CDAP - GE.2020.0217 - 2021-03-30 - A.________/Direction générale du numérique et des systèmes d'information - DGNSI, Préposé à la protection des données et à l'information

TRIBUNAL CANTONAL

COUR DE DROIT ADMINISTRATIF ET PUBLIC

Arrêt du 30 mars 2021

Composition

M. Pascal Langone, président;

Mme Marie-Pierre Bernel et Mme Mélanie Chollet, juges; M. Vincent Bichsel,

greffier

Recourant

A.________, à

********,

P_FIN

Autorité intimée

Direction générale du numérique et

des systèmes d'information, à Renens,

P_FIN

Autorité concernée

Préposé à la protection des données

et à l'information, à Lausanne

P_FIN

Objet

Loi sur

l'information

Recours A.________ c/ décision de la Direction générale du

numérique et des systèmes d'information du 21 octobre 2020 (demande d'accès à

des documents officiels)

Vu les faits suivants:

A.

a) Par courrier électronique adressé le 25 septembre 2020 à la Centrale

des autorisations en matière de construction (CAMAC), A.________, se référant à

la loi vaudoise du 24 septembre 2002 sur l'information (LInfo; BLV 170.21), a

requis que lui soit communiquée gratuitement "une copie du ou des

rapport(s) d'audit de sécurité de la société B.________ transmis au COPIL ACTIS

depuis 2015". Il a relevé que les noms des collaborateurs et

collaboratrices de l'Etat de Vaud figurant sur les documents en cause pouvaient

dans ce cadre être "caviard[és]".

Par courrier du 8 octobre 2020, le directeur général

de la Direction générale du territoire et du logement (DGTL), dont dépend la

CAMAC, a indiqué ne pas être possession des documents concernés; il a informé

l'intéressé que sa requête avait en conséquence été transmise à la Direction

générale du numérique et des systèmes d'information (DGNSI) comme objet de sa

compétence.

b) Par décision du 21 octobre 2020, la DGNSI a

refusé à A.________ l'accès au document souhaité, qu'elle avait pu identifier

comme étant le "«Test d'intrusion - ACTIS », B.________ Sàrl, 2017".

Elle a retenu qu'un intérêt public prépondérant s'opposait à la communication

de ce document, qui contenait des informations "très sensibles du point

de vue de la sécurité informatique".

B.

A.________ a formé recours contre cette décision devant la Cour de droit

administratif et public (CDAP) du Tribunal cantonal par acte du 23 novembre

2020, concluant à son annulation avec pour suite principalement que les

documents dont l'accès était requis lui étaient transmis (dans une version

caviardée) "sans aucune restriction", et subsidiairement qu'il

était autorisé à consulter ces documents "sans aucune restriction"

et à en obtenir copie contre paiement d'un émolument. Il a en substance fait

valoir que le document évoqué avait été établi "plus de trois ans"

auparavant et que la DGNSI avait ainsi eu "très largement le temps de

corriger les éventuelles failles de son logiciel ACTIS" dont il avait

été fait état; à supposer même qu'il y ait lieu de retenir que la communication

de certaines informations y figurant puissent entraîner un risque sécuritaire

"actuel et vraisemblable", la DGNSI n'en aurait pas moins dû

répondre au moins partiellement à sa demande, en masquant les parties des documents

concernées. Il a en outre soutenu dans ce cadre que seul un risque "accru"

de piratage de l'application pouvait justifier que des informations ne soient

pas accessibles.

