Loi Numérique : les codes sources de l’administration communicables par principe

Loi Numérique : les codes sources de l’administration communicables par principe

Dress code

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

01/07/2016 4 minutes
6

Loi Numérique : les codes sources de l’administration communicables par principe

Suivant la « jurisprudence » de la CADA et du juge administratif, le législateur s’apprête à faire entrer les codes sources de l’administration dans la liste des documents administratifs communicables de plein droit au citoyen (qui en fait la demande).

Mercredi 29 juin, en commission mixte paritaire, les députés ont en effet réussi à imposer leur préférence aux sénateurs. Le projet de loi Numérique fera ainsi des « codes sources » (de logiciels notamment) des documents administratifs communicables par principe à ceux qui les réclameront, au même titre que les rapports, circulaires, statistiques, dossiers, études, instructions, correspondances, procès-verbaux...

Au Sénat, on se souvient que l’introduction de ces dispositions avait suscité beaucoup de craintes, jugées « infondée[s] » par Axelle Lemaire. Les élus du Palais du Luxembourg s’étaient malgré tout rabattus sur une réforme dispensant les « personnes publiques ou privées chargées d’une mission de service public dans un secteur exposé à la concurrence » – telles qu’EDF ou la SNCF – de se plier à cette nouvelle règle. Cette « dispense » ayant sauté, l’ensemble des acteurs publics ou para-publics devront donner suite aux requêtes des citoyens : l’État au sens large, les collectivités territoriales, les établissements publics, les opérateurs chargés d’une mission de service public (comme La Poste), etc.

Une communication soumise à conditions

De la même manière qu’aujourd’hui, les administrations pourront toutefois refuser de communiquer un code source dont la divulgation porterait atteinte à la sécurité publique ou au secret industriel et commercial – notamment. Le projet de loi Numérique va même plus loin en la matière, puisqu’il fait de la « sécurité des systèmes d'information » un motif de non ouverture d’un document administratif.

Cet équilibre trouvé par les parlementaires ne satisfait cependant guère Frédéric Couchet, le délégué général de l’Association de promotion du logiciel libre (April). « Cette reconnaissance constitue une première étape d’une informatique loyale au service du citoyen », concède l’intéressé, avant d’ajouter : « Malheureusement, l'ajout de l'exception pour sécurité des systèmes d'information apparaît disproportionnée et porte le risque de vider l'avancée de cet article de sa substance. Cette exception est ancrée dans le fantasme de la sécurité par l'obscurité » regrette-t-il.

Face à une administration récalcitrante, les citoyens n’auront d’autre choix que de saisir la Commission d’accès aux documents administratifs (CADA). Cette autorité administrative indépendante n’émet que des avis – non contraignants – mais ceux-ci font figure de préalable obligatoire avant de saisir le juge administratif.

D’assez longue date, l’institution considère pour mémoire que les codes sources doivent être considérés comme des documents administratifs (la loi propose une liste qui n’est pas restrictive). Sa « jurisprudence » a d’ailleurs été confirmée début 2016 par le tribunal administratif de Paris, dans l’affaire concernant le code source du logiciel de calcul de l’impôt sur le revenu. « Si les programmes informatiques ont vocation à évoluer au gré des mises à jour, chaque version du code source d’un même programme informatique revêt le caractère de document administratif achevé et peut être communiqué dans cet état », ont ainsi considéré les magistrats.

Plus de transparence sur les traitements algorithmiques

Sur un terrain similaire, le projet de loi Numérique impose aux administrations d’informer les usagers qu’une décision individuelle les concernant a été prise sur le fondement d’un traitement algorithmique (calcul d’aide sociale, affection d’enseignant, admission post-bac, etc.). « Les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre » devront ensuite être communiquées à toute personne qui en fera la demande. Un décret viendra toutefois fixer les modalités d’application de ces dispositions – et très probablement leur date d’entrée en vigueur.

En complément, les administrations devront automatiquement mettre en ligne (sans qu’un citoyen n’ait cette fois à faire de demande) « les règles définissant les principaux traitements algorithmiques utilisés dans l'accomplissement de leurs missions lorsqu'ils fondent des décisions individuelles ». Là aussi, un décret devra être pris, deux ans « au plus tard » après la publication de la loi Lemaire au Journal officiel.

6

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une communication soumise à conditions

Plus de transparence sur les traitements algorithmiques

Commentaires (6)


à la bonne heure <img data-src=" />


Bien mais qu’en est il de la responsabilité d’exécution. Si une faille est trouvée, et qu’elle défavorise les citoyens (ou l’état). Ou alors s’il elle met en danger la vie privée des individus? Quels sont les recours, qui sont les interlocuteurs?


Oui et non : ce n’est pas terrible de donner les sources aux hackers potentiels qui pourront développer un malware sur mesure pour exploiter les (nombreuses) failles des applis (mal codées).

Mais ce qui est bien, c’est que ça peut motiver les équipes de dev blinder le code.


Donc on peut demander le code source du logiciel qui calcul le nombre de chômeurs en France ? Ainsi que les spécifications fonctionnelles ?

On va donc découvrir qui est le grand statisticien qui sait ^^


La France est bel et bien une dictature, une dictature des geeks qui veulent voir tout en open-source <img data-src=" />


Il me semble parfaitement ridicule de forcer des acteurs privés à ouvrir leur code…









Geologic a écrit :



Bien mais qu’en est il de la responsabilité d’exécution. Si une faille est trouvée, et qu’elle défavorise les citoyens (ou l’état). Ou alors s’il elle met en danger la vie privée des individus? Quels sont les recours, qui sont les interlocuteurs?





Le fait d’ouvrir le code ne change rien. D’ailleurs, si tu fais face à une attaque, tu n’as a priori pas de moyen de savoir si ton assaillant a trouvé la faille ne lisant ton code source ou non.

Le responsable est l’administration qui gère le système. Je suppose qu’en même temps qu’ils publient un code, il publient une adresse mail à qui communiquer d’éventuels failles (d’ailleurs, on ne devrait pas attendre d’avoir à publier son code pour avoir une plate-forme de signalement des bugs).