Avec DROP, l’association Ouvre-boîte invite les fonctionnaires à « exfiltrer » des données publiques

L’association Ouvre-boîte propose depuis la semaine dernière un « outil sécurisé » qui permet aux fonctionnaires de faire fuiter « anonymement » des documents publics, « sans l'aval de leur hiérarchie ». Cette initiative pose toutefois beaucoup de questions, notamment sur le plan juridique. Nous avons pu nous entretenir avec ses responsables.

Bien que restée jusqu’ici assez discrète, l’association Ouvre-boîte commence à faire parler d’elle. Le mois dernier, ses membres ont ainsi obtenu la publication, par la Direction générale du Trésor, des modèles économétriques Mésange, Opale et Saphir – particulièrement précieux pour simuler des réformes, notamment fiscales.

Son arme de guerre ? Le droit « CADA » d’accès aux documents administratifs. Ouvre-boîte a en effet été créée début 2017 afin de faciliter « la publication effective des documents administratifs, et plus particulièrement des données, bases de données et codes sources ». Elle n’hésite pas à saisir très régulièrement la Commission d’accès aux documents administratifs, voire la justice.

La semaine dernière, l’association a toutefois ajouté une nouvelle corde à son arc : l’ouverture d’une plateforme visant à « exfiltrer les documents administratifs dont la publication est empêchée sans raison légitime », DROP.

Une plateforme censée garantir l'anonymat de ses utilisateurs

Grâce à DROP, un outil particulièrement simple et présenté comme « sécurisé », Ouvre-boîte espère inciter les fonctionnaires à lui transmettre des documents publics injustement conservés loin des regards de la société civile.

« Les données budgétaires de l'État actuellement ouvertes sont très agrégées et ne permettent pas l'exercice effectif du contrôle citoyen sur les deniers publics. Un fonctionnaire en possession de données budgétaires plus complètes pourrait utiliser DROP comme moyen de diffusion », nous explique-t-on au sein de l’association.

L’opération est simple à souhait : il suffit de déposer le ou les fichier(s) à révéler via une page web. Bien évidemment, il ne faut ni s’enregistrer, ni renseigner le moindre élément.

Sur le plan technique, DROP repose sur Enough, « une plateforme de partage de documents à destination des lanceurs d'alerte et inspirée de SecureDrop », détaille l’association. « Les logs de connexion à DROP sont désactivés, ce qui signifie que nous ne pouvons pas retrouver l'identité d'un utilisateur. » Par sécurité, Ouvre-boîte recommande d’utiliser DROP depuis son domicile, si possible avec le navigateur Tor Browser.

Des documents diffusés ensuite sur « data.gouv.fr »

Les documents ainsi « exfiltrés » ont vocation à être publiés par la suite sur « data.gouv.fr », le portail national d’Open Data. Et ce à la condition qu’Ouvre-boîte ait « la certitude que leur publication est légale ».

« En cas de doute, nous pourrons éventuellement solliciter l'avis de la Commission d'accès aux documents administratifs », précise l’organisation. Cette dernière demande en revanche aux agents publics de ne pas recourir à DROP s’ils savent que les données en question sont couvertes par l’un des – nombreux – secrets protégés par la loi : secret défense, secret des affaires, données personnelles, etc.

« Si vous avez un doute sur la communicabilité du document, merci de prendre contact avec nous, peut-on lire sur DROP. Si vous souhaitez publier un document tout en sachant qu'il n'est pas communicable, nous pouvons vous mettre en contact avec des journalistes spécialisés. »

La tâche pourrait toutefois ne pas être simple pour Ouvre-boîte... L’association se veut toutefois optimiste : « Il s'agit de savoir si l'information n'est couverte par aucun des secrets énumérés par la loi. Nous commençons à bien les connaître ! En cas de doute, il nous sera toujours possible de saisir la CADA (après une demande infructueuse auprès de l'administration) pour obtenir son avis. »

Mais est-ce vraiment légal ? « Les article 26 et 27 de la loi Le Pors autorisent explicitement les fonctionnaires à satisfaire les demandes d'accès aux documents administratifs sans l'aval de leur hiérarchie », nous répond Ouvre-boîte. Ce fameux texte impose plus exactement aux fonctionnaires de « satisfaire aux demandes d'information du public », dans le respect des règles relatives au secret professionnel.