L'autorité intimée a principalement conclu au rejet

du recours dans sa réponse du 17 décembre 2020, évoquant les motifs suivants à

titre d'intérêts publics prépondérants s'opposant à ce que le document en cause

soit communiqué au recourant:

"n) La diffusion à des tiers du rapport de tests d'intrusion

litigieux et les risques de piratage qui en découlent sont avant tout

susceptibles de perturber sensiblement le processus de décision et le

fonctionnement des autorités (cf. art. 16 al. 2 let. a LInfo). Sont

principalement visées ici la Centrale des autorisations en matière de construction

(CAMAC) et la DGNSI. […]

o) La sécurité et l'ordre publics seraient également susceptibles

d'être compromis si les informations contenues dans le rapport d'intrusion -

ACTIS, B.________ sàrl, 2017 étaient diffusées puis utilisées à mauvaises

escient (cf. art. 16 al. 2 let. b LInfo). […]

[…]

q) En dernier lieu, les relations avec d'autres entités publiques,

particulièrement avec les communes, seraient sensiblement perturb.s si le test

d'intrusion

- ACTIS, B.________ sàrl, 2017 était transmis au recourant (cf. art. 16 al. 2

let. d LInfo). Le risque de piratage informatique qui en découlerait les

affecterait également, étant donné qu'elles travaillent en étroite

collaboration avec la CAMAC dans le domaine de la police des constructions. […]"

Invité à déposer ses éventuelles déterminations sur

le recours en tant qu'autorité concernée, le Préposé à la protection des

données et à l'information n'a pas réagi dans le délai imparti.

Le recourant a confirmé les conclusions de son

recours par écriture du 6 janvier 2021. Il a en particulier maintenu que,

s'agissant des problèmes de sécurité qui avaient été résolus dans l'intervalle

à tout le moins, les anciennes vulnérabilités du système pouvaient être

divulguées - dès lors qu'il n'y avait plus de risque de piratage par ce biais. Quant

aux "vulnérabilités encore existantes", il a précisé qu'il

acceptait le "caviardage de toute description suffisamment détaillée

d'une faille (y compris les manières de l'exploiter" dont la

divulgation représenterait un risque accru de piratage de l'application. Il a

enfin fait valoir que les utilisateurs de cette application avaient le droit

d'être informés des risques encourus et qu'il n'existait aucun intérêt public

prépondérant "à refuser la communication des extraits du document

officiel demandé traitant des éventuelles conséquences d'une intrusion, comme

des risques encourus par les utilisateurs […] en lien avec les problèmes

de sécurité précités, puisqu'il [était] impossible d'en déduire la

nature de la vulnérabilité qui en [était] la cause".

C.

Le tribunal a statué par voie de circulation.

Considérant en droit:

1.

Aux termes de l'art. 41 Cst-VD, l'Etat et les communes informent la

population de leurs activités selon le principe de la transparence. Ce devoir

d'information est réglementé dans la loi vaudoise du 24 septembre 2002 sur

l'information (LInfo; BLV 170.21), qui s'applique notamment au Conseil d'Etat

et à son administration, à l'exclusion de ses fonctions juridictionnelles (art.

2 let. b LInfo).

La LInfo pose à son art. 8 le principe selon lequel

les renseignements, informations et documents officiels détenus par les

organismes soumis à la présente loi sont accessibles au public (al. 1), sous

réserve des cas décrits au chapitre IV (al. 2). S'agissant - comme en l'espèce

- des "demandes portant sur l'activité de l'administration cantonale",

il résulte de l'art. 20 al. 1 LInfo que, pour toute demande du public portant

sur des renseignements, la consultation de dossier ou sur une activité des

autorités énumérées à l'art. 2 LInfo, l'entité administrative compétente doit

indiquer par écrit les motifs l'ayant conduite à ne pas donner son

autorisation, à la donner partiellement ou à différer sa transmission. Aux

termes de l'art. 21 al. 1 LInfo, l'intéressé peut recourir au Préposé, ou directement

au Tribunal cantonal. Pour le surplus, la loi vaudoise du 28 octobre 2008 sur

la procédure administrative (LPA-VD; BLV 173.36) est applicable aux décisions

rendues en vertu de la LInfo ainsi qu'aux recours contre dites décisions

(cf. art. 27 al. 3 LInfo).

