Monsieur X a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 22 juin 2024, à la suite du refus opposé par le ministre de l’intérieur et des outre-mer à sa demande de communication sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, des documents suivants relatifs à l’application France identité :
1) le code source du logiciel pour les plates-formes mobiles iOS et Android ;
2) la liste des exigences matérielles requises pour l’application (par exemple: processeurs, RAM, espace de stockage requis, puce de chiffrement (type TPM ou secure-enclave) si elle est requise par l’application, version de la norme NFC utilisée par l’application avec les exigences matérielles afférentes) ;
3) la liste des raisons qui aboutissent à ce que iOS 16 et Android 11.0 soient requis au minimum pour faire fonctionner l’application ;
4) la liste des dépendances logicielles, si elles existent, obligeant l’utilisateur à s’inscrire à un compte Google ou à un compte Apple pour faire fonctionner l’application avec toutes ses fonctionnalités.

La commission relève que la présente demande porte sur des documents relatifs à l’application France Identité, qui permet à ses utilisateurs de s'identifier et de s'authentifier auprès d'organismes publics ou privés en utilisant leur téléphone portable. France Identité permet ainsi notamment aux usagers de s’authentifier auprès de France Connect et d’accéder aux démarches liées à cette application, de produire des justificatifs d’identité ou d’importer leur permis de conduire numérique.

1. Pour ce qui concerne les listes sollicitées aux points 2) à 4) de la demande :

En premier lieu, Monsieur X a informé la commission que sa demande sur les points 2) et 4) avait été satisfaite par les explications que lui a apportées la directrice générale de France Titres-Agence nationale des titres sécurisés (ANTS). La commission prend acte de son désistement sur ces points.

En second lieu, si le demandeur n’a pas expressément renoncé au point 3) de sa demande, la commission rappelle que le livre III du code des relations entre le public et l'administration garantit à toute personne un droit d’accès aux documents administratifs existants ou susceptibles d’être obtenus par un traitement automatisé d’usage courant, mais ne fait pas obligation aux autorités administratives de répondre aux demandes de renseignements qui leur sont adressées, ni d'élaborer un document nouveau en vue de procurer les renseignements ou l'information souhaités (CE, 30 janvier 1995, Ministre d'État, Ministre de l’éducation nationale, n° 128797 ; CE, 22 mai 1995, Association de défense des animaux victimes d'ignominie ou de désaffection, n° 152393). La commission ne peut par suite que se déclarer incompétente pour se prononcer sur le point 3), qui porte en réalité sur des renseignements et sur lequel, au demeurant, la directrice générale de l’ANTS a également apporté des réponses à Monsieur X.

2. Pour ce qui concerne le code source sollicité au point 1) de la demande :

La commission rappelle qu’aux termes de l’article L300-2 du code des relations entre le public et l’administration : « Sont considérés comme documents administratifs (...) les documents produits ou reçus, dans le cadre de leur mission de service public, par l'État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. Constituent de tels documents notamment les (...) codes sources (...) », qui peuvent être définis comme les programmes informatiques contenant les instructions devant être exécutées par un micro-processeur.

Le code source de l’application France Identité, mise à disposition du public par l’ANTS, constitue ainsi un document administratif relevant du droit d’accès organisé par le livre III du code des relations entre le public et l'administration, communicable à toute personne en faisant la demande dans les conditions et sous les réserves prévues par ces dispositions.

En premier lieu, la commission rappelle qu'aux termes du premier alinéa de l'article L311-2 de ce code, le droit à communication ne s'applique qu'à des documents achevés. Les documents inachevés en la forme, tels que les ébauches, brouillons et versions successives d'un document, qui précèdent l'élaboration d'un document complet et cohérent, ne peuvent ainsi être communiqués en l'état. La commission précise cependant que la circonstance que le document comporte des inexactitudes ou erreurs, ou qu'il puisse éventuellement être modifié à l'avenir, notamment par ajout ou actualisation, ne lui confère pas de ce seul fait un caractère inachevé, en particulier lorsque l'échéance de la modification reste indéterminée.

En réponse à la demande qui lui a été adressée, la directrice générale de l’ANTS a indiqué maintenir son refus de communication, à ce stade, du code source de France Identité dont elle considère qu’il présente encore le caractère d’un document inachevé, dès lors que des opérations complémentaires pour évaluer sa sécurité étaient toujours en cours.

La commission en prend note mais relève que l’application France Identité a été mise à disposition du grand public en février 2024 après avoir été testée auprès d’un nombre restreint d’utilisateurs volontaires dans une version beta à compter de l’année 2022. La commission observe également qu’une certification de sécurité de premier niveau a été délivrée à l’application par l’Agence nationale de la sécurité des systèmes d’information en novembre 2023. La commission en déduit que le code source de l’application, telle qu’elle a été mise en ligne au début de l’année 2024, présente, pour l’application de l’article L311-2 du code des relations entre le public et l'administration, un caractère achevé. La circonstance que ce code source soit susceptible de faire l’objet de correctifs ou de modifications au vu des résultats des opérations d’évaluation de sécurité en cours et, au-delà, tout au long de sa période d’utilisation, n’est pas de nature à lui retirer ce caractère.

En second lieu, la commission rappelle qu’en vertu du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration, ne sont pas communicables les documents dont la communication porterait atteinte à la sécurité des systèmes d’information des administrations.

Comme elle l’a fait dans son avis de partie I n° 20213847 du 13 janvier 2022, la commission souligne que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l'administration. Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code source traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système.

La commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants.

La commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des systèmes d’information.

Elle rappelle, enfin, que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter l’article L311-1 du code des relations entre le public et l'administration, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations.

En l’espèce, la directrice générale de l’ANTS a fait valoir que la communication intégrale de certains fragments du code source présenterait des risques en termes de sécurité, notamment ceux se rapportant à la lecture sans contact –NFC du composant électronique des cartes d’identité.

La commission relève que selon les informations disponibles sur le site france-identité.gouv.fr, en particulier dans la synthèse de l’analyse d’impact relative à la protection des données, l’application France Identité nécessite d’abord que l’utilisateur s’inscrive depuis son téléphone portable avec sa carte d’identité, dont le composant électronique doit être lu au moyen de la technologie NFC. L’utilisateur saisit et valide ensuite son adresse de courrier électronique personnelle puis demande le déblocage d’un code personnel, qui lui est adressé par courrier postal recommandé. Après inscription, l’utilisateur définit alors un nouveau code personnel pour utiliser l’application. Les données lues dans le composant électronique de la carte d’identité font par ailleurs l’objet d’une vérification de leur intégrité, de l’authenticité et de la validité du titre avant d’être transférées dans ou par l’application.

Ainsi, la commission comprend que le code source de l’application France Identité intègre des procédures de sécurité spécifiques afin de garantir la meilleure protection des données, d’assurer une identification de niveau élevé d’une identité numérique d’État et de contribuer à la lutte contre la fraude documentaire. Eu égard aux finalités particulières de cette application et à la sensibilité des données sur lesquelles elle porte, la commission considère que les fragments du code source dont la communication serait susceptible de fragiliser ces procédures et d’exposer les utilisateurs de France Identité à des risques doivent être regardés comme relevant du risque d’atteinte à la sécurité des systèmes d’information, au sens du d) du 2° de l’article L311-5 du code des relations entre le public et l'administration.

La commission estime par suite que le code source de France Identité est communicable à toute personne en faisant la demande après occultation ou disjonction de ces fragments, en application des dispositions combinées des articles L311-5 et L311-7 du code des relations entre le public et l'administration.

Elle émet, sous cette réserve, un avis favorable sur le point 1) de la demande.