Avis 20230786 Séance du 30/03/2023

Madame X a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 13 février 2023, à la suite du refus opposé par le directeur général de l'union nationale des caisses d’assurance maladie à sa demande de communication, d’une copie numérique, ou à défaut, par lettre recommandée avec avis de réception, à ses frais, et quel que soit le support, de l’ensemble des documents traitant des éléments de facturation hospitalière suivants, en vigueur durant les années 2020 et 2021, en ce compris les informations contenues dans des fichiers informatiques pouvant être extraites par un traitement automatisé d'usage courant, notamment : 1) le code MT 03 ; 2) le code DMT 308, 174 et 105 ; 3) les codes sources correspondants. La commission rappelle que l'article L300-2 du code des relations entre le public et l'administration (CRPA) prévoit que « Sont considérés comme documents administratifs (...) les documents produits ou reçus, dans le cadre de leur mission de service public, par l'État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. Constituent de tels documents notamment les (...) codes sources (...) », définis comme les programmes informatiques contenant les instructions devant être exécutées par un micro-processeur. La commission rappelle, ensuite, que l'article L311-4 du code des relations entre le public et l'administration, qui reprend l'ancien article 9 de la loi du 17 juillet 1978 complété par la loi pour une République numérique, dispose que : « Les documents administratifs sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique. » . Il en résulte que lorsqu'un tiers détient des droits de propriété intellectuelle sur un document administratif en possession de l'administration, cette dernière doit solliciter son autorisation avant de procéder à la communication du document, ainsi qu'il ressort de l'avis n° 20180226, rendu par la commission dans sa séance du 17 mai 2018. La commission estime par ailleurs que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l’administration. Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système. La commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants. La commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des système d’information. Elle précise que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, l’article L311-1 du code des relations entre le public et l’administration, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations. La commission rappelle enfin, qu’il résulte des dispositions de l’article L311-6 du code des relations entre le public et l'administration, que le secret des affaires comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles. Il s’apprécie en tenant compte, le cas échéant, du fait que la mission de service public est soumise à la concurrence. Elle estime qu'un code source acquis auprès d'un tiers ou élaboré par un prestataire peut, dans certains cas, relever de la protection du secret des affaires au titre du secret des procédés et des savoir-faire (avis n° 20220816 du 31 mars 2022), notamment lorsque les mentions concernées révèlent, par leur nature et leur degré de précision, des informations relevant du secret de ses procédés et de ses savoir-faire. En réponse à la demande qui lui a été adressée, le directeur général de l'union nationale des caisses d’assurance maladie a informé la commission que l’identification des codes cités par la demanderesse correspond à : • MT : 03 Hospitalisation complète • DMT 105 Réanimation polyvalente (médicale et chirurgicale, y compris soins intensifs) • DMT 174 Médecine générale et spécialités médicales indifférenciées • DMY 308 Urgence indifférenciée (service de porte) Il a ajouté que les codes sources correspondants ne sont pas identifiables et qu'il conviendrait pour Madame X de préciser, au-delà de l’année de la requête, le périmètre de la demande. La commission rappelle que le livre III du code des relations entre le public et l’administration ne fait pas obligation à l’administration saisie d’une demande de communication de procéder à des recherches en vue de collecter l'ensemble des documents éventuellement détenus (CE, 27 septembre 1985, Ordres des avocats de Lyon, Rec. p. 267). La commission déduit des informations portées à sa connaissance qu'en l'état de sa formulation, la demande de Madame X ne permet pas à l'administration d'identifier les documents sollicités. Elle en prend note et ne peut dès lors qu'inviter cette dernière à préciser le périmètre de sa demande au directeur général de l'union nationale des caisses d’assurance maladie afin que ce dernier puisse y donner suite. En l'état, elle déclare cette demande irrecevable.