TRIBUNAL CANTONAL

COUR DE DROIT ADMINISTRATIF ET PUBLIC

 

Arrêt du 16 juin 2025

Composition

M. Pascal Langone, président; M. Etienne Poltier, juge suppléant, et M. Guy Dutoit, assesseur; Mme Fabia Jungo, greffière.

 

Recourant

 

A.________, à ********,

  

Autorité intimée

 

Municipalité de Vevey, représentée par Me Pascal NICOLLIER, avocat à Vevey.

  

 

Objet

Loi sur l'information    

 

Recours A.________ c/ décision de la Municipalité de Vevey du 5 février 2025 refusant de communiquer des informations sur la cyberattaque de 25 (22) janvier 2025 (LInfo).

 

Vu les faits suivants:

A.                     A.________ est actif dans la société B.________, qui opère dans le domaine de l'informatique, ce qui l'amène à s'intéresser notamment à la gestion des services informatiques de la commune de Vevey (ci-après aussi: la commune). Se fondant sur la loi vaudoise du 24 septembre 2002 sur l'information (LInfo; BLV 170.21), il a présenté diverses demandes d'information dans ce domaine auprès de la commune.

B.                     La presse s'est faite l'écho, en date du 21 janvier 2025, de diverses cyber-attaques ayant eu pour cibles les sites Internet de plusieurs collectivités publiques romandes (Genève, Cologny et Sierre); le site de la commune Vevey a également été touché, ainsi que le portail de la Confédération pour l'achat de la vignette électronique. L'attaque, selon la presse, était de de type DDoS (Distributed Denial of Service); il s'agit d'une cyber-attaque ciblée où un site web, un serveur ou un réseau est surchargé par des demandes massives, rendant les portails inaccessibles pour les utilisateurs réguliers; lors d'une telle attaque, il n'y a pas de fuite de données.

En lien avec cette cyber-attaque ,A.________, a adressé une demande d'accès à la commune de Vevey, en date du 22 janvier 2025, portant sur les documents suivants:

"1. Le rapport technique décrivant la nature de l'attaque et son impact.

2. Des précisions concernant l'hébergement du site Internet, en particulier les changements récents mentionnés dans l'offre C.________ 10-2023020 du 25.04.2023, laquelle indique une migration vers un serveur géré par la commune de Vevey.

3. Les mesures mises en place ou envisagées pour renforcer la sécurité informatique.

4. Le coût des actions correctives entreprises".

C.                     Par décision du 5 février 2025, la Municipalité de Vevey, s'appuyant sur l'art. 16 al. 2 let. b LInfo, a rejeté la requête, en motivant sa décision comme suit:

"Pour des raisons évidentes de sécurité informatique, la Ville de Vevey n'entend donc pas communiquer sur les aspects techniques décrivant la nature de l'attaque et son impact. De même, elle ne fournira pas d'information sur la migration de ses serveurs ou sur les mesures mises en place pour renforcer la sécurité. Quant au coûts des actions correctives, ils ne sont pas encore connus et seront intégrés quoi qu'il en soit dans les comptes communaux en temps opportun."

D.                     Par acte du 28 février 2025, A.________ a recouru devant la Cour de droit administratif et public du Tribunal cantonal (ci-après: CDAP) contre cette décision; il conclut en substance à ce que la transmission des documents demandés soit ordonnée, sous réserve de caviardage, voire d'une stricte limitation aux seules informations nécessaires à la protection de la sécurité publique. Son mémoire comportait en outre quelques précisions sur les documents et informations demandés.

Dans sa réponse du 2 avril 2025, l'autorité intimée a conclu avec dépens au rejet du recours.

Le 15 avril 2025, le recourant a complété ses moyens, tout en confirmant ses conclusions.