Déposé en temps utile (cf. art. 95 LPA-VD), le

présent recours satisfait en outre aux autres conditions formelles de

recevabilité (cf. en particulier art. 79 al. 1 LPA-VD, applicable par renvoi de

l'art. 99 LPA-VD), de sorte qu'il y a lieu d'entrer en matière sur le fond.

2.

Le litige porte sur le refus de l'autorité intimée de communiquer au

recourant le rapport intitulé "Test d'intrusion - ACTIS"

établi en 2017 par la société B.________ Sàrl.

a)

Selon son art. 1, la LInfo a pour but de garantir la transparence des

activités des autorités afin de favoriser la libre formation de l'opinion

publique (al. 1); à cette fin, elle fixe les principes, les règles et les

procédures liées à l'information du public et des médias sur l'activité des

autorités, s'agissant notamment de l'information transmise sur demande (al. 2

let. b).

Concernant les informations transmises sur demande

et comme déjà évoqué, l'art. 8 LInfo pose le principe selon lequel les

renseignements, informations et documents officiels détenus par les organismes

soumis à la présente loi sont accessibles au public (al. 1), sous réserve des

cas décrits au chapitre IV (art. 15 à 17 LInfo) (al. 2).

b) Aux termes de l'art. 9 al. 1 LInfo, on entend par

document officiel tout document achevé, quel que soit son support, qui est

élaboré ou détenu par les autorités, qui concerne l'accomplissement d'une tâche

publique et qui n'est pas destiné à un usage personnel. Ces conditions sont

cumulatives (CDAP GE.2018.0105 du 25 juillet 2019 consid. 3a, qui se réfère notamment

à l'Exposé des motifs et projet de loi [EMPL] sur l'information, BGC

septembre-octobre 2002, p. 2647 ad art. 9). Selon l'art. 9 al. 2 LInfo,

les documents internes, notamment les notes et courriers échangés entre les

membres d'une autorité collégiale ou entre ces derniers et leurs

collaborateurs, sont exclus du droit d'information institué par la présente

loi.

En l'espèce, il n'est pas contesté que le rapport

auquel le recourant souhaite avoir accès est un document officiel au sens de

l'art. 9 al. 1 LInfo respectivement qu'il ne s'agit pas d'un document interne

au sens de l'art. 9 al. 2 LInfo.

c)

S'agissant des limites à l'accessibilité des renseignements,

informations et documents officiels réservées par l'art. 8 al. 2 LInfo, l'art.

16 LInfo prévoit en particulier ce qui suit:

Art. 16 Intérêts

prépondérants

1 Les autorités peuvent

à titre exceptionnel décider de ne pas publier ou transmettre des informations,

de le faire partiellement ou différer cette publication ou transmission si des

intérêts publics ou privés prépondérants s'y opposent.

2 Des intérêts publics

prépondérants sont en cause lorsque :

a. la

diffusion d'informations, de documents, de propositions, d'actes et de projets

d'actes est susceptible de perturber sensiblement le processus de décision ou

le fonctionnement des autorités;

b.

une information serait susceptible de compromettre la sécurité ou l'ordre

publics;

[…]

d. les relations avec d'autres entités

publiques seraient perturbées dans une mesure sensible.

[…]

Selon l'art. 17 LInfo, le refus de communiquer un

renseignement ou un document conformément à l'art. 16 ne vaut le cas échéant

que pour la partie du renseignement ou du document concerné par cet article et

tant que l'intérêt public ou privé prépondérant existe (al. 1); l'organisme

sollicité s'efforce de répondre au moins partiellement à la demande, au besoin

en ne communiquant pas ou en masquant les renseignements ou les parties d'un

document concernés par l'intérêt public ou privé prépondérant (al. 2).

d)

D'une façon générale, l'art. 16 LInfo doit être interprété de façon

similaire à l'art. 7 de la loi fédérale du 17 décembre 2004 sur la transparence

(LTrans; RS 152.3). Le refus d'accès (total ou partiel) doit ainsi se justifier

par un risque à la fois important et sérieux d'atteintes aux intérêts publics

ou privés prépondérants protégés par cette disposition; l'application de ces

exceptions, restrictive, doit résulter d'une pesée des intérêts et respecter le

principe de la proportionnalité. Le fardeau de la preuve pour réfuter la

présomption de publicité établie par la LInfo est à la charge de l'autorité

(CDAP GE.2019.0010 du 4 octobre 2019 consid. 4a et les références).

