Monsieur X a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 22 juillet 2025, à la suite du refus opposé par la présidente du Conseil national de l'ordre des pharmaciens à sa demande de communication, sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, des documents suivants :
1) le code source de l'application Dossier Pharma sur iOS ;
2) le code source de l'application Dossier Pharma sur Android.

Après avoir pris connaissance de la réponse de la présidente du Conseil national de l’ordre des pharmaciens, la commission rappelle, d'une part, qu'aux termes de l'article L300-2 du code des relations entre le public et l'administration : « Sont considérés comme documents administratifs, au sens des titres Ier, III et IV du présent livre, quels que soient leur date, leur lieu de conservation, leur forme et leur support, les documents produits ou reçus, dans le cadre de leur mission de service public, par l'État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission (...). Constituent de tels documents notamment les (...) codes sources (...) », qui peuvent être définis comme les programmes informatiques contenant les instructions devant être exécutées par un micro-processeur.

La commission rappelle, d'autre part, que le Conseil d'État a jugé, dans sa décision de section du 22 février 2007, n° 264541, « qu'indépendamment des cas dans lesquels le législateur a lui-même entendu reconnaître ou, à l’inverse, exclure l’existence d’un service public, une personne privée qui assure une mission d’intérêt général sous le contrôle de l’administration et qui est dotée à cette fin de prérogatives de puissance publique est chargée de l’exécution d’un service public. Toutefois, même en l’absence de telles prérogatives, une personne privée doit également être regardée, dans le silence de la loi, comme assurant une mission de service public lorsque, eu égard à l’intérêt général de son activité, aux conditions de sa création, de son organisation ou de son fonctionnement, aux obligations qui lui sont imposées ainsi qu’aux mesures prises pour vérifier que les objectifs qui lui sont assignés sont atteints, il apparaît que l’administration a entendu lui confier une telle mission ».

La commission en déduit que lorsqu'une personne morale de droit privé est chargée d'une mission de service public, les documents qu'elle élabore ou détient ne constituent des documents administratifs au sens de l'article L300-2 du code des relations entre le public et l'administration que s’ils présentent un lien suffisamment direct avec l’accomplissement de cette mission.

En l'espèce, la commission rappelle que le Conseil national de l’ordre des pharmaciens est chargé de la gestion d’un service public au sens de l'article L300-2 du code des relations entre le public et l'administration (avis n° 20172392 du 21 juillet 2017, conseil de partie II n° 20254940 du 4 septembre 2025).

Parmi les missions qui lui sont confiées à ce titre, l'article L4231-2 du code de la santé publique mentionne « la mise en œuvre du dossier pharmaceutique mentionné à l'article L161-36-4-2 du code de la sécurité sociale », dont les dispositions sont aujourd'hui reprises à l'article L1111-23 du code de la santé publique. Ce dossier, créé pour chaque bénéficiaire de l'assurance maladie et alimenté par tout pharmacien à l'occasion de la dispensation, a pour objet de « favoriser la coordination, la qualité, la continuité des soins et la sécurité de la dispensation des médicaments, produits et objets définis à l'article L4211-1 [du code de la santé publique] et les dispositifs implantables ». Sauf opposition du patient, le dossier pharmaceutique du patient peut être consulté par les professionnels de santé énumérés à l’article L1111-23 du code de la santé publique.

La commission relève ensuite que le Conseil national de l’ordre des pharmaciens propose, par ailleurs, aux particuliers une application dénommée « Dossier Pharma ». Cette application permet à un patient d’accéder aux données relatives aux médicaments qui lui ont été délivrés enregistrées dans le dossier pharmaceutique décrit ci-dessus, de consulter l’historique des démarches effectuées sur ce dossier par les professionnels de santé autorisés ainsi que d’exercer ses droits d’accès, de rectification et d’opposition sur le traitement de données à caractère personnel que constitue le dossier pharmaceutique.

La commission constate qu’il en résulte que les données sur lesquelles porte l’application « Dossier Pharma » et les fonctionnalités principales qu’elle propose sont très étroitement liées au dossier pharmaceutique dont la mise en œuvre a été confiée au Conseil national de l’ordre des pharmaciens. Par suite, et bien qu’aucun texte ne fasse obligation à ce dernier de proposer une telle application à destination des patients, la commission estime que les codes source de « Dossier Pharma » présentent un lien suffisamment direct avec l’accomplissement de la mission de service public du Conseil national de l’ordre des pharmaciens. Elle en déduit ainsi que les codes source sollicités sont des documents administratifs soumis au droit d’accès organisé par le livre III du code des relations entre le public et l’administration.

En deuxième lieu, la commission prend note que la présidente du Conseil national de l’ordre des pharmaciens soutient que la communication de ces codes source pourrait compromettre la sécurité de ses systèmes d’information et de ceux de la société X, à qui sont sous-traités le développement et l’hébergement de l’application, ainsi que porter atteinte au secret des affaires de cette dernière.