Considérant en droit:

1.                      a) A teneur de l'art. 26 LInfo, les autorités communales statuent sur les demandes concernant leurs activités; elles le font par le biais de décisions. L'art. 24 LInfo prévoit, à son al.1, que la procédure de recours devant le Tribunal cantonal est rapide, simple et gratuite. Quant à son al. 3, il prévoit que la loi vaudoise du 28 octobre 2008 sur la procédure administrative (LPA-VD; BLV 173.36) est applicable aux décisions rendues en vertu de la présente loi, ainsi qu'aux recours contre dites décisions. Il en découle que les décisions des municipalités, rendues en application de l'art. 26 LInfo sont susceptibles de recours à la CDAP (art. 92 LPA-VD).

b) Le recourant, destinataire de la décision lui refusant l'accès au document demandé, auquel il prétend avoir droit, a la qualité pour recourir (art. 75 al. 1 let. a LPA-VD). Le recours a de plus été formé dans le délai (art. 95 LPA-VD) et le respect des formes prescrites (art. 79 et 99 LPA-VD). Il y a partant lieu d'entrer en matière.

c) L'autorité intimée a formulé diverses réquisitions d'instruction. Compte tenu de l'issue du pourvoi, il n'y a pas lieu de donner suite à ces réquisitions.

2.                      Comme on l'a vu, le litige concerne une cyber-attaque. On rappelle ici en premier lieu le cadre légal, soit le régime découlant de la LInfo (let. a à e), tout en fournissant quelques éléments au sujet de l'évolution législative relative à la sécurité de l'information et des données, notamment sur le plan du droit fédéral (let. f).

a) Selon son art. 1, la LInfo a pour but de garantir la transparence des activités des autorités afin de favoriser la libre formation de l'opinion publique (al. 1); à cette fin, elle fixe les principes, les règles et les procédures liées à l'information du public et des médias sur l'activité des autorités, s'agissant notamment de l'information transmise sur demande (al. 2 let. b).

Concernant les informations transmises sur demande et comme déjà évoqué, l'art. 8 LInfo pose le principe selon lequel les renseignements, informations et documents officiels détenus par les organismes soumis à la présente loi sont accessibles au public (al. 1), sous réserve des cas décrits au chapitre IV (art. 15 à 17 LInfo) (al. 2). 

b) Aux termes de l'art. 9 al. 1 LInfo, on entend par document officiel tout document achevé, quel que soit son support, qui est élaboré ou détenu par les autorités, qui concerne l'accomplissement d'une tâche publique et qui n'est pas destiné à un usage personnel. Ces conditions sont cumulatives (CDAP GE.2018.0105 du 25 juillet 2019 consid. 3a, qui se réfère notamment à l'Exposé des motifs et projet de loi [EMPL] sur l'information, BGC septembre-octobre 2002, p. 2647 ad art. 9). Selon l'art. 9 al. 2 LInfo, les documents internes, notamment les notes et courriers échangés entre les membres d'une autorité collégiale ou entre ces derniers et leurs collaborateurs, sont exclus du droit d'information institué par la présente loi.

c) S'agissant des limites à l'accessibilité des renseignements, informations et documents officiels réservées par l'art. 8 al. 2 LInfo, l'art. 16 LInfo prévoit en particulier ce qui suit:

"Art. 16 Intérêts prépondérants

1 Les autorités peuvent à titre exceptionnel décider de ne pas publier ou transmettre des informations, de le faire partiellement ou différer cette publication ou transmission si des intérêts publics ou privés prépondérants s'y opposent.

2 Des intérêts publics prépondérants sont en cause lorsque :

     a.  la diffusion d'informations, de documents, de propositions, d'actes et de projets d'actes est susceptible de perturber sensiblement le processus de décision ou le fonctionnement des autorités;     

     b. une information serait susceptible de compromettre la sécurité ou l'ordre publics;

     […]

     d.  les relations avec d'autres entités publiques seraient perturbées dans une mesure sensible.           

