Par un jugement en date du 2 novembre 2023 (n° 2120895), le Tribunal administratif de Paris a rejeté la demande formulée par l’association Ouvre-boîte, tendant à la communication de l’entier code source de l’application « Parcoursup ».

 

Cette décision est l’occasion de rappeler que les codes sources peuvent être considérés comme des documents administratifs communicables (I) mais interroge sur l’engagement de la responsabilité de l’État dans l’hypothèse d’une éventuelle fuite de données au regard de la motivation retenue par la juridiction (II).

 

A titre liminaire, il convient de rappeler qu’en mai 2018, une partie du code source de l’application Parcoursup a déjà été publiée (disponible ici), notamment celle relative aux algorithmes ou, du moins, à leur présentation.

 

Selon les estimations de la Cour des comptes, seulement 1 % du nombre de lignes de code et moins de 2 % des fichiers produits dans le cadre de l’exercice des missions dévolues à l’opérateur de la plate-forme ont été publiés.

 

Pour la Cour des comptes, « le code source de l’application Parcoursup remplit deux fonctions principales. D’une part, des éléments de code qui vont interagir avec les acteurs locaux, par exemple les commissions d’examen des vœux (CEV) ou les services des rectorats. D’autre part, des éléments de code qui, à partir des classements opérés par ces acteurs locaux, produisent un classement effectif. Seuls ces éléments ont été rendus publics. Ces derniers se révèlent d’un intérêt limité pour assurer la transparence du système » (Rapport de la Cour des comptes de février 2020, « Un premier bilan de l’accès à l’enseignement supérieur dans le cadre de la loi orientation et réussite des étudiants, page 54).

 

C’est donc pour aller au bout de cette démarche que l’association Ouvre-boite a sollicité la communication des 2690 fichiers de code source SQL et 21 fichiers de code source Java non publiés.

 

I/ Sur le caractère communicable d’un code source d’application

 

Le droit français s’est longtemps désintéressé de la transparence des algorithmes et logiciels utilisés par l’administration.

 

Dans sa version initiale, le livre III du code des relations entre le public et l’administration était ainsi muet sur ce point et ce n’est que la promulgation de la loi n°2016-1321 du 7 octobre 2016 pour une République numérique qui est venu ajouter à l’article L.300-2 du code des relations entre le public et l’administration définissant les documents administratifs communicables, les termes « code sources ».

 

Ce mouvement vers la transparence apparaît en phase avec l’importance croissante donnée au numérique dans l’action publique aujourd’hui et s’inscrit dans la continuité de la démarche, initiée notamment dans le domaine du droit public économique et du droit électoral, par la loi n° 93-122 du 29 janvier 1993 relative à la prévention de la corruption et à la transparence de la vie économique et des procédures publiques, dite « Sapin I ».

 

Pour autant, si la loi pour une république numérique a fait un pas en avant vers la transparence de l’utilisation d’outils numériques par l’administration, un garde fou a été ajouté à l’article L.311-5 du CRPA, prévoyant que la communication des codes sources est de droit, sous réserve qu’elle ne porte pas atteinte « à la sécurité des systèmes d'information des administrations ».

C’est dans ce contexte que la Commission d’accès aux documents administratifs (CADA) a été amenée à donner son avis sur la publication du code source.

Après avoir relevé qu’une partie du code avait déjà été publiée, sur le fondement de l’article L.612-3 du Code de l’éducation, elle a considéré que la demande portant sur le reste du code était recevable.

Sur le fond, la CADA relève que le rapport de la Cour des comptes précité indique que l’application présente « une qualité médiocre, avec un niveau de risque élevé et de nombreuses violations critiques identifiées » et que le dispositif présenterait un « risque de rupture de service » et ne serait « pas non plus à l’abri d’une intrusion ».

Si des blocs entiers du système ont été intégralement réécrits pour corriger des failles critiques, l’administration a exposé devant la Commission que le niveau de risque était encore trop important au regard des vulnérabilités restantes et qu’elle s’opposait à la communication de l’intégralité du code source pour des raisons de sécurité, sans pouvoir donner une date à laquelle le code aura été sécurisé.

La CADA a donc mis en balance les enjeux de sécurité informatique avancés par l’administration et l’intérêt général résultant de la publication de ces données pour livrer un avis favorable à la demande de l’association, extrêmement critique, voir politique :

« Compte tenu du laps de temps significatif qui s’est écoulé depuis le rapport de la Cour des comptes, la commission estime toutefois que les avancées réalisées par le ministère de l'Enseignement supérieur, de la Recherche et de l'Innovation en termes d’ouverture du code source de Parcoursup ne sont, à la date de son avis, et compte tenu de l’importance quantitative et qualitative du service fourni aux usagers par ce service numérique, dont l’usage est par ailleurs obligatoire pour les accédants à l’enseignement supérieur, pas à la hauteur des enjeux. La complexité du code ne saurait, à elle seule justifier les résultats décevants ainsi constatés. Eu égard à l’intérêt général qui s’attache à la publication intégrale du code source sollicité, la commission déplore que l’autorité ministérielle soit dans l’incapacité de lui indiquer l’échéance prévisionnelle des travaux de refonte de la plateforme de Parcoursup et de réécriture de son code source ».

