|
|
TRIBUNAL CANTONAL COUR DE DROIT ADMINISTRATIF ET PUBLIC |
|
|
|
|
Composition |
M. Pascal Langone, président; Mme Marie-Pierre Bernel et Mme Mélanie Chollet, juges; M. Vincent Bichsel, greffier |
|
Recourant |
|
|
Autorité intimée |
|
Direction générale du numérique et des systèmes d'information, à Renens, |
|
Autorité concernée |
|
Préposé à la protection des données et à l'information, à Lausanne |
|
Objet |
Loi sur l'information |
|
|
Recours A.________ c/ décision de la Direction générale du numérique et des systèmes d'information du 21 octobre 2020 (demande d'accès à des documents officiels) |
Vu les faits suivants:
A. a) Par courrier électronique adressé le 25 septembre 2020 à la Centrale des autorisations en matière de construction (CAMAC), A.________, se référant à la loi vaudoise du 24 septembre 2002 sur l'information (LInfo; BLV 170.21), a requis que lui soit communiquée gratuitement "une copie du ou des rapport(s) d'audit de sécurité de la société B.________ transmis au COPIL ACTIS depuis 2015". Il a relevé que les noms des collaborateurs et collaboratrices de l'Etat de Vaud figurant sur les documents en cause pouvaient dans ce cadre être "caviard[és]".
Par courrier du 8 octobre 2020, le directeur général de la Direction générale du territoire et du logement (DGTL), dont dépend la CAMAC, a indiqué ne pas être possession des documents concernés; il a informé l'intéressé que sa requête avait en conséquence été transmise à la Direction générale du numérique et des systèmes d'information (DGNSI) comme objet de sa compétence.
b) Par décision du 21 octobre 2020, la DGNSI a refusé à A.________ l'accès au document souhaité, qu'elle avait pu identifier comme étant le "«Test d'intrusion - ACTIS », B.________ Sàrl, 2017". Elle a retenu qu'un intérêt public prépondérant s'opposait à la communication de ce document, qui contenait des informations "très sensibles du point de vue de la sécurité informatique".
B. A.________ a formé recours contre cette décision devant la Cour de droit administratif et public (CDAP) du Tribunal cantonal par acte du 23 novembre 2020, concluant à son annulation avec pour suite principalement que les documents dont l'accès était requis lui étaient transmis (dans une version caviardée) "sans aucune restriction", et subsidiairement qu'il était autorisé à consulter ces documents "sans aucune restriction" et à en obtenir copie contre paiement d'un émolument. Il a en substance fait valoir que le document évoqué avait été établi "plus de trois ans" auparavant et que la DGNSI avait ainsi eu "très largement le temps de corriger les éventuelles failles de son logiciel ACTIS" dont il avait été fait état; à supposer même qu'il y ait lieu de retenir que la communication de certaines informations y figurant puissent entraîner un risque sécuritaire "actuel et vraisemblable", la DGNSI n'en aurait pas moins dû répondre au moins partiellement à sa demande, en masquant les parties des documents concernées. Il a en outre soutenu dans ce cadre que seul un risque "accru" de piratage de l'application pouvait justifier que des informations ne soient pas accessibles.