[…]"  

Selon l'art. 17 LInfo, le refus de communiquer un renseignement ou un document conformément à l'art. 16 ne vaut le cas échéant que pour la partie du renseignement ou du document concerné par cet article et tant que l'intérêt public ou privé prépondérant existe (al. 1); l'organisme sollicité s'efforce de répondre au moins partiellement à la demande, au besoin en ne communiquant pas ou en masquant les renseignements ou les parties d'un document concernés par l'intérêt public ou privé prépondérant (al. 2).

d) D'une façon générale, l'art. 16 LInfo doit être interprété de façon similaire à l'art. 7 de la loi fédérale du 17 décembre 2004 sur la transparence (LTrans; RS 152.3). Le refus d'accès (total ou partiel) doit ainsi se justifier par un risque à la fois important et sérieux d'atteintes aux intérêts publics ou privés prépondérants protégés par cette disposition; l'application de ces exceptions, restrictive, doit résulter d'une pesée des intérêts et respecter le principe de la proportionnalité. Le fardeau de la preuve pour réfuter la présomption de publicité établie par la LInfo est à la charge de l'autorité (CDAP GE.2019.0010 du 4 octobre 2019 consid. 4a et les références).

S'agissant en particulier de l'hypothèse prévue par l'art. 16 al. 2 let. b LInfo en lien avec le risque de compromission de la sécurité ou de l'ordre publics, c'est dans chaque cas d'espèce que les autorités doivent déterminer si les conditions en sont réunies, étant précisé que ce motif doit rester l'exception et non pas se transformer en règle; le dommage pour la sécurité ou l'ordre publics doit ainsi être suffisamment grave et exceptionnel pour justifier la non-diffusion d'une information sous motif d'intérêt public prépondérant (cf. EMPL précité, p. 2656 ad art. 16 al. 2 let. b LInfo). Cette exception peut être invoquée si deux conditions sont réalisées: les documents doivent concerner la sécurité ou l'ordre publics, d'une part, et leur communication doit présenter un risque de mise en danger de la sécurité ou de l'ordre publics, d'autre part (cf. Bastien von Wyss, Droit d'accès aux documents officiels: comparaison et étude de la mise en œuvre de quatre lois sur la transparence en Suisse, Mémoire de Master 2011, p. 47).

e) Dans l'arrêt GE.2019.0010 précité, la cour de céans a eu l'occasion de se prononcer sur le bien-fondé d'une décision du Département des infrastructures et des ressources humaines (DIRH) refusant notamment au recourant l'accès à un document intitulé "Actis COPIL du 23 mai 2017" (qualifié de "procès-verbal de la séance du 23 mai 2017 du COPIL ACTIS" par les parties), savoir une présentation sous forme de diapositives visant à assurer un suivi du développement de la plateforme ACTIS (cf. consid. 3b de cet arrêt). L'autorité intimée avait justifié son refus par le fait que la diffusion de ce document était susceptible de déboucher sur une intrusion malveillante ou un détournement de l'utilisation informatique ACTIS, soit sur un piratage, invoquant dans ce cadre - comme dans le cas d'espèce (cf. let. B supra) - une atteinte aux intérêts publics prépondérants mentionnés à l'art. 16 al. 1 (recte: al. 2) let. a, b et d LInfo; le tribunal a retenu en particulier ce qui suit à ce propos (cf. consid. 4b de cet arrêt):

              "bb) Il est notoire que les logiciels informatiques comportent inévitablement des points faibles, des vulnérabilités, qui pourraient être exploitées par une personne malintentionnée pour empêcher l'utilisation du logiciel conformément à son but ou pour utiliser le logiciel à des fins non conformes à son but. Le recourant […] part […] du principe qu'il n'y a plus d'intérêt public prépondérant au secret lorsque les vulnérabilités découvertes ont été comblées. Cette approche est erronée. Il y a au contraire un intérêt public prépondérant à ce que les vulnérabilités d'un logiciel informatique utilisé par l'administration ne soient pas communiquées à l'extérieur. Il n'importe pas que l'autorité ait considéré à raison ou à tort que la vulnérabilité a été comblée. En effet, l'information du public sur des vulnérabilités apparemment comblées peut indiquer à un tiers malintentionné une zone sensible d'un logiciel et faciliter l'exploitation d'une vulnérabilité insuffisamment comblée ou d'une autre vulnérabilité annexe.