Saisi par l’association Ouvre-boite du refus du Ministère de suivre l’avis favorable émis par la CADA, le Tribunal administratif de Paris a simplement pris en compte l’existence d’un risque, dûment justifié par l’administration par la production d’extraits de rapport d’audit de sécurité.

Ainsi, alors que la CADA tout en reconnaissant le risque s’est livrée à une appréciation faisant intervenir l’appréciation de l’intérêt général à voir l’intégralité du code publié, la juridiction s’en est tenue à une appréciation stricte du texte sur l’existence ou non d’un risque pour la sécurité des systèmes d’information.


 

II/ Sur une responsabilité de l’État en cas de fuite de données


 

Si la décision rendue par le Tribunal administratif de Paris répond à une logique juridique certaine, elle ne suffit pas à occulter les avertissements de la Cour des comptes et de la Commission d’accès aux documents administratifs sur l’inertie de l’administration à corriger les vulnérabilités du code source d’une application créée en 2018.

Des exemples récents d’attaques visant des prestataires en sécurité informatique ou au contraire, de prise de contrôle par les autorités de sites de hackers, démontrent qu’aucun système n’est entièrement sécurisé dans ses dimensions logicielle, matérielle et humaine, même lorsque les moyens adéquats sont mis en œuvre pour sa protection, qui est loin d’être le cas de Parcoursup

Il convient en effet de rappeler que l’application Parcoursup traite un certain nombre d’informations personnelles sensibles, dont la liste figure en annexe de l’arrêté du 31 décembre 2020 portant création d'un traitement automatisé de données à caractère personnel dénommé « Parcoursup », et notamment l’identité, l’état civil, les coordonnées personnelles (adresse postale, téléphone, mail), des informations financières (revenus, avis d’imposition), mais aussi des données de connexion comme l’adresse IP, le média de connexion etc.

Il va donc sans dire que l’exploitation d’une vulnérabilité à des fins de détournement de données personnelles des utilisateurs de Parcoursup (environ 900.000 étudiants chaque année) exposerait des données particulièrement critiques et complètes.

Or, les « incidents » sur la plateforme semblent se multiplier, comme par exemple la diffusion en mai 2020 de 6.500 dossiers de candidatures (https://www.marianne.net/societe/parcoursup-6500-dossiers-d-eleves-diffuses-sur-internet-apres-une-faille-technique), ou encore une soixantaine en juillet 2023 (https://www.rtl.fr/actu/sciences-tech/parcoursup-pirate-le-ministere-evoque-des-donnees-volees-a-un-lycee-breton-7900285685).

Si le piratage ou la violation de données constitue naturellement une infraction pénale (articles 323-1 et suivants du code pénal), il convient de rappeler que le responsable de traitement au sens des dispositions de l’article 99 la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est garant de la sécurité des données qu’il collecte et manipule. Cet article reprend par ailleurs l’obligation prévue à l’article 32 du règlement UE n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Dès lors et indépendamment des sanctions susceptibles d’être prononcées par la CNIL (CE, 26 avril 2022, n°449284), il serait juridiquement envisageable (bien que délicat en pratique du fait de la nécessite de démontrer un lien de causalité avec un préjudice subi) de rechercher la responsabilité de l’administration sur le fondement de la faute s’il devait apparaître que celle-ci n’a pas mis en œuvre les mesures nécessaires à la sécurisation des données et que celles-ci devaient être compromises. Tel semble pourtant bien être le cas s’agissant de l’application Parcoursup au regard des critiques formulées par la Cour des comptes dès 2020, et de l’appréciation du Tribunal administratif qui estime qu’à la date où il statue, la sécurité de l’application n’est toujours pas correctement assurée.

Le refus de publication du code source de Parcoursup pose donc de manière plus large la question de la sécurité des applications utilisées par l’administration et du risque de voir la responsabilité de l’État engagée en sa qualité de responsable du traitement de données personnelles susceptibles d’être compromises du fait d’un manque de diligences.

Pour conclure cet article avec un adage largement utilisé dans le domaine de la sécurité informatique à propos des piratages de données, « la question n’est pas de savoir si cela va arriver mais quand ».