L'autorité intimée a principalement conclu au rejet du recours dans sa réponse du 17 décembre 2020, évoquant les motifs suivants à titre d'intérêts publics prépondérants s'opposant à ce que le document en cause soit communiqué au recourant:
"n) La diffusion à des tiers du rapport de tests d'intrusion litigieux et les risques de piratage qui en découlent sont avant tout susceptibles de perturber sensiblement le processus de décision et le fonctionnement des autorités (cf. art. 16 al. 2 let. a LInfo). Sont principalement visées ici la Centrale des autorisations en matière de construction (CAMAC) et la DGNSI. […]
o) La sécurité et l'ordre publics seraient également susceptibles d'être compromis si les informations contenues dans le rapport d'intrusion - ACTIS, B.________ sàrl, 2017 étaient diffusées puis utilisées à mauvaises escient (cf. art. 16 al. 2 let. b LInfo). […]
[…]
q) En dernier lieu, les relations avec d'autres entités publiques,
particulièrement avec les communes, seraient sensiblement perturb.s si le test
d'intrusion
- ACTIS, B.________ sàrl, 2017 était transmis au recourant (cf. art. 16 al. 2
let. d LInfo). Le risque de piratage informatique qui en découlerait les
affecterait également, étant donné qu'elles travaillent en étroite
collaboration avec la CAMAC dans le domaine de la police des constructions. […]"
Invité à déposer ses éventuelles déterminations sur le recours en tant qu'autorité concernée, le Préposé à la protection des données et à l'information n'a pas réagi dans le délai imparti.
Le recourant a confirmé les conclusions de son recours par écriture du 6 janvier 2021. Il a en particulier maintenu que, s'agissant des problèmes de sécurité qui avaient été résolus dans l'intervalle à tout le moins, les anciennes vulnérabilités du système pouvaient être divulguées - dès lors qu'il n'y avait plus de risque de piratage par ce biais. Quant aux "vulnérabilités encore existantes", il a précisé qu'il acceptait le "caviardage de toute description suffisamment détaillée d'une faille (y compris les manières de l'exploiter" dont la divulgation représenterait un risque accru de piratage de l'application. Il a enfin fait valoir que les utilisateurs de cette application avaient le droit d'être informés des risques encourus et qu'il n'existait aucun intérêt public prépondérant "à refuser la communication des extraits du document officiel demandé traitant des éventuelles conséquences d'une intrusion, comme des risques encourus par les utilisateurs […] en lien avec les problèmes de sécurité précités, puisqu'il [était] impossible d'en déduire la nature de la vulnérabilité qui en [était] la cause".
C. Le tribunal a statué par voie de circulation.
Considérant en droit:
1. Aux termes de l'art. 41 Cst-VD, l'Etat et les communes informent la population de leurs activités selon le principe de la transparence. Ce devoir d'information est réglementé dans la loi vaudoise du 24 septembre 2002 sur l'information (LInfo; BLV 170.21), qui s'applique notamment au Conseil d'Etat et à son administration, à l'exclusion de ses fonctions juridictionnelles (art. 2 let. b LInfo).
La LInfo pose à son art. 8 le principe selon lequel les renseignements, informations et documents officiels détenus par les organismes soumis à la présente loi sont accessibles au public (al. 1), sous réserve des cas décrits au chapitre IV (al. 2). S'agissant - comme en l'espèce - des "demandes portant sur l'activité de l'administration cantonale", il résulte de l'art. 20 al. 1 LInfo que, pour toute demande du public portant sur des renseignements, la consultation de dossier ou sur une activité des autorités énumérées à l'art. 2 LInfo, l'entité administrative compétente doit indiquer par écrit les motifs l'ayant conduite à ne pas donner son autorisation, à la donner partiellement ou à différer sa transmission. Aux termes de l'art. 21 al. 1 LInfo, l'intéressé peut recourir au Préposé, ou directement au Tribunal cantonal. Pour le surplus, la loi vaudoise du 28 octobre 2008 sur la procédure administrative (LPA-VD; BLV 173.36) est applicable aux décisions rendues en vertu de la LInfo ainsi qu'aux recours contre dites décisions (cf. art. 27 al. 3 LInfo).
Déposé en temps utile (cf. art. 95 LPA-VD), le présent recours satisfait en outre aux autres conditions formelles de recevabilité (cf. en particulier art. 79 al. 1 LPA-VD, applicable par renvoi de l'art. 99 LPA-VD), de sorte qu'il y a lieu d'entrer en matière sur le fond.