              Demeure réservée l'hypothèse dans laquelle les vulnérabilités d'un logiciel seraient susceptibles d'être la cause d'une atteinte aux droits fondamentaux ou aux droits politiques de la personne demandant accès. Le recourant ne soutient toutefois pas que tel serait le cas de la plateforme ACTIS.

              […]

              dd) Au vu de ce qui précède, c'est à juste titre que l'autorité intimée a estimé qu'il y a[vait] un intérêt public prépondérant s'opposant à la communication des vulnérabilités du logiciel ACTIS présentées dans le procès-verbal de la séance du 23 mai 2017 du COPIL ACTIS."

f) Dans le souci d'être complet, on ajoutera que le droit fédéral prévoit, depuis le 1er avril 2025, une obligation d'annonce des cyber-attaques à charge des infrastructures critiques.

aa) Le Parlement fédéral a en effet adopté, le 18 décembre 2020, la loi fédérale sur la sécurité de l'information au sein de la Confédération (ci-après: LSI; RS 128). A teneur de son art. 3, cette loi ne s'applique que de manière limitée aux cantons (notamment lorsque ceux-ci accèdent à des moyens informatiques de la Confédération); elle s'applique en outre aux organisations de droit public ou privé qui exploitent des infrastructures critiques; si elles ne sont pas visées par l'art. 2 al. 1 à 3 LSI, elles ne sont alors soumises qu'aux art. 74 à 80 LSI (art. 2 al. 5 LSI). Les art. 74 ss LSI régissent les infrastructures critiques; l'art. 74, en particulier, prévoit que la Confédération apporte son soutien aux exploitants de telles infrastructures; ce soutien prend diverses formes et porte notamment sur l'identification et l'évaluation des menaces en matière de sécurité de l'information, ainsi que sur le maintien et le rétablissement de cette sécurité après un incident (au sein de la Confédération, un service national est chargé de ces tâches). L'art. 76 LSI, sous le titre marginal "Coopération sur le plan national", prévoit notamment que les exploitants d'infrastructures critiques peuvent communiquer au Service fédéral en charge "des données liées à des incidents, y compris des données personnelles".

bb) Le 29 septembre 2023, la LSI a fait l'objet d'une révision pour renforcer le dispositif légal de lutte contre les cyber-attaques visant les infrastructures critiques; cette modification est entrée en vigueur le 1er avril 2025. Elle comporte de nouvelles dispositions aux art. 73a ss LSI. Elle prévoit désormais, notamment, une obligation de signaler les cyber-attaques à charge des infrastructures critiques, soit notamment à charge des autorités communales (voir à ce sujet art. 74a, qui pose le principe de cette obligation, et l'art. 74b al. 1 let. b; l'art. 74b al. 1 énonçant au demeurant les différentes organisations assujetties à l'obligation d'annoncer). Ces dispositions sont complétées par l'Ordonnance du Conseil fédéral sur la cybersécurité (OCys; RS 128.51); c'est l'Office fédéral de la cybersécurité qui est ainsi chargé désormais de recevoir les annonces de cyber-attaques, de les analyser et d'en assurer le suivi (art. 4 ss OCys). Cet office est chargé plus généralement d'offrir son soutien en cette matière aux autorités de la Confédération et des cantons (art. 7 OCys).

cc) A teneur de l'art. 4 al. 1 LSI, la LTrans prime la présente loi (i.e. la LSI). Cependant, l'al. 1bis (fruit de la novelle entrée en vigueur le 1er janvier 2025), les informations provenant de tiers dont l'Office fédéral de la cybersécurité prend connaissance dans son activité de réception et d'analyse des signalements, conformément aux art. 73a ss LSI "ne peuvent être rendus accessibles en vertu de la LTrans". En d'autres termes, les informations que les infrastructures critiques transmettent à l'Office fédéral précité en lien avec des cyber-attaques doivent être traitées de manière confidentielle (sur les rapports entre la LSI et la LTrans, voir notamment Pauline Meyer/Sylvain Métille, Loi fédérale sur la sécurité de l'information: version 2.0, in: newsletter du 5 septembre 2022, spécialement n° 28 et 43 s.; voir aussi Métille/Meyer, in: Meier/Métille, édit., Commentaire romand de la loi fédérale sur la protection des données, art. 24, N 64 ss, au sujet de la relation entre les signalements à l'Office fédéral de la cybersécurité et celui affaires au Préposé fédéral à la protection des données).

