Avis 20234785 Séance du 21/09/2023

Monsieur X a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 2 août 2023, à la suite du refus opposé par la ministre de l'enseignement supérieur et de la recherche à sa demande de communication du code source de la plateforme de gestion de candidatures MonMaster à l'exception de la mise en réseau avec l'historique des versions (commit) ou la version en production le 20 avril 2023. La commission rappelle qu’aux termes de l'article L300-2 du code des relations entre le public et l'administration, dans sa version issue de l'article 2 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique : « Sont considérés comme documents administratifs (...) les documents produits ou reçus, dans le cadre de leur mission de service public, par l'État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. Constituent de tels documents notamment les (...) codes sources (...) », définis comme les programmes informatiques contenant les instructions devant être exécutées par un micro-processeur. La commission rappelle également que l'article L311-4 du code des relations entre le public et l'administration, qui reprend l'ancien article 9 de la loi du 17 juillet 1978 complété par la loi pour une République numérique, dispose que : « Les documents administratifs sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique. » . Il en résulte que lorsqu'un tiers détient des droits de propriété intellectuelle sur un document administratif en possession de l'administration, cette dernière doit solliciter son autorisation avant de procéder à la communication du document, ainsi qu'il ressort de l'avis n° 20180226, rendu par la commission dans sa séance du 17 mai 2018. La commission estime par ailleurs que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l’administration. Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système. La commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants. La commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des systèmes d’information. Elle précise que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, l’article L311-1 du code des relations entre le public et l’administration, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations. La commission rappelle enfin, qu’il résulte des dispositions de l’article L311-6 du code des relations entre le public et l'administration, que le secret des affaires comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles. Il s’apprécie en tenant compte, le cas échéant, du fait que la mission de service public est soumise à la concurrence, et eu égard à la définition donnée à l’article L151-1 du code de commerce. Aux termes de cet article est protégée par le secret des affaires toute information répondant aux critères suivants : « (…) 1° Elle n'est pas, en elle-même ou dans la configuration et l'assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité ; 2° Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ; 3° Elle fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret. » Elle estime ainsi qu'un code source acquis auprès d'un tiers ou élaboré par un prestataire peut, dans certains cas, relever de la protection du secret des affaires au titre du secret des procédés et des savoir-faire (avis n° 20220816 du 31 mars 2022). En l’absence de réponse de la ministre de l'enseignement supérieur et de la recherche, la commission émet sous les réserves qui précédent un avis favorable à la demande.