2. Le litige porte sur le refus de l'autorité intimée de communiquer au recourant le rapport intitulé "Test d'intrusion - ACTIS" établi en 2017 par la société B.________ Sàrl.
a) Selon son art. 1, la LInfo a pour but de garantir la transparence des activités des autorités afin de favoriser la libre formation de l'opinion publique (al. 1); à cette fin, elle fixe les principes, les règles et les procédures liées à l'information du public et des médias sur l'activité des autorités, s'agissant notamment de l'information transmise sur demande (al. 2 let. b).
Concernant les informations transmises sur demande et comme déjà évoqué, l'art. 8 LInfo pose le principe selon lequel les renseignements, informations et documents officiels détenus par les organismes soumis à la présente loi sont accessibles au public (al. 1), sous réserve des cas décrits au chapitre IV (art. 15 à 17 LInfo) (al. 2).
b) Aux termes de l'art. 9 al. 1 LInfo, on entend par document officiel tout document achevé, quel que soit son support, qui est élaboré ou détenu par les autorités, qui concerne l'accomplissement d'une tâche publique et qui n'est pas destiné à un usage personnel. Ces conditions sont cumulatives (CDAP GE.2018.0105 du 25 juillet 2019 consid. 3a, qui se réfère notamment à l'Exposé des motifs et projet de loi [EMPL] sur l'information, BGC septembre-octobre 2002, p. 2647 ad art. 9). Selon l'art. 9 al. 2 LInfo, les documents internes, notamment les notes et courriers échangés entre les membres d'une autorité collégiale ou entre ces derniers et leurs collaborateurs, sont exclus du droit d'information institué par la présente loi.
En l'espèce, il n'est pas contesté que le rapport auquel le recourant souhaite avoir accès est un document officiel au sens de l'art. 9 al. 1 LInfo respectivement qu'il ne s'agit pas d'un document interne au sens de l'art. 9 al. 2 LInfo.
c) S'agissant des limites à l'accessibilité des renseignements, informations et documents officiels réservées par l'art. 8 al. 2 LInfo, l'art. 16 LInfo prévoit en particulier ce qui suit:
Art. 16 Intérêts prépondérants
1 Les autorités peuvent à titre exceptionnel décider de ne pas publier ou transmettre des informations, de le faire partiellement ou différer cette publication ou transmission si des intérêts publics ou privés prépondérants s'y opposent.
2 Des intérêts publics prépondérants sont en cause lorsque :
a. la diffusion d'informations, de documents, de propositions, d'actes et de projets d'actes est susceptible de perturber sensiblement le processus de décision ou le fonctionnement des autorités;
b. une information serait susceptible de compromettre la sécurité ou l'ordre publics;
[…]
d. les relations avec d'autres entités publiques seraient perturbées dans une mesure sensible.
[…]
Selon l'art. 17 LInfo, le refus de communiquer un renseignement ou un document conformément à l'art. 16 ne vaut le cas échéant que pour la partie du renseignement ou du document concerné par cet article et tant que l'intérêt public ou privé prépondérant existe (al. 1); l'organisme sollicité s'efforce de répondre au moins partiellement à la demande, au besoin en ne communiquant pas ou en masquant les renseignements ou les parties d'un document concernés par l'intérêt public ou privé prépondérant (al. 2).
d) D'une façon générale, l'art. 16 LInfo doit être interprété de façon similaire à l'art. 7 de la loi fédérale du 17 décembre 2004 sur la transparence (LTrans; RS 152.3). Le refus d'accès (total ou partiel) doit ainsi se justifier par un risque à la fois important et sérieux d'atteintes aux intérêts publics ou privés prépondérants protégés par cette disposition; l'application de ces exceptions, restrictive, doit résulter d'une pesée des intérêts et respecter le principe de la proportionnalité. Le fardeau de la preuve pour réfuter la présomption de publicité établie par la LInfo est à la charge de l'autorité (CDAP GE.2019.0010 du 4 octobre 2019 consid. 4a et les références).