S'agissant en particulier de l'hypothèse prévue par

l'art. 16 al. 2 let. b LInfo en lien avec le risque de compromission de la

sécurité ou de l'ordre publics, c'est dans chaque cas d'espèce que les

autorités doivent déterminer si les conditions en sont réunies, étant précisé

que ce motif doit rester l'exception et non pas se transformer en règle; le

dommage pour la sécurité ou l'ordre publics doit ainsi être suffisamment grave

et exceptionnel pour justifier la non-diffusion d'une information sous motif

d'intérêt public prépondérant (cf. EMPL précité, p. 2656 ad art. 16 al.

2 let. b LInfo). Cette exception peut être invoquée si deux conditions sont

réalisées: les documents doivent concerner la sécurité ou l'ordre publics,

d'une part, et leur communication doit présenter un risque de mise en danger de

la sécurité ou de l'ordre publics, d'autre part (cf. Bastien von Wyss, Droit

d'accès aux documents officiels: comparaison et étude de la mise en œuvre de

quatre lois sur la transparence en Suisse, Mémoire de Master 2011, p. 47).

e)

Dans l'arrêt GE.2019.0010 précité (auquel l'autorité intimée se réfère

dans sa réponse au recours), la cour de céans a eu l'occasion de se prononcer

sur le bien-fondé d'une décision du Département des infrastructures et des

ressources humaines (DIRH) refusant notamment au recourant l'accès à un

document intitulé "Actis COPIL du 23 mai 2017" (qualifié de

"procès-verbal de la séance du 23 mai 2017 du COPIL ACTIS" par

les parties), savoir une présentation sous forme de diapositives visant à

assurer un suivi du développement de la plateforme ACTIS (cf. consid. 3b de cet

arrêt). L'autorité intimée avait justifié son refus par le fait que la

diffusion de ce document était susceptible de déboucher sur une intrusion

malveillante ou un détournement de l'utilisation informatique ACTIS, soit sur

un piratage, invoquant dans ce cadre - comme dans le cas d'espèce (cf. let.

B supra) - une atteinte aux intérêts publics prépondérants mentionnés à

l'art. 16 al. 1 (recte: al. 2) let. a, b et d LInfo; le tribunal a

retenu en particulier ce qui suit à ce propos (cf. consid. 4b de cet

arrêt):

"bb) Il est

notoire que les logiciels informatiques comportent inévitablement des points

faibles, des vulnérabilités, qui pourraient être exploitées par une personne

malintentionnée pour empêcher l'utilisation du logiciel conformément à son but

ou pour utiliser le logiciel à des fins non conformes à son but. Le recourant […] part […]

du principe qu'il n'y a plus d'intérêt public prépondérant au secret lorsque

les vulnérabilités découvertes ont été comblées. Cette approche est erronée. Il

y a au contraire un intérêt public prépondérant à ce que les vulnérabilités

d'un logiciel informatique utilisé par l'administration ne soient pas

communiquées à l'extérieur. Il n'importe pas que l'autorité ait considéré à

raison ou à tort que la vulnérabilité a été comblée. En effet, l'information du

public sur des vulnérabilités apparemment comblées peut indiquer à un tiers

malintentionné une zone sensible d'un logiciel et faciliter l'exploitation

d'une vulnérabilité insuffisamment comblée ou d'une autre vulnérabilité annexe.

