Monsieur X, pour l'association X, a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 8 mai 2021, à la suite du refus opposé par la ministre de l'Enseignement supérieur, de la Recherche et de l’Innovation à sa demande de communication, par voie de publication en ligne, du code source complet de Parcoursup, notamment les 2690 fichiers SQL (pour un total de 858 493 lignes) et les 21 fichiers Java (pour un total de 2 911 lignes) ainsi que leurs mises à jour futures.

1. Rappel du cadre juridique de la communication des codes sources des administrations

La commission rappelle qu’aux termes de l'article L300-2 du code des relations entre le public et l'administration, dans sa version issue de l'article 2 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique : « Sont considérés comme documents administratifs (...) les documents produits ou reçus, dans le cadre de leur mission de service public, par l'État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. Constituent de tels documents notamment les (...) codes sources (...) », définis comme les programmes informatiques contenant les instructions devant être exécutées par un micro-processeur.

La commission précise aussi que le droit d’accès aux documents administratifs, qui a valeur constitutionnelle (décision du Conseil constitutionnel n° 2020-834, du 3 avril 2020), s’exerce dans les conditions fixées aux articles L300-2 et L311-1 et suivants du code des relations entre le public et l’administration, lesquelles concilient l’exigence de transparence de l’action administrative découlant des dispositions de l’article 15 de la Déclaration de 1789 et la protection des secrets protégés par la loi, à l’instar de la sécurité des systèmes d’information des administrations prévue au d) du 2° de l’article L311-5 du même code.

La commission relève que la sécurité des systèmes d’information - dispositif ou ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques - consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces systèmes d'information offrent ou rendent accessibles (Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité). Cette notion ne doit pas être confondue avec la sûreté du fonctionnement des systèmes d’information, qui traite de leur aspect qualitatif, c’est-à-dire leur aptitude à remplir une ou plusieurs fonctions requises dans des conditions données.

La commission insiste, en outre, sur l’importance particulière qui s’attache à la diffusion publique des codes sources des administrations, gage de transparence administrative, ainsi que l’a relevé le rapport de la mission Bothorel sur la politique publique de la donnée, des algorithmes et des codes sources, remis au Premier ministre en décembre 2020. Un algorithme public est une procédure administrative dont tout ou partie est informatisée et qui intervient dans un processus de décision pour les citoyens.

Le code source est la traduction informatique de cet algorithme. Il explicite la méthode de prise de décision administrative, permet de contrôler l’interprétation et l’application de la règle de droit mise en œuvre par les pouvoirs publics et renforce la confiance des usagers dans le dispositif. La commission observe, à cet égard, que l’ouverture des codes sources de l’administration, présentée comme un gage de confiance démocratique, est l’un des trois enjeux identifiés dans le plan d’action du Gouvernement en matière de logiciels libres et communs numériques conçu par le ministère de la Transformation et de la Fonction publiques qui a été lancé en novembre 2021.

La commission précise, par ailleurs, que la communication des codes sources est un facteur de fiabilisation et de sécurisation des systèmes d’information, dès lors qu’elle permet de confronter le code à des retours utilisateurs. Comme l’a indiqué Guillaume POUPARD, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), auditionné par la mission Bothorel : « C’est le phénomène de faux sentiment de sécurité qui est le plus néfaste pour les acteurs qui n’ouvrent pas leur code source, de sécurité par l’obscurité, qui se privent en réalité d’une connaissance de leurs propres vulnérabilités ».

La commission indique également, à la lumière des éléments d’information portés à sa connaissance par les représentants de la CNIL et l’ANSSI, qui ont été auditionnés lors de l’instruction du dossier, que lorsque les administrations utilisent des techniques appropriées pour sécuriser leurs logiciels et respectent certaines règles de codage, la communication des codes sources ne présente aucun risque en termes de sécurité. En effet, la sécurité des systèmes d’information est supposée être assurée par des dispositifs périmétriques, qui ne sont pas dans le champ du logiciel ou de l’application concernée et qui n’ont donc pas vocation à être retranscrits dans le code source concerné.

