant les mise à jour effectuées, des sites web https://www.referendum.interieur.gouv.fr et https://institu.referendum.interieur.gouv.fr ; 3) l’algorithme permettant de faire le comptage des soutiens publié par le Conseil constitutionnel (leur permettant de publier un communiqué comme celui‐ci : https://www.conseilconstitutionnel.fr/ac... de soutiens dans le cadre‐de la procédure du rip) ; 4) l’algorithme permettant de normaliser les noms de familles pour l’affichage de la liste publique (https://www.referendum.interieur.gouv.fr...) ; 5) l’algorithme permettant de trier les noms par digramme (AA, AB, AC…) pour l’affichage de la liste publique (https://www.referendum.interieur.gouv.fr) ; 6) l’algorithme d’interrogation de la liste électorale utilisé lors d’un dépôt d’un soutien https://www.referendum.interieur.gouv.fr...) permettant de vérifier que le signataire est présent ou non sur les listes électorales, ainsi qu’un échantillon de données factices permettant de tester cet algorithme ; 7) l’algorithme permettant la génération d’un numéro de récépissé utilisé lors du dépôt d’un soutien ou lors du dépôt d’une réclamation sur le site https://www.referendum.interieur.gouv.fr ; 8) le contrat commercial passé avec la société X permettant de sécuriser le site web https://www.referendum.interieur.gouv.fr. La commission relève que la présente saisine est similaire à une précédente saisine de Monsieur X ayant donné lieu à un avis n° 20195276 du 2 avril 2020. En l'absence de réponse du ministre de l'intérieur à la date de sa séance et en l'absence de tout élément nouveau porté à sa connaissance, elle ne peut que confirmer et réitérer le sens de cet avis. La commission rappelle ainsi qu'elle estime tout d'abord que l'ensemble des documents produits ou détenus par le ministère de l'intérieur pour la mise en oeuvre de la procédure de soutien d'une proposition de loi au titre du troisième alinéa de l'article 11 de la Constitution », mis en œuvre, sous le contrôle du Conseil constitutionnel, par le ministre de l'intérieur revêtent le caractère de documents administratifs. La commission constate ensuite que la loi organique n° 2013-1114 du 6 décembre 2013, dont le chapitre III a créé la procédure de recueil des soutiens, et le décret n° 2014-1488 du 11 décembre 2014 pris pour son application ne prévoient pas de modalités de communication particulière. Ils sont en conséquence soumis au droit d'accès régi par le livre III du code des relations entre le public et l'administration. La commission rappelle que dans sa délibération n° 2014-465 du 20 novembre 2014 portant avis sur le projet de décret relatif à ce traitement de données, la Commission nationale informatique et libertés a mis en exergue les spécificités de la plateforme de vote électronique du référendum d'initiative populaire, dont l'intégrité technique doit garantir la traçabilité des opérations et l'authenticité du recueil de soutiens, ainsi que la protection des données personnelles relatives à l'identité des électeurs, la liste électorale nationale créée par le traitement regroupant potentiellement 4.5 millions de personnes. La commission estime que le risque d'atteinte à l'intégrité d'une opération électorale de ce type est de nature à être regardé comme composante du risque d'atteinte à la sécurité publique et de la sécurité des systèmes d'information lorsqu'il s'agit d'une procédure de vote électronique, mentionné au d) du 2° de l'article L. 311-5 du code des relations entre le public et l'administration justifiant que des restrictions soient apportées au droit d'accès aux documents administratifs. La commission rappelle que le caractère communicable d'un document, à l'exception de ceux mentionnés au 1° de l'article L311-5 du code des relations entre le public et l'administration, ou d'un dossier s'apprécie au regard des pièces et des mentions qu'il contient et de la possibilité, sans en dénaturer le sens ou la portée, d'occulter ou de disjoindre les documents ou mentions qui ne sont pas communicables en application du 2° de l'article L311-5 et de l'article L311-6 du même code. Si le cahier des charges du dispositif de recueil des soutiens et le contrat commercial passé avec la société permettant de sécuriser le site de recueil des soutiens comptent des informations relatives à la sûreté du fonctionnement de l'application (performance, fiabilité et disponibilité), seules les mentions qui sont relatives à l'intégrité technique, la traçabilité des opérations et l'authenticité du recueil de soutiens relèvent de la protection des systèmes d'information. En outre, en ce qui concerne les algorithmes sollicités, si les communiquer les exposeraient potentiellement à un risque de piratage, la commission relève que certains sont assez éloignés du processus électoral lui-même ou n'ont pas de rapport direct avec le risque, allégué par le ministre de l'Intérieur lors de l'instruction de l'avis du 2 avril 2020, d'un dépôt massif de réclamations ou de saturation du processus d'instruction des réclamations. Elle ajoute que, dans l'hypothèse où l'administration n'aurait pas elle-même développé ces algorithmes et n'en serait pas propriétaire, que l'article L311-4 du code des relations entre le public et l'administration, qui reprend l'ancien article 9 de la loi du 17 juillet 1978 complété par la loi pour une République numérique, dispose que : « Les documents administratifs sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique. » . Il en résulte que lorsqu'un tiers détient des droits de propriété intellectuelle sur un document administratif en possession de l'administration, cette dernière doit solliciter son autorisation avant de procéder à la communication du document, ainsi qu'il ressort de l'avis n° 20180226, rendu par la commission dans sa séance du 17 mai 2018. Elle ajoute également, à cet égard et dans cette hypothèse, qu’il résulte des dispositions de l’article L311-6 du code des relations entre le public et l'administration, que le secret des affaires comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles. Il s’apprécie en tenant compte, le cas échéant, du fait que la mission de service public est soumise à la concurrence, et eu égard à la définition donnée à l’article L151-1 du code de commerce. Aux termes de cet article est protégée par le secret des affaires toute information répondant aux critères suivants : « (…) 1° Elle n'est pas, en elle-même ou dans la configuration et l'assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité ; 2° Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ; 3° Elle fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret. ». Elle estime ainsi qu'un code source acquis auprès d'un tiers ou élaboré par un prestataire peut, dans certains cas, relever de la protection du secret des affaires au titre du secret des procédés et des savoir-faire (avis n° 20220816 du 31 mars 2022). Par suite, elle émet à un avis favorable à la demande, après occultation préalable des seuls documents ou mentions dont la communication est susceptible, in concreto, de porter atteinte à la sécurité publique ou à la sécurité des systèmes d'informations et, s'agissant du contrat commercial et, le cas échéant des algorithmes, du secret des affaires, lequel comprend le secret des procédés, le secret des informations économiques et financières et le secret des stratégies commerciales ou industrielles en application des dispositions des articles L311-1, L311-5 et L311-6 du code des relations entre le public et l'administration, ainsi que de l'obtention de l'accord préalable d'un éventuel détenteur tiers des droits de propriété intellectuelle.