Avis 20235197 Séance du 12/10/2023

Monsieur XX, a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 17 juillet 2023, à la suite du refus opposé par le directeur général de la caisse nationale des allocations familiales (CNAF) à sa demande de communication, en sa qualité de journaliste, par courrier électronique, des documents suivants relatifs à la conception et aux performances du simulateur des aides personnalisées aux logements (APL) de la Caisse nationale des allocations familiales (CNAF), accessible notamment sur le site CAF.fr : 1) le cahier des charges, ou tout autre document préliminaire exposant les objectifs du simulateur des APL ; 2) le code source complet de l’algorithme utilisé pour ce simulateur ; 3) tous les documents décrivant les variables utilisées, leur mode de collecte et/ou leur calcul ; 4) toute la documentation du système ; 5) les recommandations sur l’utilisation de ce simulateur transmises aux agents de la CAF ; 6) tous les rapports, présentations ou autres documents visant à évaluer ou tester les performances de ce système ; 7) tous les rapports, présentations ou autres documents visant à formuler des recommandations pour améliorer le fonctionnement de ce simulateur ; 8) toutes les correspondances (notamment les courriers, courriels, SMS…) reçues et envoyées par Monsieur X, directeur de la CNAF, qui mentionnent le simulateur des APL entre le 1er décembre 2022 et le 31 janvier 2023, période marquée par la publication de plusieurs articles de presse pointant des dysfonctionnements des systèmes d’information de la CAF. La commission relève, à titre liminaire, que les documents sollicités ont été produits par la CNAF dans le cadre de sa mission de service public. Ils revêtent, dès lors, le caractère de document administratif au sens de l'article L300-2 du code des relations entre le public et l’administration (CRPA), soumis au droit d’accès ouvert par le livre III de ce code (avis de partie II n° 20144578 du 8 janvier 2015 ; avis n° 20161989 du 23 juin 2016). En premier lieu, la commission comprend des informations portées à sa connaissance par le directeur général de la CNAF que les documents sollicités aux points 1), 3), 4), 5), 6) et 7) sont librement communicables à toute personne qui en fait la demande. Elle émet donc un avis favorable sur ces points et prend note de l’intention du directeur général de la CNAF d’adresser ces documents à Monsieur X. En deuxième lieu, contrairement à ce que soutient le directeur général de la CNAF, la commission estime que la demande en son point 8), par son libellé, met l'administration saisie en mesure d'identifier précisément et sans recherche approfondie les documents susceptibles d'y répondre. Elle rappelle, ensuite, que les correspondances ainsi que les minimessages textes (SMS) et les courriers électroniques émanant des autorités administratives ou de leurs services constituent des documents administratifs communicables à toute personne qui en fait la demande, sous réserve de l'occultation des mentions protégées par les articles L311-5 et L311-6 du CRPA. En l’espèce, elle estime que doivent en particulier être occultées les mentions couvertes par le secret de la vie privée. Elle émet, sous cette réserve, un avis favorable à la demande. Enfin, eu égard à la période limitée à deux mois sur laquelle porte la demande des documents sollicités, il n'apparait pas à la commission, en l'état des éléments dont elle dispose, que le travail d’occultation rendu en l’espèce nécessaire représenterait pour la CNAF une charge de travail disproportionnée au regard des moyens dont elle dispose. En troisième et dernier lieu, s’agissant du point 2), la commission relève qu’en réponse à la demande qui lui a été adressée, le directeur général de la CNAF lui a indiqué que ce document était communicable au demandeur, sous réserve de l’occultation préalable des mentions dont la communication porterait atteinte à la sécurité des systèmes d’information de l’administration, protégée par le d) du 2° de l’article L311-5 du CRPA. La commission rappelle, toutefois, que la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a renforcé la transparence de l’action publique, d’une part, en créant au profit des personnes faisant l’objet d’une décision administrative individuelle prise sur le fondement d’un traitement algorithmique, un droit d’accès aux règles définissant ce traitement et aux principales caractéristiques de sa mise en œuvre (article L311-3-1 du CRPA) et, d’autre part, en imposant aux administrations de publier en ligne les règles gouvernant les principaux traitements algorithmiques utilisés dans l’accomplissement de leurs missions, lorsqu’ils fondent des décisions individuelles (article L312-1-3 du CRPA). La commission relève, toutefois, que ces dispositions concernent uniquement les traitements algorithmiques fondant des décisions individuelles et ne consacrent pas un droit d’accès à l’algorithme lui-même, mais seulement à certaines informations le concernant, qui sont précisées à l’article R311-3-1-2 du code précité. En outre, ces obligations s’exercent dans la limite des secrets protégés au 2° de l’article L311-5 du CRPA. Comme elle l’a fait dans son avis de partie I n°20213847 du 13 janvier 2022, la commission précise que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du CRPA. Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système. La commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants. La commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du CRPA, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des systèmes d’information. La commission précise qu’il en est de même de tout document révélant des informations sur ces fragments de code. Elle rappelle, enfin, que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter l’article L311-1 du CRPA, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations. En l’espèce, en l’état des informations portées à sa connaissance, et eu égard à l’objet du logiciel auquel se rapporte le code source sollicité, à savoir un simulateur APL librement accessible aux usagers sur le site internet de la CAF, la commission estime que l’atteinte à la sécurité des systèmes d’information n’est pas caractérisée. Elle émet, par suite, un avis favorable à la communication du code source complet utilisé pour ce simulateur.