La commission déduit de ces éléments que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l’administration.

Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système.

La commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants.

La commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des système d’information. Elle précise que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, l’article L311-1 du code des relations entre le public et l’administration, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations.

2. Application au cas d’espèce

2.1. Sur la recevabilité de la demande :

En l’espèce, le demandeur sollicite la communication, par voie de publication en ligne, du code source complet de Parcoursup.

La commission observe, en premier lieu, que le II de l’article L612-3 du code de l’éducation prévoit la communication du code source des traitements automatisés utilisés pour le fonctionnement de la plateforme « Parcoursup », ainsi que du cahier des charges présenté de manière synthétique et de l'algorithme du traitement.

Elle observe qu'une partie du code source de Parcoursup, accompagnée d'une présentation et d'une description des algorithmes mis en œuvre dans la plateforme Parcoursup, a été publiée sur le site Internet framagit.org, le 21 mai 2018, et fait l’objet d’une mise à jour annuelle. Dans un avis de partie II, n° 20182093, du 12 décembre 2018, elle a considéré que ce document faisait l’objet d'une diffusion publique, au sens de l’article L311-2 du code des relations entre le public et l’administration.

Postérieurement à cet avis, la Cour des Comptes a toutefois indiqué, dans son rapport intitulé « Un premier bilan de l'accès à l'enseignement supérieur dans le cadre de la loi orientation et réussite des étudiants », du 27 février 2020, qu’en dépit des actions de mise en transparence du ministère, le code source de Parcoursup restait à 99 % fermé.

La commission déduit de ces éléments que la présente demande, en tant qu’elle porte sur la communication du code source complet de Parcoursup, est recevable.

2.2. Sur l’examen au fond de la demande :

La commission observe que le rapport de la Cour des Comptes a mis en exergue les fragilités des systèmes d’information de la plateforme Parcoursup en termes de sécurité, de performance et de robustesse, lesquelles présentent des risques importants en termes de qualité et de continuité du service public, ainsi que de sécurité des données personnelles traitées. Le rapport indique en outre que l’application Parcoursup présente « une qualité médiocre, avec un niveau de risque élevé et de nombreuses violations critiques identifiées » et que le dispositif présenterait un « risque de rupture de service » et ne serait « pas non plus à l’abri d’une intrusion ».

Il ressort de l’instruction écrite de la demande et de l’audition des représentants du ministère de l'Enseignement supérieur, de la Recherche et de l’Innovation par la commission que la plupart des failles critiques identifiées ont depuis lors été corrigées.

La commission a en particulier été informée que la plateforme Parcoursup faisait l’objet d’un mécanisme de refonte progressive « par blocs », qui s’est intensifié postérieurement au rapport de la Cour des Comptes. L’effort s’est concentré, en première intention, sur deux blocs « critiques », qui ont été réécrits et qui sont le cœur algorithmique de la plateforme, à savoir d’une part, les éléments permettant le calcul d’un ordre d'appel (prise en compte des quotas boursiers, proposition de formations ou d’hébergement en internat…) et d’autre part, les éléments se rapportant à l’algorithme de calcul quotidien des propositions faites aux candidats. Les fragments du code source correspondant, qui sont publiés, permettent aux usagers de vérifier que le fonctionnement de la plateforme est conforme au droit et favorisent la pleine compréhension des mécanismes de procédure d’entrée dans l’enseignement supérieur. Les parties les plus anciennes de la plateforme, dont les fragments de code source demeurent à ce jour non publiés, correspondent, quant à eux, pour l’essentiel au traitement des flux de données recueillies auprès des candidats et des établissements. La refonte de ce bloc est en cours.

