Avis 20226654 Séance du 24/11/2022

Monsieur X a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 26 octobre 2022, à la suite du refus opposé par le ministre de l'éducation nationale et de la jeunesse à sa demande de communication du code source de l’outil calculette de classement des maîtres de conférences. La commission, qui a pris connaissance des observations du ministre de l'éducation nationale et de la jeunesse, rappelle qu’aux termes de l'article L300-2 du code des relations entre le public et l'administration, dans sa version issue de l'article 2 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique : « Sont considérés comme documents administratifs (...) les documents produits ou reçus, dans le cadre de leur mission de service public, par l'État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. Constituent de tels documents notamment les (...) codes sources (...) », définis comme les programmes informatiques contenant les instructions devant être exécutées par un micro-processeur. La commission rappelle également que l'article L311-4 du code des relations entre le public et l'administration, qui reprend l'ancien article 9 de la loi du 17 juillet 1978 complété par la loi pour une République numérique, dispose que : « Les documents administratifs sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique. » . Il en résulte que lorsqu'un tiers détient des droits de propriété intellectuelle sur un document administratif en possession de l'administration, cette dernière doit solliciter son autorisation avant de procéder à la communication du document, ainsi qu'il ressort de l'avis n° 20180226, rendu par la commission dans sa séance du 17 mai 2018. La commission estime par ailleurs que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l’administration. Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système. La commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants. La commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des système d’information. Elle précise que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, l’article L311-1 du code des relations entre le public et l’administration, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations. La commission rappelle enfin, qu’il résulte des dispositions de l’article L311-6 du code des relations entre le public et l'administration, que le secret des affaires comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles. Il s’apprécie en tenant compte, le cas échéant, du fait que la mission de service public est soumise à la concurrence. Elle estime qu'un code source acquis auprès d'un tiers ou élaboré par un prestataire peut, dans certains cas, relever de la protection du secret des affaires au titre du secret des procédés et des savoir-faire (avis n° 20220816 du 31 mars 2022), notamment lorsque les mentions concernées révèlent, par leur nature et leur degré de précision, des informations relevant du secret de ses procédés et de ses savoir-faire. La commission, qui prend note de l'intention du ministre de l'éducation nationale et de la jeunesse de communiquer prochainement le document sollicité, émet donc, sous ces réserves, un avis favorable.