Demande d’accès à des documents officiels, refus basé sur l’intérêt public (sécurité informatique)

Photo de Kateryna Babaieva sur Pexels.com

Le 25 septembre 2020, A.________ a requis auprès de la Centrale des autorisations en matière de construction du canton de Vaud (CAMAC) la communication du ou des rapport (s) d’audit de sécurité de la société B.________ Sàrl transmis au comité de pilotage – COPIL – concernant l’application ACTIS (application de saisie, de traitement et de suivi des demandes de permis de construire et des dossiers de construction) depuis 2015, moyennant éventuel caviardage des noms des collaborateurs et collaboratrices de l’Etat de Vaud. Il se fondait sur la loi vaudoise du 24 septembre 2002 sur l’information (LInfo; RS/VD 170.21). La requête a été transmise à la Direction générale du numérique et des systèmes d’information (DGNSI) comme objet de sa compétence. Par décision du 21 octobre 2020, la DGNSI a refusé l’accès au document, identifié comme étant le « «Test d’intrusion – ACTIS » B.________ Sàrl, 2017 », soit un rapport de tests de sécurité portant sur les vulnérabilités de la plateforme ACTIS, les manières d’exploiter ces failles et les actions pour y remédier. Elle a retenu qu’un intérêt public prépondérant s’opposait à la communication de ce document, qui contenait des informations « très sensibles du point de vue de la sécurité informatique ».

Par arrêt du 30 mars 2021, la Cour de droit administratif et public du Tribunal cantonal vaudois (CDAP) a rejeté le recours formé par A.________ et confirmé la décision de la DGNSI. Se référant à un précédent arrêt du 14 juillet 2020, la CDAP a considéré que le test d’intrusion faisait état des vulnérabilités concrètes de l’application et des correctifs nécessaires non seulement pour la plateforme ACTIS mais aussi pour d’autres applications et systèmes connexes de l’Etat de Vaud. La divulgation de ces informations présentait un risque accru de piratage; il y avait donc un risque pour la sécurité et l’ordre public au sens de l’art. 16 al. 2 let. b LInfo, qu’il s’agisse des vulnérabilités auxquelles il avait été remédié ou des problèmes de sécurité non encore résolus. Un caviardage n’était pas envisageable.

Par acte du 30 avril 2021, A.________ déclare recourir au Tribunal fédéral contre l’arrêt cantonal. Il en demande l’annulation et conclut à ce que la CDAP rende une nouvelle décision dans le sens d’une reconnaissance du droit d’accès.

Selon l’art. 8 al. 1 LInfo, les renseignements, informations et documents officiels détenus par les organismes soumis à la loi sont par principe accessibles au public. Il n’est en l’occurrence pas contesté que le rapport dont le recourant réclame la communication constitue un document officiel tel que défini à l’art. 9 LInfo, ni que la DGNSI fait partie des organes de l’Etat soumis au principe de transparence (art. 2 al. 1 let. a LInfo).

Conformément à l’art. 8 al. 2 LInfo, le chapitre 4 de la loi fixe les limites au droit d’accès. Les art. 16 et 17 LInfo ont la teneur suivante:

Art. 16 Intérêts prépondérants

1 Les autorités peuvent à titre exceptionnel décider de ne pas publier ou transmettre des informations, de le faire partiellement ou différer cette publication ou transmission si des intérêts publics ou privés prépondérants s’y opposent.

2 Des intérêts publics prépondérants sont en cause lorsque :

a. la diffusion d’informations, de documents, de propositions, d’actes et de projets d’actes est susceptible de perturber sensiblement le processus de décision ou le fonctionnement des autorités;

b. une information serait susceptible de compromettre la sécurité ou l’ordre publics;

c. le travail occasionné serait manifestement disproportionné;

d. les relations avec d’autres entités publiques seraient perturbées dans une mesure sensible.

3 Sont réputés intérêts privés prépondérants :

a. la protection contre une atteinte notable à la sphère privée, sous réserve du consentement de la personne concernée;

b. la protection de la personnalité dans des procédures en cours devant les autorités;

c. le secret commercial, le secret professionnel ou tout autre secret protégé par la loi.

Art. 17 Refus partiel

1 Le refus de communiquer un renseignement ou un document conformément à l’article 16 ne vaut le cas échéant que pour la partie du renseignement ou du document concerné par cet article et tant que l’intérêt public ou privé prépondérant existe.

2 L’organisme sollicité s’efforce de répondre au moins partiellement à la demande, au besoin en ne communiquant pas ou en masquant les renseignements ou les parties d’un document concernés par l’intérêt public ou privé prépondérant.