dd) On retient ainsi des dispositions de la LSI en vigueur au 1er avril 2025 que l'autorité intimée aurait été soumise à une obligation de signalement de la cyber-attaque ici en cause, si elle avait eu lieu à une date postérieure; elle s'est déroulée cependant en janvier 2025, de sorte qu'elle échappe à ces dispositions. Néanmoins, l'autorité intimée avait, sous l'empire de la LSI en vigueur auparavant, la faculté de communiquer à l'autorité fédérale au sujet de cet évènement. Quoi qu'il en soit, il résulte de l'art. 4 al. 1bis LSI, dans sa nouvelle teneur, que l'Office fédéral de la cybersécurité n'est pas soumis à la LTrans en relation avec un tel signalement; autrement dit, le droit fédéral permet à cet office de traiter ces informations – et le suivi de celles-ci – de manière confidentielle.

3.                      Il demeure que le présent litige concerne l'application de la LInfo et non un éventuel droit d'accès auprès des autorités fédérales fondé sur la LTrans. Il n'est d'ailleurs pas contesté que les activités de l'autorité intimée dans le domaine informatique (en l'occurrence la gestion du site de cette ville) entrent dans le champ d'application de la LInfo. Il demeure que, conformément à la systématique de cette loi, des exceptions à la transmission peuvent être opposées au requérant en présence d'intérêts prépondérants, publics ou privés. L’autorité requise doit ainsi procéder à une pesée d'intérêts entre l'intérêt public à la diffusion de l'information et les intérêts opposés, soit notamment l'existence d'un intérêt public au refus de renseigner. Cette pesée peut conduire à un refus pur et simple, à une remise partielle des documents (ou renseignements) demandés, voire à différer la transmission (art. 16 al. 1 et 17 LInfo).

a) aa) L'information relative à une cyber-attaque, en soi, présente un intérêt public, par exemple lorsque celle-ci entraîne des perturbations plus ou moins graves dans le fonctionnement de services publics. En outre, lorsque la cyber-attaque a pour conséquence des fuites de données personnelles, il y a un intérêt individuel, correspondant sans doute à un intérêt public également, à ce que les personnes concernées soient informées (sur ces points, voir notamment art. 73c et 73d LSI, qui s'appliquent désormais aux autorités communales).

bb) Toutefois, il convient de prendre en compte également, en sens contraire, un intérêt public à la confidentialité des données recueillies autour de cyber-attaques, et notamment des rapports et analyses effectués à ce propos. L'art. 4 al. 1bis LSI le prévoit d'ailleurs expressément.

Cela étant, dans la mesure où cette disposition, entrée en vigueur le 1er avril 2025 n'est de toute façon pas applicable par l'autorité intimée dans le cadre de la LInfo, force est pour cette dernière de procéder à une pesée d'intérêts, conformément à l'art. 16 al. 1 LInfo.

