Avis 20222226 Séance du 12/05/2022

Madame X a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 29 mars 2022, à la suite du refus opposé par le maire d'Elancourt à sa demande de communication, dans un format numérique ouvert et réutilisable, par téléchargement ou attachés à un courrier électronique, dans le cadre d'une étude sur les systèmes d'aide à la décision appliquée aux politiques de sécurité en France des documents relatifs au(x) progiciel(s) fourni(s) par la société X à la collectivité, notamment : 1) les actes administratifs et décisions administratives liées à ce dispositif ; 2) les dossiers, rapports, études (dont les études d'impact), procès-verbaux de réunions afférents à ce dispositif ; 3) le nom exact du ou des logiciels fournis par X et leur imbrication avec d'autres logiciels ou systèmes techniques fournis par d'autres prestataires ou développés en interne par la collectivité ; 5) les manuels d’utilisation de ces systèmes ; 6) le code source du ou des logiciels utilisés ; 7) les informations générales sur : a) les règles définissant les principaux traitements utilisés ; b) le degré et le mode de contribution du traitement algorithmique à la prise de décision ; c) les données traitées et leurs sources ; d) les paramètres de traitement et leur pondération ; 8) les contrats et documents attenants aux éventuels marchés publics afférents à ce dispositif (notamment le CCTP, le CCAP, le CCTG, le CCAG et leurs annexes ; les candidatures, en particulier l'offre technique de l'attributaire ainsi que l'ensemble des pièces composant l'offre de l'entreprise retenue) ; 9) les correspondances portant sur ce dispositif avec d'autres organismes, à l'image de la Commission nationale Informatique et Libertés (CNIL) ou du ministère de l'intérieur. En l'absence de réponse du maire d'Elancourt à la date de sa séance, la commission estime que les documents visés aux points 1) à 5) sont des documents administratifs communicables à toute personne qui en fait la demande, en application des dispositions des articles L. 311-1 et suivants du code des relations entre le public et l'administration. Elle émet donc un avis favorable à leur communication, sous réserve de l'occultation, le cas échéant, des mentions protégées par les articles L. 311-5 et L. 311-6 de ce code, notamment la protection du secret des affaires, et s'agissant des documents visés au points 2) sous réserve également qu'ils ne revêtent pas un caractère préparatoire. S'agissant du point 6) de la demande, la commission rappelle que l'article L311-4 du code des relations entre le public et l'administration, qui reprend l'ancien article 9 de la loi du 17 juillet 1978 complété par la loi pour une République numérique, dispose que : « Les documents administratifs sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique. » . Il en résulte que lorsqu'un tiers détient des droits de propriété intellectuelle sur un document administratif en possession de l'administration, cette dernière doit solliciter son autorisation avant de procéder à la communication du document, ainsi qu'il ressort de l'avis n° 20180226, rendu par la commission dans sa séance du 17 mai 2018. La commission estime par ailleurs que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l’administration. Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système. La commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants. La commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des système d’information. Elle précise que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, l’article L311-1 du code des relations entre le public et l’administration, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations. La commission rappelle enfin, qu’il résulte des dispositions de l’article L311-6 du code des relations entre le public et l'administration, que le secret des affaires comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles. Il s’apprécie en tenant compte, le cas échéant, du fait que la mission de service public est soumise à la concurrence, et eu égard à la définition donnée à l’article L151-1 du code de commerce. Aux termes de cet article est protégée par le secret des affaires toute information répondant aux critères suivants : « (…) 1° Elle n'est pas, en elle-même ou dans la configuration et l'assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité ; 2° Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ; 3° Elle fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret. ». Elle estime ainsi qu'un code source acquis auprès d'un tiers ou élaboré par un prestataire peut, dans certains cas, relever de la protection du secret des affaires au titre du secret des procédés et des savoir-faire (avis n° 20220816 du 31 mars 2022). Elle émet donc, sous ces réserves, un