Avis 20228135 Séance du 09/03/2023

Monsieur X, pour le journal X, a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 28 décembre 2022, à la suite du refus opposé par le délégué interministériel à la transformation publique à sa demande de communication et publication, avec mise à jour, des documents relatifs à l’application/tableau de bord Pilote, notamment : 1) le code source ; 2) les données utilisées par l’application ; 3) les écrans de design ; 4) les contrats liés au développement ou à la conception de cette application ; 5) les échanges entre la DITP et la Présidence de la République concernant cette application dans les trois derniers mois. A titre liminaire, la Commission rappelle qu'il appartient au demandeur d'opter pour l'une des quatre modalités de communication prévues par l'article L311-9 du code des relations entre le public et l'administration. Elle estime qu'une demande de communication et de publication de documents doit être analysée comme tendant à la communication desdits documents par mise en ligne, conformément au 4° de l'article L311-9 du code des relations entre le public et l'administration. La Commission rappelle ensuite qu'un document communicable à toute personne qui en fait la demande, en application de l'article L311-1 du code précité, peut être publié en ligne sous réserve du respect des conditions posées à l’article L312-1-2 du même code. Par ailleurs, s'agissant du format du document, l'article L300-4 du même code dispose que : « Toute mise à disposition effectuée sous forme électronique en application du présent livre se fait dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé. », que l'article 4 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique définit comme « tout protocole de communication, d'interconnexion ou d'échange et tout format de données interopérable et dont les spécifications techniques sont publiques et sans restriction d'accès ni de mise en œuvre ». La Commission rappelle également que si le livre III du code des relations entre le public et l’administration garantit un droit d’accès aux documents existants ou susceptibles d’être obtenus par un traitement automatisé d’usage courant, il ne permet pas aux demandeurs d’exiger pour l’avenir qu’ils soient rendus systématiquement destinataires de documents au fur et à mesure de leur élaboration, ni n'oblige les administrations à répondre favorablement à une telle demande, qui s'analyse comme une demande d'abonnement. En l'espèce, en réponse à la demande qui lui a été adressée, le délégué interministériel à la transformation publique a informé la Commission, en premier lieu, que les documents mentionnés au point 3) ont été transmis au demandeur. La Commission déduit également de la réponse de l'administration que les documents mentionnés au point 5) n'existent pas. Elle déclare, dès lors, la demande d'avis sans objet sur ces deux points. En deuxième lieu, le délégué interministériel à la transformation publique a précisé que les jeux de données de 43 réformes sur 80, correspondant au point 2), font l'objet d'une diffusion publique au sens de l'article L311-2 du code des relations entre le public et l'administration. La Commission comprend que les données sollicitées sont disponibles en libre accès aux adresses suivantes https://www.data.gouv.fr/fr/datasets/barometre-des-resultats-de-laction-publique / https://github.com/etalab/barometre-resultats-donnees et https://data.economie.gouv.fr/explore/dataset/france-relance-donnees-agregees/table/. En l'état des informations ainsi portées à sa connaissance, la Commission déclare la demande d'avis irrecevable dans cette mesure. La Commission estime, par ailleurs, que les jeux de données des réformes restantes qui n'ont pas encore été mis en ligne sont communicables à toute personne qui en fait la demande sur le fondement de l'article L311-1 du code des relations entre le public et l'administration et peuvent être publiés en ligne, dans les conditions rappelées ci-dessus. Elle émet un avis favorable sur ce point et prend note de l'intention du délégué interministériel à la transformation publique de procéder à cette mise en ligne sur le site data.gouv.fr d'ici la fin du mois de mars 2023, après vérification de leur communicabilité. En troisième lieu, la Commission estime que les documents mentionnés au point 4) de la demande sont librement communicables, sous réserve de l'occultation préalable des éventuelles mentions protégées par le secret des affaires, en application de l'article L311-6 du code des relations entre le public et l'administration. En l'espèce, le délégué interministériel à la transformation publique a précisé que deux documents contractuels avaient été conclus à savoir, d'une part, l'accord cadre interministériel de conseil de la DITP, lot 2, pour la conception et développement de démonstrateurs (POC) et d'autre part, la convention cadre UGAP pour le développement informatique. Ces documents seraient disponibles en ligne sur les sites de la DITP et de l'UGAP. La Commission relève toutefois que le lien permettant d’accéder auxdits documents ne lui a pas été adressé. Elle émet, par suite, un avis favorable à la publication de ces documents, dans les conditions rappelées ci-dessus. En quatrième et dernier lieu, s'agissant du point 1) de la demande, la Commission déduit de la réponse de l'administration qu'un prestataire a été associé au volet conception technique des solutions et que seul le code source du baromètre de l’action publique est disponible en libre accès à l’adresse https://github.com/etalab/barometre-resultats. En supposant que la demande porte également sur d’autres codes sources, la Commission rappelle que l'article L311-4 de ce code dispose que : « Les documents administratifs sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique ». Il en résulte que lorsqu'un tiers détient des droits de propriété intellectuelle sur un document administratif en possession de l'administration, cette dernière doit solliciter son autorisation avant de procéder à la communication du document, ainsi qu'il ressort de l'avis n° 20180226, du 17 mai 2018. La Commission estime par ailleurs que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l’administration. Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système. La Commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants. La Commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des systèmes d’information. Elle précise que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, l’article L311-1 du code des relations entre le public et l’administration, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations. La Commission rappelle enfin, qu’il résulte des dispositions de l’article L311-6 du code des relations entre le public et l'administration, que le secret des affaires comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles. Il s’apprécie en tenant compte, le cas échéant, du fait que la mission de service public est soumise à la concurrence, et eu égard à la définition donnée à l’article L151-1 du code de commerce. Aux termes de cet article est protégée par le secret des affaires toute information répondant aux critères suivants : « (…) 1° Elle n'est pas, en elle-même ou dans la configuration et l'assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité ; 2° Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ; 3° Elle fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret. » Elle estime ainsi qu'un code source acquis auprès d'un tiers ou élaboré par un prestataire peut, dans certains cas, relever de la protection du secret des affaires au titre du secret des procédés et des savoir-faire (avis n° 20220816 du 31 mars 2022). Elle émet donc, sous ces réserves, un avis favorable à la communication par voie de publication en ligne du code source de l'application PILOTE mentionné au point 1).