On peut préciser à ce propos que l'intérêt public ici en cause a trait à la sécurité de l'information. Cependant, ce thème est appréhendé de manière différente en droit fédéral et en droit vaudois. La portée de ce principe est en effet précisée à l'art. 6 LSI et il couvre des exigences de confidentialité, de disponibilité, d'intégrité et de traçabilité (voir art. 6, spéc. al. 2 LSI). S'agissant du droit vaudois, ce principe est énoncé dans la loi vaudoise du 11 septembre 2007 sur la protection des données personnelles (LPrD; BLV 172.65); ainsi, à teneur de l'art. 10 LPrD, le responsable du traitement prend les mesures appropriées pour garantir la sécurité des fichiers et des données personnelles, soit notamment contre leurs pertes, leurs destructions, ainsi que tout traitement illicite. Cette disposition exprime ainsi surtout un intérêt public en lien avec la protection de données personnelles; autrement dit, l'intérêt public à la disponibilité des informations diffusées par un site, tel que celui de l'autorité intimée, n'est pas pris en compte à l'art. 10 LPrD – contrairement à ce qui prévaut dans le cadre de la LSI. Il n'en demeure pas moins que l'autorité intimée est tout à fait habilitée à prendre en compte cet aspect de disponibilité au titre de l’intérêt public dans la pesée des intérêts à laquelle elle procède dans le cadre de l'art. 16 al. 2 let. b LInfo.

cc) Il en découle que l'autorité intimée, lorsqu'elle a été saisie de la requête du recourant en lien avec la cyber-attaque de janvier 2025, était habilitée à donner à l'intérêt public à la confidentialité du traitement de la cyber-attaque en cause un poids prépondérant par rapport à l'intérêt public à la diffusion des informations qui s'y rapportaient. Ce faisant, l'autorité intimée ne faisait que suivre l'exemple adopté par le législateur fédéral lui-même.

dd) Il en découle que le recours, mal fondé dans son principe, doit être rejeté.

b) Ce résultat de principe doit d'ailleurs être confirmé au regard des différents documents ou informations plus précises requises par le recourant (dans sa demande, précisée par son recours). En effet, on a vu que les réactions de l'autorité communale à la suite d'une cyber-attaque devaient être traités de manière confidentielle; cela vaut pour le rapport technique décrivant la nature de l'attaque et son impact; il en va de même des mesures mises en place ou envisagées pour renforcer la sécurité informatique ou encore les éventuelles vulnérabilités créées par une migration vers un serveur géré par l'autorité intimée, à la suite de la reprise par l'entreprise C.________ du mandat de gestion du site de la Ville. Enfin, la question du coût des actions correctives entreprises, qui ne sont sans doute pas encore achevées, pourra être traitée dans le cadre des comptes de la commune, à une date ultérieure, sans doute en 2026; en d’autres termes, la demande apparaît sur ce dernier point prématurée.

4.                      Il découle des considérations qui précèdent que le recours doit être rejeté. Vu la gratuité de la procédure, le présent arrêt doit être rendu sans frais. En revanche, le recourant, qui succombe, doit verser une indemnité de dépens à la commune de Vevey (art. 27 LInfo et 55 LPA-VD).

 

Par ces motifs
 la Cour de droit administratif et public
du Tribunal cantonal
arrête:

 

I.                       Le recours est rejeté.

II.                      La décision rendue le 5 février 2025 par la Municipalité de Vevey, rejetant la requête de A.________ en lien avec une cyber-attaque, est confirmée.

III.                    Il n'est pas prélevé d'émolument.

IV.                    A.________ versera à la commune de Vevey une indemnité de 1'000 (mille) francs à titre de dépens.

 

Lausanne, le 16 juin 2025

 

Le président:                                                                                            La greffière:


                                                                                                                 

 

 

 

Le présent arrêt est communiqué aux participants à la procédure.

Il peut faire l'objet, dans les trente jours suivant sa notification, d'un recours au Tribunal fédéral (Tribunal fédéral suisse, 1000 Lausanne 14). Le recours en matière de droit public s'exerce aux conditions des articles 82 ss de la loi du 17 juin 2005 sur le Tribunal fédéral (LTF - RS 173.110), le recours constitutionnel subsidiaire à celles des articles 113 ss LTF. Le mémoire de recours doit être rédigé dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signé. Les motifs doivent exposer succinctement en quoi l’acte attaqué viole le droit. Les pièces invoquées comme moyens de preuve doivent être jointes au mémoire, pour autant qu’elles soient en mains de la partie; il en va de même de la décision attaquée.