« L'anonymat ne remet pas en cause cette protection juridique pour le fonctionnaire », poursuit l’association. « Si vous publiez un document qui n'est couvert par aucun secret, vous n'enfreignez aucune loi. En revanche, vous pouvez mécontenter votre hiérarchie. C'est pourquoi DROP vous propose l'anonymat. »

« Quant à nous, nous ne sommes qu'un rediffuseur, au même titre que datagouv », poursuit-on au sein de l’association.

Une impression de fichiers « tombés du camion »

Cette plateforme n’est cependant pas du goût de tout le monde. « Nous ne pensons pas que l’initiative soit favorable à l’Open Data », a ainsi fait savoir Laure Lucchesi, directrice de la mission Etalab (l’institution chargée d’accompagner les administrations dans leur démarche d’ouverture de données publiques).

« Obtenir par l’intermédiaire de DROP des « documents administratifs » dont on ne peut attester ni du caractère officiel, ni de la source, ni de la date de mise à jour n’est pas à même d’apporter la sécurité nécessaire à la réutilisation des données publiques », écrit l’intéressée dans un billet de discussion ouvert sur le site « TeamOpenData ». 

À ses yeux, il paraît ainsi difficile de pouvoir faire confiance à des données « tombées » en quelque sorte du camion. D'autant que rien ne garantira que certains éléments n'aient pas été modifiés, potentiellement à des fins de nuire à quelqu'un ou à une institution.

« Rien ne nous empêchera de demander à l'administration productrice une confirmation de l'authenticité, rétorque-t-on néanmoins du côté d’Ouvre-boîte. À elle de choisir alors entre une publication sauvage et une publication en son nom. »

Benjamin Ooghe-Tabanou, de l’association Regards Citoyens, voit un autre avantage à ces exfiltrations de documents administratifs. « Si l’administration se refuse à publier les données correspondantes, cela aura au moins le mérite dans un premier temps de permettre déjà de confirmer leur existence ainsi que de les voir et les utiliser. Mais surtout, cela pourra probablement permettre ensuite de les libérer réellement : une fois leur existence démontrée et leur contenu dévoilé, l’administration se montre généralement rapidement soit plus encline, soit contrainte, à céder à la publication » explique-t-il sur « TeamOpenData ».

L’intéressé touche là à un problème vieux comme la loi CADA : si le public n’a pas connaissance de l’existence d’un document administratif, il s’avère bien difficile d’en demander sa communication...

Une logique de « confrontation » assumée avec les administrations

L'association Ouvre-boîte ne cache pas qu'avec cette nouvelle initiative, elle espère « installer un sentiment d'insécurité au sein des administrations qui rejettent le mouvement de l'Open Data » :

« Au début, nous avions imaginé davantage d'actions reposant sur la collaboration avec des fonctionnaires : tenue conjointe d'un registre de documents à ouvrir prioritairement, apport de compétences de la société civile pour faciliter l'ouverture de codes sources ou de bases de données, mise en relation de collectivités pour partager des codes sources ou des bases de données et ainsi éviter les duplications... Mais nous nous sommes vite rendus compte que cette approche était naïve et ne fonctionnait pas. »

« Notre approche actuelle, basée sur la confrontation directe, marche très bien » assure l’organisation, qui a en tête la récente ouverture des modèles du Trésor. « Pour autant, nous n'avons pas renoncé à susciter la participation de ceux qui sont au plus près des données. Peut-être avons-nous de meilleures chances avec DROP ? »

• Accéder à DROP (lire avant les précisions d'Ouvre-boîte)