S'agissant en particulier de l'hypothèse prévue par l'art. 16 al. 2 let. b LInfo en lien avec le risque de compromission de la sécurité ou de l'ordre publics, c'est dans chaque cas d'espèce que les autorités doivent déterminer si les conditions en sont réunies, étant précisé que ce motif doit rester l'exception et non pas se transformer en règle; le dommage pour la sécurité ou l'ordre publics doit ainsi être suffisamment grave et exceptionnel pour justifier la non-diffusion d'une information sous motif d'intérêt public prépondérant (cf. EMPL précité, p. 2656 ad art. 16 al. 2 let. b LInfo). Cette exception peut être invoquée si deux conditions sont réalisées: les documents doivent concerner la sécurité ou l'ordre publics, d'une part, et leur communication doit présenter un risque de mise en danger de la sécurité ou de l'ordre publics, d'autre part (cf. Bastien von Wyss, Droit d'accès aux documents officiels: comparaison et étude de la mise en œuvre de quatre lois sur la transparence en Suisse, Mémoire de Master 2011, p. 47).
e) Dans l'arrêt GE.2019.0010 précité (auquel l'autorité intimée se réfère dans sa réponse au recours), la cour de céans a eu l'occasion de se prononcer sur le bien-fondé d'une décision du Département des infrastructures et des ressources humaines (DIRH) refusant notamment au recourant l'accès à un document intitulé "Actis COPIL du 23 mai 2017" (qualifié de "procès-verbal de la séance du 23 mai 2017 du COPIL ACTIS" par les parties), savoir une présentation sous forme de diapositives visant à assurer un suivi du développement de la plateforme ACTIS (cf. consid. 3b de cet arrêt). L'autorité intimée avait justifié son refus par le fait que la diffusion de ce document était susceptible de déboucher sur une intrusion malveillante ou un détournement de l'utilisation informatique ACTIS, soit sur un piratage, invoquant dans ce cadre - comme dans le cas d'espèce (cf. let. B supra) - une atteinte aux intérêts publics prépondérants mentionnés à l'art. 16 al. 1 (recte: al. 2) let. a, b et d LInfo; le tribunal a retenu en particulier ce qui suit à ce propos (cf. consid. 4b de cet arrêt):
"bb) Il est notoire que les logiciels informatiques comportent inévitablement des points faibles, des vulnérabilités, qui pourraient être exploitées par une personne malintentionnée pour empêcher l'utilisation du logiciel conformément à son but ou pour utiliser le logiciel à des fins non conformes à son but. Le recourant […] part […] du principe qu'il n'y a plus d'intérêt public prépondérant au secret lorsque les vulnérabilités découvertes ont été comblées. Cette approche est erronée. Il y a au contraire un intérêt public prépondérant à ce que les vulnérabilités d'un logiciel informatique utilisé par l'administration ne soient pas communiquées à l'extérieur. Il n'importe pas que l'autorité ait considéré à raison ou à tort que la vulnérabilité a été comblée. En effet, l'information du public sur des vulnérabilités apparemment comblées peut indiquer à un tiers malintentionné une zone sensible d'un logiciel et faciliter l'exploitation d'une vulnérabilité insuffisamment comblée ou d'une autre vulnérabilité annexe.
Demeure réservée l'hypothèse dans laquelle les vulnérabilités d'un logiciel seraient susceptibles d'être la cause d'une atteinte aux droits fondamentaux ou aux droits politiques de la personne demandant accès. Le recourant ne soutient toutefois pas que tel serait le cas de la plateforme ACTIS.