La commission rappelle, d’une part, qu’en vertu du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration, ne sont pas communicables les documents dont la communication porterait atteinte à la sécurité des systèmes d’information des administrations.

Comme elle l’a fait dans son avis de partie I n° 20213847 du 13 janvier 2022, la commission souligne que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l'administration. Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code source traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système.

La commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants.

La commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des systèmes d’information.

Elle souligne que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter l’article L311-1 du code des relations entre le public et l'administration, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations.

La commission rappelle, d’autre part, comme elle l’a fait dans ses avis de partie II n° 20220816 du 31 mars 2022 et de partie I n° 20221454 du 23 juin 2022, qu’aux termes de l’article L311-4 du code des relations entre le public et l’administration : « Les documents administratifs sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique ». Il résulte de ces dispositions, telles qu'interprétées par le Conseil d’État, qu'avant de procéder à la communication de documents administratifs grevés de droits d’auteur n'ayant pas déjà fait l'objet d'une divulgation au sens de l'article L121-2 du code de la propriété intellectuelle, il appartient à l'administration saisie de recueillir l'accord de leur auteur (CE, 8 novembre 2017, n° 375704).

La commission souligne que pour être protégées par des droits de propriété intellectuelle, la jurisprudence exige que les œuvres de l’esprit se caractérisent par une certaine originalité, en ce qu’elles font apparaître l’empreinte, le style ou encore la personnalité de leur auteur, ou encore l’apport ou l’effort intellectuel de ce dernier. Elle en déduit que si l’autorité saisie l’informe qu’un tiers détenant des droits de propriété intellectuelle sur un document administratif en sa possession n’a pas donné son accord à la communication, il lui incombe de démontrer que le document sollicité constitue effectivement une œuvre de l’esprit, en fournissant des éléments circonstanciés justifiant son apport créatif. La commission estime qu’un simple renvoi aux stipulations contractuelles retenant cette qualification est, à cet égard, insuffisant.

Dans l’hypothèse où l’autorité saisie apporterait cette preuve, l’article L311-4 du code des relations entre le public et l’administration trouverait à s'appliquer. Les droits de propriété intellectuelle feraient alors obstacle à la demande de communication et la commission émettrait, par suite, un avis défavorable sur ce fondement.

Dans l’hypothèse inverse, le secret des affaires prévu au 1° de l'article L311-6 du code des relations entre le public et l’administration, lequel comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles, serait un motif permettant à l’autorité saisie de s’opposer à la communication d’un code source ou a minima, de procéder à l’occultation ou à la disjonction des mentions couvertes. La commission relève qu’un code source est protégé, notamment, au titre du secret des procédés et des savoir-faire, en ce que sa communication révélerait un procédé particulier dont la divulgation pourrait porter à l’organisme l’ayant développé un préjudice commercial dans ses activités concurrentielles en révélant à des tiers des développements qui lui sont propres contribuant à la performance de ses systèmes d'information, à la résilience de ses services et à l'architecture logicielle sous-jacente de ses systèmes. Il incombe à l’organisme concerné de faire la preuve de la matérialité du préjudice commercial allégué (avis n° 20193176, du 16 janvier 2020).

Enfin, comme indiqué dans l’avis n° 20220816 du 31 mars 2022, un refus de communication ne peut être opposé, sur le fondement du 1° de l’article L311-6 du code des relations entre le public et l’administration, que si l’atteinte au secret des affaires est établie et fait obstacle à la communication du document dans son intégralité. Il appartient à l’autorité saisie de se livrer à cette analyse et de fournir des éléments probants en ce sens, en se rapprochant, le cas échéant, de l’organisme concerné.

En l’espèce, la commission estime que les risques évoqués par la présidente du Conseil national de l’ordre des pharmaciens sont peu circonstanciés. Il ne ressort ainsi pas des informations portées à la connaissance de la commission que les secrets protégés par les articles L311-5 et L311-6 du code des relations entre le public et l’administration feraient obstacle à toute communication des codes source sollicités.

Dans ces conditions, la commission considère que ces documents sont communicables à toute personne en faisant la demande, en application de l’article L311-1 du même code, après occultation ou disjonction des fragments relevant des secrets et intérêts protégés par ces articles, en particulier la sécurité des systèmes d’information et le secret des affaires.

Elle émet donc un avis favorable à la demande, sous ces réserves.

La commission prend enfin note de l’intention exprimée de communiquer à Monsieur X les principes fondamentaux des schémas de l’architecture fonctionnelle de l’application « Dossier Pharma ». Si elle comprend que ces principes fondamentaux ne retracent pas l’intégralité des codes sources de cette application, elle invite les parties à se rapprocher pour déterminer si cette transmission serait de nature à satisfaire le demandeur.