 Comme le relève la cour cantonale, le motif de refus d’accès fondé sur l’existence d’un intérêt public prépondérant au sens de l’art. 16 al. 2 LInfo ne doit être admis que lorsqu’il existe un risque à la fois important et sérieux d’atteinte à un tel intérêt, sous peine de remettre en cause le principe général de transparence posé à l’art. 8 al. 1 LInfo, principe selon lequel la non-transmission d’informations doit rester l’exception. Dans ce cadre, le fardeau de la preuve revient à l’autorité qui s’oppose au droit d’accès mais celle-ci ne doit pas nécessairement apporter la preuve absolue d’une atteinte aux intérêts protégés: comme cela ressort notamment du libellé de l’art. 16 al. 2 let. b LInfo (« serait susceptible de compromettre… »), une certaine vraisemblance est suffisante. 

 Intitulé « Test d’intrusion – ACTIS, Présentation des résultats », le document litigieux est une présentation powerpoint d’une cinquantaine de pages. Il présente notamment le nombre de vulnérabilités identifiées sur la plateforme en question et les risques liés à chacune d’elles, ainsi que l’effort et le temps estimés pour y remédier. Par définition, les indications qui figurent dans ce document sont très sensibles puisqu’elles identifient les failles de sécurité du système ainsi que la manière de les exploiter. La diffusion de telles informations faciliterait à l’évidence des opérations de piratage de l’application. S’agissant d’une plateforme développée au niveau cantonal pour la gestion des permis de construire, il apparaît évident qu’un acte de piratage pourrait perturber les procédures en matière de construction sur une large échelle, et compromettrait la confidentialité et l’intégrité de données qui peuvent s’avérer sensibles. Un tel risque peut, à tout le moins sans arbitraire, être qualifié de grave. La manière dont le document a été transmis à la cour cantonale (non pas en main propre mais par courrier recommandé, comme cela se fait habituellement pour les communications avec les instances judiciaires) ne permet aucunement de remettre en cause l’existence d’un tel risque. 

A la lecture du document en question, on ignore les vulnérabilités auxquelles il a pu être remédié (et dans quelle mesure) et celles qui demeureraient encore actuellement. La réponse à cette question nécessiterait donc une interpellation supplémentaire de l’administration concernée. Dans sa réponse, la DGNSI indique que les problèmes de sécurité de la plateforme ACTIS ne sont pas entièrement résolus, les vulnérabilités constatées affectant des systèmes et applications connexes, ce qui complexifie leur traitement. Quoi qu’il en soit, on ne saurait prétendre, comme le fait le recourant, que la révélation des failles de sécurité qui auraient été entretemps réparées ne présenterait pas de risque. De telles indications peuvent notamment mettre en évidence des points sensibles de l’application et faciliter les tentatives d’intrusion, de blocage ou de détournement. L’arrêt attaqué ne comporte au demeurant aucune contradiction avec le précédent arrêt de la CDAP (GE.2019.0010 du 4 octobre 2019) autorisant la remise d’un procès-verbal du COPIL – ACTIS, après caviardage de toutes les informations liées aux problèmes de sécurité. Ce premier arrêt relève que les renseignements sur les vulnérabilités d’un système informatique ne doivent pas être accessibles, même si l’autorité estime, à raison ou à tort, que la vulnérabilité a été comblée (consid. 4b/bb). C’est dès lors également sans arbitraire que le risque a été reconnu comme encore actuel, quelles que soient les vulnérabilités concernées.

 Le recourant estime que son intérêt à connaître les risques liés à l’utilisation de l’application aurait été ignoré. Il méconnaît que, dans le système de la LInfo comme dans celui des autres lois cantonales et fédérale (LTrans, RS 152.3) sur la transparence, c’est le législateur qui procède à une pesée anticipée des intérêts en présence. L’autorité, puis le juge, doit dès lors se borner à vérifier que les conditions légales pour une restriction d’accès (en l’occurrence l’art. 16 al. 2 let. b LInfo) sont remplies (ATF 144 II 77 consid. 3; arrêt 1C_692/2020 du 9 décembre 2021 consid. 2.1). 

 C’est également en vain que le recourant réclame une version caviardée du document. Comme cela est relevé ci-dessus, les indications sur les vulnérabilités qui auraient été supprimées ne peuvent être révélées, de sorte que c’est le document dans sa quasi-totalité qui devrait être caviardé et ne présenterait ainsi aucun intérêt du point de vue de la transparence de l’administration. La seule information que l’on pourrait retirer d’un document caviardé est le nombre approximatif de failles de sécurité qui ont été détectées, voire – selon la version caviardée produite au dossier – leur gravité. Une telle indication est toutefois elle aussi susceptible d’attirer l’attention de personnes malveillantes et doit, par conséquent, rester secrète. 

Reposant sur des raisons pertinentes et dûment expliquées, l’arrêt attaqué n’apparaît en définitive arbitraire ni dans ses motifs, ni dans son résultat. Le recours doit par conséquent être rejeté, dans la mesure où il est recevable, aux frais de son auteur (art. 66 al. 1 LTF).

(Arrêt du tribunal fédéral 1C_235/2021 du 17 mars 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans transparence, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s