Demeure réservée l'hypothèse

dans laquelle les vulnérabilités d'un logiciel seraient susceptibles d'être la

cause d'une atteinte aux droits fondamentaux ou aux droits politiques de la

personne demandant accès. Le recourant ne soutient toutefois pas que tel serait

le cas de la plateforme ACTIS.

[…]

dd) Au vu de ce qui

précède, c'est à juste titre que l'autorité intimée a estimé qu'il y a[vait] un intérêt public prépondérant

s'opposant à la communication des vulnérabilités du logiciel ACTIS présentées

dans le procès-verbal de la séance du 23 mai 2017 du COPIL ACTIS."

f)

En l'espèce, l'autorité intimée a exposé en particulier ce qui suit pour

justifier son refus de communiquer le document en cause au recourant dans sa

réponse au recours:

"f) Le test d'intrusion - ACTIS, B.________ sàrl, 2017 […] est un rapport de tests de sécurité sous

la forme de diapositives PowerPoint, produit par la société B.________ sàrl,

spécialisée dans la sécurité des systèmes d'information. Ce type de rapport met

en exergue les éventuelles vulnérabilités d'un système informatique et explique

les manières d'exploiter ces failles et par conséquent les actions adéquates

pour y remédier. […]

g) […] le test d'intrusion -

ACTIS[,] B.________ sàrl, 2017 fait état

des vulnérabilités concrètes et des correctifs nécessaires à la sécurité

informatique non seulement de la plateforme ACTIS, mais également d'autres

applications et systèmes connexes de l'Etat de Vaud. […]

h) […] ces vulnérabilités ne

doivent en aucun cas être divulguées à des tiers, car il s'en suivrait un

risque accru de piratage de l'application et des systèmes connexes. […] Un piratage d'ACTIS et d'autres systèmes

connexes serait dommageable en ce qui concerne l'intégrité, la confidentialité

et la traçabilité des données qui transitent par ces systèmes. Un hacker, même

doté d'une expérience limitée, serait en mesure d'orienter ses actions de

manière à porter préjudice à la plateforme ACTIS et aux autres systèmes

connexes concernés en suivant les précisions inclues dans le rapport et la

manière d'exploiter les failles découvertes. Il pourrait ainsi compromettre

l'application, prendre la maîtrise d'un serveur (ce qui lui permettrait d'agir

également sur d'autres serveurs) ainsi qu'injecter des données dans les

systèmes ou en extraire massivement. Pour toutes ces raisons, donner accès à

ces informations présente le risque que les procédures de permis de construire

et plus généralement la sécurité des systèmes concernés soient considérablement

exposées à un acte malveillant et dommageable.

i) […] les systèmes

d'information ne fonctionnent pas en silos cloisonnés, ils sont au contraire

bien souvent interconnectés, de telle sorte que les vulnérabilités et failles

détectées lors d'un test d'intrusion ne concernent que rarement une seule

application ou un seul système, renforçant ainsi le caractère déjà très

sensible des informations contenues dans un rapport de sécurité tel que celui

qui est objet de la présente procédure.

j) De manière générale, même le personnel de la [DGNSI] n'est pas mis au courant des problèmes

touchant la sécurité d'une application, cela pour éviter des risques de fuite

d'informations sensibles vers l'extérieur. Il s'agit de mesures de protection

standards appliquées à l'ensemble de l'Administration cantonale vaudoise dans

le domaine de l'informatique. Compte tenu de leur haute sensibilité, l'accès à

ces rapports de sécurité est très restreint et fait l'objet d'une protection

stricte, leur dossier de stockage étant par ailleurs chiffré.

k) Contrairement ce qu'allègue le recourant, les problèmes de

sécurité de la plateforme ACTIS ne sont pour l'heure pas encore entièrement

résolus. De fait, les vulnérabilités constatées concernent également des

systèmes et applications connexes, ce qui complexifie leur traitement. Les

délais fixés dans la planification des correctifs n'ont malheureusement pas pu

tous être respectés. […]"