[…]
dd) Au vu de ce qui précède, c'est à juste titre que l'autorité intimée a estimé qu'il y a[vait] un intérêt public prépondérant s'opposant à la communication des vulnérabilités du logiciel ACTIS présentées dans le procès-verbal de la séance du 23 mai 2017 du COPIL ACTIS."
f) En l'espèce, l'autorité intimée a exposé en particulier ce qui suit pour justifier son refus de communiquer le document en cause au recourant dans sa réponse au recours:
"f) Le test d'intrusion - ACTIS, B.________ sàrl, 2017 […] est un rapport de tests de sécurité sous la forme de diapositives PowerPoint, produit par la société B.________ sàrl, spécialisée dans la sécurité des systèmes d'information. Ce type de rapport met en exergue les éventuelles vulnérabilités d'un système informatique et explique les manières d'exploiter ces failles et par conséquent les actions adéquates pour y remédier. […]
g) […] le test d'intrusion - ACTIS[,] B.________ sàrl, 2017 fait état des vulnérabilités concrètes et des correctifs nécessaires à la sécurité informatique non seulement de la plateforme ACTIS, mais également d'autres applications et systèmes connexes de l'Etat de Vaud. […]
h) […] ces vulnérabilités ne doivent en aucun cas être divulguées à des tiers, car il s'en suivrait un risque accru de piratage de l'application et des systèmes connexes. […] Un piratage d'ACTIS et d'autres systèmes connexes serait dommageable en ce qui concerne l'intégrité, la confidentialité et la traçabilité des données qui transitent par ces systèmes. Un hacker, même doté d'une expérience limitée, serait en mesure d'orienter ses actions de manière à porter préjudice à la plateforme ACTIS et aux autres systèmes connexes concernés en suivant les précisions inclues dans le rapport et la manière d'exploiter les failles découvertes. Il pourrait ainsi compromettre l'application, prendre la maîtrise d'un serveur (ce qui lui permettrait d'agir également sur d'autres serveurs) ainsi qu'injecter des données dans les systèmes ou en extraire massivement. Pour toutes ces raisons, donner accès à ces informations présente le risque que les procédures de permis de construire et plus généralement la sécurité des systèmes concernés soient considérablement exposées à un acte malveillant et dommageable.
i) […] les systèmes d'information ne fonctionnent pas en silos cloisonnés, ils sont au contraire bien souvent interconnectés, de telle sorte que les vulnérabilités et failles détectées lors d'un test d'intrusion ne concernent que rarement une seule application ou un seul système, renforçant ainsi le caractère déjà très sensible des informations contenues dans un rapport de sécurité tel que celui qui est objet de la présente procédure.
j) De manière générale, même le personnel de la [DGNSI] n'est pas mis au courant des problèmes touchant la sécurité d'une application, cela pour éviter des risques de fuite d'informations sensibles vers l'extérieur. Il s'agit de mesures de protection standards appliquées à l'ensemble de l'Administration cantonale vaudoise dans le domaine de l'informatique. Compte tenu de leur haute sensibilité, l'accès à ces rapports de sécurité est très restreint et fait l'objet d'une protection stricte, leur dossier de stockage étant par ailleurs chiffré.
k) Contrairement ce qu'allègue le recourant, les problèmes de sécurité de la plateforme ACTIS ne sont pour l'heure pas encore entièrement résolus. De fait, les vulnérabilités constatées concernent également des systèmes et applications connexes, ce qui complexifie leur traitement. Les délais fixés dans la planification des correctifs n'ont malheureusement pas pu tous être respectés. […]"
Ces explications entraînent la pleine conviction du tribunal quant à la vraisemblance du risque sérieux et actuel que représenterait la communication du rapport au cause en tant qu'une telle communication serait susceptible, à tout le moins, de compromettre la sécurité ou l'ordre publics au sens de l'art. 16 al. 2 let. b LInfo. Les conséquences que pourrait avoir une intrusion malveillante et le fait que les systèmes d'information vaudois sont dans une large mesure interconnectés (cf. let. h et i), en particulier, obligent dans ce cadre à retenir que le dommage pour la sécurité et l'ordre publics serait suffisamment grave et exceptionnel pour justifier la non-diffusion de ce document (cf. consid. 2 d supra). Il n'y a en outre pas lieu, quoi qu'en pense le recourant, de distinguer entre les vulnérabilités relevées dans ce rapport auxquelles il aurait d'ores et déjà été remédié et les problèmes de sécurité qui n'auraient pas encore été entièrement résolus; on peut se référer à cet égard à la teneur du consid. 4b/bb de l'arrêt GE.2019.0010 précité, en ce sens en substance que l'information du public quant à l'existence d'une vulnérabilité est susceptible de présenter des risques même dans l'hypothèse où l'autorité a considéré, à tort ou à raison, qu'il y avait été remédié (cf. consid. 2e supra); compte tenu des enjeux, on ne saurait faire grief à l'autorité intimée de faire montre d'une prudence particulière en la matière.
