Avis 20200496 - Séance du 12/03/2020

Ministère de l'Intérieur

Monsieur X, pour « Reflets info », a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 29 janvier 2020, à la suite du refus opposé par le ministre de l'Intérieur à sa demande de communication du code source de l'application « ALICEM », permettant l'authentification certifiée de son identité depuis son smartphone et donnant accès aux services publics et privés disponibles via FranceConnect.

La commission rappelle que l'article L300-2 du code des relations entre le public et l'administration, dans sa version issue de l'article 2 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, prévoit que « Sont considérés comme documents administratifs (...) les documents produits ou reçus, dans le cadre de leur mission de service public, par l'État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. Constituent de tels documents notamment les (...) codes sources (...) ». La commission estime que le document sollicité, produit par l'administration dans le cadre de sa mission de service public, est, en principe, un document administratif au sens de ces dispositions et qu'il est, par suite, communicable à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, sous réserve le cas échéant de l'occultation préalable des mentions relevant des secrets protégés en application des dispositions des articles L311-5 et L311-6 de ce code.

La commission, qui a pris connaissance de la réponse du ministre de l'Intérieur, relève toutefois que le moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile » (ALICEM), dont le demandeur sollicite la communication du code source, permet, ainsi que le prévoient les articles 1 et 2 du décret n° 2019-452 du 13 mars 2019, aux ressortissants français titulaires d’un passeport comportant un composant électronique ou aux ressortissants étrangers titulaires d’un titre de séjour comportant un composant électronique de bénéficier d’un « moyen d’identification électronique leur permettant de s'identifier électroniquement et de s'authentifier auprès d'organismes publics ou privés, au moyen d'un équipement terminal de communications électroniques doté d'un dispositif permettant la lecture sans contact du composant électronique de ce passeport ou de ce titre ».

La commission comprend que l’application « ALICEM », développée par le ministre de l’Intérieur et l’agence nationale des titres sécurisés, permet à ses utilisateurs de s’authentifier auprès de l’ensemble des services partenaires du système de traitement de données à caractère personnel FranceConnect, soit plus de 500 services, via un téléphone portable disposant d’un système d’exploitation « Android » et de la technologie de communication en champs proche dite « NFC ». Pour ce faire, l’utilisateur doit d’abord s’inscrire au service depuis son téléphone portable avec son titre d’identité, dont la puce est lue sans contact et dont l’authenticité et la validité sont vérifiées. Un système de reconnaissance faciale permet à ce stade de vérifier qu’il est le titulaire légitime du titre d’identité. Une fois cette inscription effectuée, l’utilisateur peut utiliser l’ensemble des services en s’authentifiant depuis son téléphone portable grâce à un code de sécurité, certains usages nécessitant toutefois la lecture sans contact du titre d’identité.

La commission relève que, dans ce cadre, le code source d’ALICEM intègre des procédures permettant, au cours de ces différentes phases, de garantir un haut niveau de sécurité et de contribuer à la lutte contre la fraude documentaire et contre l’usurpation d’identité ou d’état civil. Il constitue ainsi l’un des facteurs de sécurité de l’application. Le ministre de l’Intérieur indique d’ailleurs à ce titre qu’il est placé en diffusion restreinte au sens de l’arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale.

Au regard de l’ensemble de ces éléments, la commission estime que la divulgation du code source sollicité serait de nature à fragiliser la sécurité de l’application « ALICEM » et à rendre ses utilisateurs plus vulnérables. Elle considère par suite que ce code source est couvert par le d) du 2° de l'article L311-5 du code des relations entre le public et l'administration, qui prévoit que ne sont pas communicables les documents dont la communication porterait atteinte à la sécurité des personnes ou à la sécurité des systèmes d'information.

La commission émet, en conséquence, un avis défavorable à la demande.