Interrogé sur ce point, le ministère de l'Enseignement supérieur, de la Recherche et de l’Innovation a indiqué que ces fragments non publiés entrent dans leur intégralité dans le champ du d) du 2° de l’article L311-5 du code précité. La commission comprend des précisions apportées et des réponses aux questions posées que la plateforme Parcoursup présente toujours, en dépit de sa refonte progressive, de nombreuses failles et vulnérabilités, liées à son architecture héritée d’APB, à son niveau de complexité, à son utilisation massive, à son évolution par sédimentation et, enfin, à son interconnexion avec d’autres systèmes d’information. La divulgation du code source complet de la plateforme faciliterait l’exploitation de ces fragilités et favoriserait des intrusions potentielles, lesquelles présenteraient des risques très importants en termes de sécurité, à savoir notamment, une perte ou un vol massif de données à caractère personnel, une utilisation frauduleuse du système pour en modifier son exécution (élévation de privilèges ou remise en cause du classement par exemple), voire une rupture de service. Le ministère ayant indiqué être dans l’incapacité d’isoler les fragments du code porteurs de risques pour la sécurité des systèmes d’information, il s’oppose à la communication de l’intégralité de ces éléments.

La commission observe qu’en application des principes rappelés au point 1. ci-dessus, sous réserve de l’occultation ou de la disjonction des éléments couverts par le secret des systèmes d’information, entendus strictement comme indiqué précédemment, le code source de Parcoursup a vocation à être intégralement publié, y compris les fragments se rapportant aux parties les plus anciennes de la plateforme qui sont les plus importants en terme volumétrique puisque représentant 99% du code source et qui, bien que ne constituant pas son « cœur algorithmique », contiennent des informations précieuses pour les usagers, comme l’a relevé la Cour des Comptes dans son rapport.

La commission regrette que cette publication ne puisse, en l’état, être réalisée pour les motifs de sécurité portés à sa connaissance et dont elle ne peut que prendre acte, en présence d’un opérateur de service essentiel qui ne peut souffrir d’aucune interruption ou dysfonctionnement majeur. Elle observe que, postérieurement à la publication du rapport de la Cour des Comptes, les moyens humains de l’équipe informatique consacrée à Parcoursup ont été renforcés. Des efforts ont par ailleurs été fournis pour une montée en qualité du code. Elle retient aussi de l’audition des représentants du ministère l’engagement de procéder, au plus tard en juin 2023, à la publication de nouvelles parties du code source qui auront été réécrites et sécurisées.

Compte tenu du laps de temps significatif qui s’est écoulé depuis le rapport de la Cour des comptes, la commission estime toutefois que les avancées réalisées par le ministère de l'Enseignement supérieur, de la Recherche et de l'Innovation en termes d’ouverture du code source de Parcoursup ne sont, à la date de son avis, et compte tenu de l’importance quantitative et qualitative du service fourni aux usagers par ce service numérique, dont l’usage est par ailleurs obligatoire pour les accédants à l’enseignement supérieur, pas à la hauteur des enjeux. La complexité du code ne saurait, à elle seule justifier les résultats décevants ainsi constatés. Eu égard à l’intérêt général qui s’attache à la publication intégrale du code source sollicité, la commission déplore que l’autorité ministérielle soit dans l’incapacité de lui indiquer l’échéance prévisionnelle des travaux de refonte de la plateforme de Parcoursup et de réécriture de son code source.

Compte tenu de ces éléments, la commission émet, dès lors, un avis favorable à la demande d’avis, sous réserve de l’occultation ou de la disjonction des seuls éléments couverts par le secret des systèmes d’information, entendus strictement comme indiqué précédemment, tout en prenant acte des circonstances particulières portées à sa connaissance faisant obstacle à la publication immédiate du code source de Parcoursup. Compte tenu des enjeux de la présente demande en termes de transparence, elle invite le ministère de l'Enseignement supérieur, de la Recherche et de l'Innovation à redoubler d’effort et à prendre l’ensemble des mesures appropriées pour suivre les recommandations formulées dans le présent avis et pour assurer, dans les plus brefs délais, la communication par voie de publication en ligne du code source concerné.