g) Le recourant soutient par ailleurs que l'autorité intimée aurait néanmoins dû répondre au moins partiellement à sa demande, en masquant le cas échéant les informations susceptibles d'entraîner un risque sécuritaire.
L'art. 17 LInfo prévoit en effet, en substance, que le refus de communication d'un document pour un motif d'intérêt public ou privé prépondérant ne vaut que pour la partie de ce document concerné par l'intérêt en cause respectivement que l'autorité doit s'efforcer de répondre au moins partiellement à la demande. Dans l'arrêt GE.2019.0010 précité, le tribunal a ainsi retenu que le document en cause contenait également d'autres informations que celles relatives à des vulnérabilités connues à cette date de l'application concernée (données financières et de ressources humaines, données statistiques, échéanciers et planning) et que "seules p[ouvaient] être soustraites au droit à l'information les informations protégées par l'intérêt public prépondérant pertinent, à savoir en l'espèce l'intérêt public à ce que les vulnérabilités d'un logiciel informatique utilisé par l'administration ne soient pas communiquées à l'extérieur" (cf. consid. 5a de cet arrêt); il a en conséquence réformé la décision attaquée en ce sens que le document serait remis au recourant dans une version caviardée, excluant les informations liées aux problèmes de sécurité (cf. consid. 5b de cet arrêt).
En l'occurrence toutefois, le rapport intitulé "Test d'intrusion - ACTIS" établi en 2017 par la société B.________ Sàrl porte exclusivement sur les vulnérabilités de ce système informatique et sur les manières d'exploiter ces failles et des actions pour y remédier, qui sont directement liées. Le recourant ne pourrait en conséquence tirer aucune information d'une version de ce document dans laquelle ces éléments auraient été masqués. Dans ces conditions, la décision attaquée ne prête pas le flanc à la critique.
3. Il résulte des considérants qui précèdent que le recours doit être rejeté et la décision attaquée confirmée.
Il n'est pas perçu d'émolument (cf. art. 49 al. 1 LPA-VD et 27 al. 1 LInfo) ni alloué de dépens (cf. art. 55 al. 1 LPA-VD).
Par
ces motifs
la Cour de droit administratif et public
du Tribunal cantonal
arrête:
I. Le recours est rejeté.
II. La décision rendue le 21 octobre 2020 par la Direction générale du numérique et des systèmes d'information est confirmée.
III. Il n'est pas perçu d'émolument ni alloué de dépens.
Lausanne, le 30 mars 2021
Le présent arrêt est communiqué aux destinataires de l'avis d'envoi ci-joint.
Il peut faire l'objet, dans les trente jours suivant sa notification, d'un recours au Tribunal fédéral (Tribunal fédéral suisse, 1000 Lausanne 14). Le recours en matière de droit public s'exerce aux conditions des articles 82 ss de la loi fédérale du 17 juin 2005 sur le Tribunal fédéral (LTF; RS 173.110), le recours constitutionnel subsidiaire à celles des articles 113 ss LTF. Le mémoire de recours doit être rédigé dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signé. Les motifs doivent exposer succinctement en quoi l’acte attaqué viole le droit. Les pièces invoquées comme moyens de preuve doivent être jointes au mémoire, pour autant qu’elles soient en mains de la partie; il en va de même de la décision attaquée.