avis favorable à la communication du code source du logiciel visé au point 6). La commission estime ensuite que les documents visés au point 7) sont des documents administratifs communicables à toute personne qui en fait la demande, sous réserve qu'ils existent ou qu'ils puissent être établis par un traitement automatisé d'usage courant et sous réserve des éventuelles mentions protégées au titre des articles L311-5 et L311-6 du code des relations entre le public et l'administration. S'agissant des documents visés au point 8), la commission rappelle qu'une fois signés, les marchés publics et les documents qui s’y rapportent sont des documents administratifs soumis au droit d'accès institué par le livre III du code des relations entre le public et l’administration. Ce droit de communication, dont bénéficient tant les entreprises non retenues que toute autre personne qui en fait la demande, doit toutefois s'exercer dans le respect du secret des affaires, protégé par les dispositions de l’article L311-6 de ce code. Il résulte de la décision du Conseil d’État du 30 mars 2016, « Centre hospitalier de Perpignan » (n°375529), que, lorsqu’elles sont saisies d’une demande de communication de documents relatifs à un marché public, les autorités mentionnées à l’article L300-2 du même code doivent examiner si les renseignements contenus dans ces documents peuvent, en affectant la concurrence entre les opérateurs économiques, porter atteinte au secret des affaires et faire ainsi obstacle à cette communication. Le Conseil d’État a en outre précisé qu’au regard des règles de la commande publique, doivent être regardées comme communicables, sous réserve des secrets protégés par la loi, l’ensemble des pièces d’un marché public et que, dans cette mesure, l’acte d’engagement, le prix global de l’offre et les prestations proposées par l’entreprise attributaire, notamment, sont en principe communicables. Sont également communicables les pièces constitutives du dossier de consultation des entreprises (règlement de consultation, cahier des clauses administratives particulières, cahier des clauses techniques particulières…). En revanche, les éléments qui reflètent la stratégie commerciale d’une entreprise opérant dans un secteur d’activité concurrentiel et dont la divulgation est susceptible de porter atteinte au secret des affaires ne sont, en principe, pas communicables. Il en va ainsi de l’offre de prix détaillée contenue dans le bordereau des prix unitaires, la décomposition du prix global et forfaitaire ou le détail quantitatif estimatif, ainsi que du mémoire technique, qui ne sont, de fait, pas communicables aux tiers. En outre, pour l’entreprise attributaire comme pour l’entreprise non retenue, les dispositions de l’article L311-6 du code des relations entre le public et l’administration doivent entraîner l’occultation des éléments suivants : - les mentions relatives aux moyens techniques et humains, à la certification de système qualité, aux certifications tierces parties ainsi qu'aux certificats de qualification concernant la prestation demandée, ainsi que toute mention concernant le chiffre d'affaires, les coordonnées bancaires et les références autres que celles qui correspondent à des marchés publics ; - dans les documents préparatoires à la passation du marché (procès-verbaux, rapports d'analyse des offres) les mentions relatives aux détails techniques et financiers des offres de toutes les entreprises. La commission émet, sous ces réserves, un avis favorable à la communication de ces documents. En dernier lieu, la commission rappelle qu'il résulte des dispositions du chapitre IV de la loi du 6 janvier 1978 que les documents soumis à la CNIL par les responsables de traitements, dans le cadre des procédures de déclaration ou d'autorisation prévues par cette loi dans sa rédaction en vigueur à la date des traitements concernés, font l'objet d'un régime particulier de communication, qui échappe au champ d'application du livre III du code des relations entre le public et l’administration (avis n° 20103832, du 14 octobre 2010, de partie II). L'article L342-2 de ce code n'ayant pas étendu ses compétences à ce régime, la commission se déclare, en l’espèce, incompétente pour se prononcer, dans cette mesure, sur le point 9) de la demande. Elle relève que la formulation de la demande ne lui permet pas d’identifier les documents dont la communication ne serait pas régie exclusivement par la loi du 6 janvier 1978 et qui seraient, par suite, soumis au droit d'accès prévu par le livre III du code des relations entre le public et l'administration. Elle émet donc, sous cette réserve et sous réserve que ces documents ne revêtent pas un caractère préparatoire, un avis favorable, dans cette mesure, sur ce dernier point.