Ces explications entraînent la pleine conviction du

tribunal quant à la vraisemblance du risque sérieux et actuel que

représenterait la communication du rapport au cause en tant qu'une telle

communication serait susceptible, à tout le moins, de compromettre la sécurité

ou l'ordre publics au sens de l'art. 16 al. 2 let. b LInfo. Les conséquences

que pourrait avoir une intrusion malveillante et le fait que les systèmes

d'information vaudois sont dans une large mesure interconnectés (cf. let. h et

i), en particulier, obligent dans ce cadre à retenir que le dommage pour la

sécurité et l'ordre publics serait suffisamment grave et exceptionnel pour

justifier la non-diffusion de ce document (cf. consid. 2 d supra). Il

n'y a en outre pas lieu, quoi qu'en pense le recourant, de distinguer entre les

vulnérabilités relevées dans ce rapport auxquelles il aurait d'ores et déjà été

remédié et les problèmes de sécurité qui n'auraient pas encore été entièrement

résolus; on peut se référer à cet égard à la teneur du consid. 4b/bb de l'arrêt

GE.2019.0010 précité, en ce sens en substance que l'information du public quant

à l'existence d'une vulnérabilité est susceptible de présenter des risques même

dans l'hypothèse où l'autorité a considéré, à tort ou à raison, qu'il y avait

été remédié (cf. consid. 2e supra); compte tenu des enjeux, on ne

saurait faire grief à l'autorité intimée de faire montre d'une prudence

particulière en la matière.

g)

Le recourant soutient par ailleurs que l'autorité intimée aurait

néanmoins dû répondre au moins partiellement à sa demande, en masquant le cas

échéant les informations susceptibles d'entraîner un risque sécuritaire.

L'art. 17 LInfo prévoit en effet, en substance, que le

refus de communication d'un document pour un motif d'intérêt public ou privé

prépondérant ne vaut que pour la partie de ce document concerné par l'intérêt

en cause respectivement que l'autorité doit s'efforcer de répondre au moins

partiellement à la demande. Dans l'arrêt GE.2019.0010 précité, le tribunal a

ainsi retenu que le document en cause contenait également d'autres informations

que celles relatives à des vulnérabilités connues à cette date de l'application

concernée (données financières et de ressources humaines, données statistiques,

échéanciers et planning) et que "seules p[ouvaient] être

soustraites au droit à l'information les informations protégées par l'intérêt

public prépondérant pertinent, à savoir en l'espèce l'intérêt public à ce que

les vulnérabilités d'un logiciel informatique utilisé par l'administration ne

soient pas communiquées à l'extérieur" (cf. consid. 5a de cet arrêt);

il a en conséquence réformé la décision attaquée en ce sens que le document

serait remis au recourant dans une version caviardée, excluant les informations

liées aux problèmes de sécurité (cf. consid. 5b de cet arrêt).

En l'occurrence toutefois, le rapport intitulé

"Test d'intrusion - ACTIS" établi en 2017 par la société B.________

Sàrl porte exclusivement sur les vulnérabilités de ce système informatique et

sur les manières d'exploiter ces failles et des actions pour y remédier, qui

sont directement liées. Le recourant ne pourrait en conséquence tirer aucune

information d'une version de ce document dans laquelle ces éléments auraient

été masqués. Dans ces conditions, la décision attaquée ne prête pas le flanc à

la critique.

3.

Il résulte des considérants qui précèdent que le recours doit être

rejeté et la décision attaquée confirmée.

Il n'est pas perçu d'émolument (cf. art. 49 al. 1

LPA-VD et 27 al. 1 LInfo) ni alloué de dépens (cf. art. 55 al. 1 LPA-VD).

Par

ces motifs

la Cour de droit administratif et public

du Tribunal cantonal

arrête: