CDAP - GE.2025.0054 - 2025-06-16 - A.________ /Municipalité de Vevey

TRIBUNAL CANTONAL

COUR DE DROIT ADMINISTRATIF ET PUBLIC

Arrêt du 16 juin 2025

Composition

M. Pascal Langone, président;

M. Etienne Poltier, juge suppléant, et M. Guy Dutoit, assesseur; Mme Fabia

Jungo, greffière.

Recourant

A.________, à ********,

Autorité intimée

Municipalité de Vevey,

représentée par Me Pascal NICOLLIER, avocat à Vevey.

Objet

Loi sur l'information

Recours A.________ c/ décision de la Municipalité de Vevey

du 5 février 2025 refusant de communiquer des informations sur la

cyberattaque de 25 (22) janvier 2025 (LInfo).

Vu les faits suivants:

A.

A.________ est actif dans la société B.________, qui opère dans le

domaine de l'informatique, ce qui l'amène à s'intéresser notamment à la gestion

des services informatiques de la commune de Vevey (ci-après aussi: la commune).

Se fondant sur la loi vaudoise du 24 septembre 2002 sur l'information (LInfo;

BLV 170.21), il a présenté diverses demandes d'information dans ce domaine

auprès de la commune.

B.

La presse s'est faite l'écho, en date du 21 janvier 2025, de diverses

cyber-attaques ayant eu pour cibles les sites Internet de plusieurs

collectivités publiques romandes (Genève, Cologny et Sierre); le site de la commune

Vevey a également été touché, ainsi que le portail de la Confédération pour

l'achat de la vignette électronique. L'attaque, selon la presse, était de de

type DDoS (Distributed Denial of Service); il s'agit d'une cyber-attaque ciblée

où un site web, un serveur ou un réseau est surchargé par des demandes

massives, rendant les portails inaccessibles pour les utilisateurs réguliers;

lors d'une telle attaque, il n'y a pas de fuite de données.

En lien avec cette cyber-attaque ,A.________, a

adressé une demande d'accès à la commune de Vevey, en date du 22 janvier 2025,

portant sur les documents suivants:

"1. Le rapport technique

décrivant la nature de l'attaque et son impact.

2. Des précisions concernant

l'hébergement du site Internet, en particulier les changements récents

mentionnés dans l'offre C.________ 10-2023020 du 25.04.2023, laquelle indique

une migration vers un serveur géré par la commune de Vevey.

3. Les mesures mises en place ou

envisagées pour renforcer la sécurité informatique.

4. Le coût des actions correctives

entreprises".

C.

Par décision du 5 février 2025, la Municipalité de Vevey, s'appuyant sur

l'art. 16 al. 2 let. b LInfo, a rejeté la requête, en motivant sa décision

comme suit:

"Pour des raisons évidentes

de sécurité informatique, la Ville de Vevey n'entend donc pas communiquer sur

les aspects techniques décrivant la nature de l'attaque et son impact. De même,

elle ne fournira pas d'information sur la migration de ses serveurs ou sur les

mesures mises en place pour renforcer la sécurité. Quant au coûts des actions

correctives, ils ne sont pas encore connus et seront intégrés quoi qu'il en

soit dans les comptes communaux en temps opportun."

D.

Par acte du 28 février 2025, A.________ a recouru devant la Cour de

droit administratif et public du Tribunal cantonal (ci-après: CDAP) contre cette

décision; il conclut en substance à ce que la transmission des documents

demandés soit ordonnée, sous réserve de caviardage, voire d'une stricte

limitation aux seules informations nécessaires à la protection de la sécurité

publique. Son mémoire comportait en outre quelques précisions sur les documents

et informations demandés.

Dans sa réponse du 2 avril 2025, l'autorité intimée a

conclu avec dépens au rejet du recours.

Le 15 avril 2025, le recourant a complété ses

moyens, tout en confirmant ses conclusions.

Considérant en droit:

1.

a) A teneur de l'art. 26 LInfo, les autorités communales statuent sur

les demandes concernant leurs activités; elles le font par le biais de

décisions. L'art. 24 LInfo prévoit, à son al.1, que la procédure de recours

devant le Tribunal cantonal est rapide, simple et gratuite. Quant à son al. 3,

il prévoit que la loi vaudoise du 28 octobre 2008 sur la procédure

administrative (LPA-VD; BLV 173.36) est applicable aux décisions rendues en

vertu de la présente loi, ainsi qu'aux recours contre dites décisions. Il en

découle que les décisions des municipalités, rendues en application de l'art.

26 LInfo sont susceptibles de recours à la CDAP (art. 92 LPA-VD).

b) Le recourant, destinataire de la décision lui

refusant l'accès au document demandé, auquel il prétend avoir droit, a la

qualité pour recourir (art. 75 al. 1 let. a LPA-VD). Le recours a de plus été

formé dans le délai (art. 95 LPA-VD) et le respect des formes prescrites (art.

79 et 99 LPA-VD). Il y a partant lieu d'entrer en matière.

c) L'autorité intimée a formulé diverses

réquisitions d'instruction. Compte tenu de l'issue du pourvoi, il n'y a pas

lieu de donner suite à ces réquisitions.

2.

Comme on l'a vu, le litige concerne une cyber-attaque. On rappelle ici

en premier lieu le cadre légal, soit le régime découlant de la LInfo (let. a à

e), tout en fournissant quelques éléments au sujet de l'évolution législative

relative à la sécurité de l'information et des données, notamment sur le plan

du droit fédéral (let. f).

a) Selon son art. 1, la LInfo a pour but de garantir

la transparence des activités des autorités afin de favoriser la libre

formation de l'opinion publique (al. 1); à cette fin, elle fixe les principes,

les règles et les procédures liées à l'information du public et des médias sur

l'activité des autorités, s'agissant notamment de l'information transmise sur

demande (al. 2 let. b).

Concernant les informations transmises sur demande

et comme déjà évoqué, l'art. 8 LInfo pose le principe selon lequel les

renseignements, informations et documents officiels détenus par les organismes

soumis à la présente loi sont accessibles au public (al. 1), sous réserve

des cas décrits au chapitre IV (art. 15 à 17 LInfo) (al. 2).

b) Aux termes de l'art. 9 al. 1 LInfo, on entend par

document officiel tout document achevé, quel que soit son support, qui est

élaboré ou détenu par les autorités, qui concerne l'accomplissement d'une tâche

publique et qui n'est pas destiné à un usage personnel. Ces conditions sont

cumulatives (CDAP GE.2018.0105 du 25 juillet 2019 consid. 3a, qui se

réfère notamment à l'Exposé des motifs et projet de loi [EMPL] sur

l'information, BGC septembre-octobre 2002, p. 2647 ad art. 9). Selon

l'art. 9 al. 2 LInfo, les documents internes, notamment les notes et courriers

échangés entre les membres d'une autorité collégiale ou entre ces derniers et

leurs collaborateurs, sont exclus du droit d'information institué par la

présente loi.

c) S'agissant des limites à l'accessibilité des

renseignements, informations et documents officiels réservées par l'art. 8 al.

2 LInfo, l'art. 16 LInfo prévoit en particulier ce qui suit:

"Art. 16 Intérêts

prépondérants

1 Les autorités peuvent

à titre exceptionnel décider de ne pas publier ou transmettre des informations,

de le faire partiellement ou différer cette publication ou transmission si des

intérêts publics ou privés prépondérants s'y opposent.

2 Des intérêts publics

prépondérants sont en cause lorsque :

a. la

diffusion d'informations, de documents, de propositions, d'actes et de projets

d'actes est susceptible de perturber sensiblement le processus de décision ou

le fonctionnement des autorités;

b.

une information serait susceptible de compromettre la sécurité ou l'ordre

publics;

[…]

d. les relations avec d'autres entités

publiques seraient perturbées dans une mesure sensible.

[…]"

Selon l'art. 17 LInfo, le refus de communiquer un

renseignement ou un document conformément à l'art. 16 ne vaut le cas échéant

que pour la partie du renseignement ou du document concerné par cet article et

tant que l'intérêt public ou privé prépondérant existe (al. 1); l'organisme

sollicité s'efforce de répondre au moins partiellement à la demande, au besoin

en ne communiquant pas ou en masquant les renseignements ou les parties d'un

document concernés par l'intérêt public ou privé prépondérant (al. 2).

d) D'une façon générale, l'art. 16 LInfo doit être

interprété de façon similaire à l'art. 7 de la loi fédérale du 17 décembre 2004

sur la transparence (LTrans; RS 152.3). Le refus d'accès (total ou partiel)

doit ainsi se justifier par un risque à la fois important et sérieux

d'atteintes aux intérêts publics ou privés prépondérants protégés par cette

disposition; l'application de ces exceptions, restrictive, doit résulter d'une

pesée des intérêts et respecter le principe de la proportionnalité. Le fardeau

de la preuve pour réfuter la présomption de publicité établie par la LInfo est

à la charge de l'autorité (CDAP GE.2019.0010 du 4 octobre 2019 consid. 4a et

les références).

S'agissant en particulier de l'hypothèse prévue par

l'art. 16 al. 2 let. b LInfo en lien avec le risque de compromission de la

sécurité ou de l'ordre publics, c'est dans chaque cas d'espèce que les

autorités doivent déterminer si les conditions en sont réunies, étant précisé

que ce motif doit rester l'exception et non pas se transformer en règle; le

dommage pour la sécurité ou l'ordre publics doit ainsi être suffisamment grave

et exceptionnel pour justifier la non-diffusion d'une information sous motif d'intérêt

public prépondérant (cf. EMPL précité, p. 2656 ad art. 16 al. 2 let. b

LInfo). Cette exception peut être invoquée si deux conditions sont réalisées:

les documents doivent concerner la sécurité ou l'ordre publics, d'une part, et

leur communication doit présenter un risque de mise en danger de la sécurité ou

de l'ordre publics, d'autre part (cf. Bastien von Wyss, Droit d'accès aux

documents officiels: comparaison et étude de la mise en œuvre de quatre lois

sur la transparence en Suisse, Mémoire de Master 2011, p. 47).

e) Dans l'arrêt GE.2019.0010 précité, la cour de

céans a eu l'occasion de se prononcer sur le bien-fondé d'une décision du

Département des infrastructures et des ressources humaines (DIRH) refusant

notamment au recourant l'accès à un document intitulé "Actis COPIL du

23 mai 2017" (qualifié de "procès-verbal de la séance du 23

mai 2017 du COPIL ACTIS" par les parties), savoir une présentation

sous forme de diapositives visant à assurer un suivi du développement de la

plateforme ACTIS (cf. consid. 3b de cet arrêt). L'autorité intimée avait

justifié son refus par le fait que la diffusion de ce document était

susceptible de déboucher sur une intrusion malveillante ou un détournement de

l'utilisation informatique ACTIS, soit sur un piratage, invoquant dans ce cadre

- comme dans le cas d'espèce (cf. let. B supra) - une atteinte aux

intérêts publics prépondérants mentionnés à l'art. 16 al. 1 (recte:

al. 2) let. a, b et d LInfo; le tribunal a retenu en particulier ce qui suit à

ce propos (cf. consid. 4b de cet arrêt):

"bb) Il est

notoire que les logiciels informatiques comportent inévitablement des points

faibles, des vulnérabilités, qui pourraient être exploitées par une personne

malintentionnée pour empêcher l'utilisation du logiciel conformément à son but

ou pour utiliser le logiciel à des fins non conformes à son but. Le recourant […] part […]

du principe qu'il n'y a plus d'intérêt public prépondérant au secret lorsque

les vulnérabilités découvertes ont été comblées. Cette approche est erronée. Il

y a au contraire un intérêt public prépondérant à ce que les vulnérabilités

d'un logiciel informatique utilisé par l'administration ne soient pas

communiquées à l'extérieur. Il n'importe pas que l'autorité ait considéré à

raison ou à tort que la vulnérabilité a été comblée. En effet, l'information du

public sur des vulnérabilités apparemment comblées peut indiquer à un tiers

malintentionné une zone sensible d'un logiciel et faciliter l'exploitation

d'une vulnérabilité insuffisamment comblée ou d'une autre vulnérabilité annexe.

Demeure réservée

l'hypothèse dans laquelle les vulnérabilités d'un logiciel seraient

susceptibles d'être la cause d'une atteinte aux droits fondamentaux ou aux

droits politiques de la personne demandant accès. Le recourant ne soutient

toutefois pas que tel serait le cas de la plateforme ACTIS.

[…]

dd) Au vu de ce qui

précède, c'est à juste titre que l'autorité intimée a estimé qu'il y a[vait] un intérêt public prépondérant

s'opposant à la communication des vulnérabilités du logiciel ACTIS présentées

dans le procès-verbal de la séance du 23 mai 2017 du COPIL ACTIS."

f) Dans le souci d'être complet, on ajoutera que le

droit fédéral prévoit, depuis le 1er avril 2025, une obligation

d'annonce des cyber-attaques à charge des infrastructures critiques.

aa) Le Parlement fédéral

a en effet adopté, le 18 décembre 2020, la loi fédérale sur la sécurité de

l'information au sein de la Confédération (ci-après: LSI; RS 128). A teneur de

son art. 3, cette loi ne s'applique que de manière limitée aux cantons (notamment

lorsque ceux-ci accèdent à des moyens informatiques de la Confédération); elle

s'applique en outre aux organisations de droit public ou privé qui exploitent

des infrastructures critiques; si elles ne sont pas visées par l'art. 2 al. 1 à

3 LSI, elles ne sont alors soumises qu'aux art. 74 à 80 LSI (art. 2 al. 5 LSI).

Les art. 74 ss LSI régissent les infrastructures critiques; l'art. 74, en

particulier, prévoit que la Confédération apporte son soutien aux exploitants

de telles infrastructures; ce soutien prend diverses formes et porte notamment

sur l'identification et l'évaluation des menaces en matière de sécurité de

l'information, ainsi que sur le maintien et le rétablissement de cette sécurité

après un incident (au sein de la Confédération, un service national est chargé

de ces tâches). L'art. 76 LSI, sous le titre marginal "Coopération

sur le plan national", prévoit notamment que les exploitants

d'infrastructures critiques peuvent communiquer au Service fédéral en charge

"des données liées à des incidents, y compris des données personnelles".

bb) Le 29 septembre 2023,

la LSI a fait l'objet d'une révision pour renforcer le dispositif légal de

lutte contre les cyber-attaques visant les infrastructures critiques; cette

modification est entrée en vigueur le 1er avril 2025. Elle comporte

de nouvelles dispositions aux art. 73a ss LSI. Elle prévoit désormais,

notamment, une obligation de signaler les cyber-attaques à charge des

infrastructures critiques, soit notamment à charge des autorités communales

(voir à ce sujet art. 74a, qui pose le principe de cette obligation, et l'art.

74b al. 1 let. b; l'art. 74b al. 1 énonçant au demeurant les différentes

organisations assujetties à l'obligation d'annoncer). Ces dispositions sont

complétées par l'Ordonnance du Conseil fédéral sur la cybersécurité (OCys; RS

128.51); c'est l'Office fédéral de la cybersécurité qui est ainsi chargé

désormais de recevoir les annonces de cyber-attaques, de les analyser et d'en

assurer le suivi (art. 4 ss OCys). Cet office est chargé plus généralement

d'offrir son soutien en cette matière aux autorités de la Confédération et des

cantons (art. 7 OCys).

cc) A teneur de l'art. 4

al. 1 LSI, la LTrans prime la présente loi (i.e. la LSI). Cependant, l'al. 1bis

(fruit de la novelle entrée en vigueur le 1er janvier 2025), les

informations provenant de tiers dont l'Office fédéral de la cybersécurité prend

connaissance dans son activité de réception et d'analyse des signalements,

conformément aux art. 73a ss LSI "ne peuvent être rendus accessibles en

vertu de la LTrans". En d'autres termes, les informations que les

infrastructures critiques transmettent à l'Office fédéral précité en lien avec

des cyber-attaques doivent être traitées de manière confidentielle (sur les

rapports entre la LSI et la LTrans, voir notamment Pauline Meyer/Sylvain

Métille, Loi fédérale sur la sécurité de l'information: version 2.0, in:

newsletter du 5 septembre 2022, spécialement n° 28 et 43 s.; voir aussi

Métille/Meyer, in: Meier/Métille, édit., Commentaire romand de la loi fédérale

sur la protection des données, art. 24, N 64 ss, au sujet de la relation entre

les signalements à l'Office fédéral de la cybersécurité et celui affaires au

Préposé fédéral à la protection des données).

dd) On retient ainsi des

dispositions de la LSI en vigueur au 1er avril 2025 que l'autorité

intimée aurait été soumise à une obligation de signalement de la cyber-attaque

ici en cause, si elle avait eu lieu à une date postérieure; elle s'est déroulée

cependant en janvier 2025, de sorte qu'elle échappe à ces dispositions.

Néanmoins, l'autorité intimée avait, sous l'empire de la LSI en vigueur

auparavant, la faculté de communiquer à l'autorité fédérale au sujet de cet

évènement. Quoi qu'il en soit, il résulte de l'art. 4 al. 1bis LSI, dans sa

nouvelle teneur, que l'Office fédéral de la cybersécurité n'est pas soumis à la

LTrans en relation avec un tel signalement; autrement dit, le droit fédéral

permet à cet office de traiter ces informations – et le suivi de celles-ci – de

manière confidentielle.

3.

Il demeure que le présent litige concerne l'application de la LInfo et

non un éventuel droit d'accès auprès des autorités fédérales fondé sur la

LTrans. Il n'est d'ailleurs pas contesté que les activités de l'autorité

intimée dans le domaine informatique (en l'occurrence la gestion du site de

cette ville) entrent dans le champ d'application de la LInfo. Il demeure que,

conformément à la systématique de cette loi, des exceptions à la transmission

peuvent être opposées au requérant en présence d'intérêts prépondérants,

publics ou privés. L’autorité requise doit ainsi procéder à une pesée

d'intérêts entre l'intérêt public à la diffusion de l'information et les

intérêts opposés, soit notamment l'existence d'un intérêt public au refus de

renseigner. Cette pesée peut conduire à un refus pur et simple, à une remise

partielle des documents (ou renseignements) demandés, voire à différer la

transmission (art. 16 al. 1 et 17 LInfo).

a) aa) L'information relative à une cyber-attaque,

en soi, présente un intérêt public, par exemple lorsque celle-ci entraîne des

perturbations plus ou moins graves dans le fonctionnement de services publics.

En outre, lorsque la cyber-attaque a pour conséquence des fuites de données

personnelles, il y a un intérêt individuel, correspondant sans doute à un

intérêt public également, à ce que les personnes concernées soient informées

(sur ces points, voir notamment art. 73c et 73d LSI, qui s'appliquent désormais

aux autorités communales).

bb) Toutefois, il convient de prendre en compte

également, en sens contraire, un intérêt public à la confidentialité des

données recueillies autour de cyber-attaques, et notamment des rapports et

analyses effectués à ce propos. L'art. 4 al. 1bis LSI le prévoit d'ailleurs

expressément.

Cela étant, dans la mesure où cette disposition,

entrée en vigueur le 1er avril 2025 n'est de toute façon pas

applicable par l'autorité intimée dans le cadre de la LInfo, force est pour

cette dernière de procéder à une pesée d'intérêts, conformément à l'art. 16 al.

1 LInfo.

On peut préciser à ce propos que l'intérêt public

ici en cause a trait à la sécurité de l'information. Cependant, ce thème est

appréhendé de manière différente en droit fédéral et en droit vaudois. La

portée de ce principe est en effet précisée à l'art. 6 LSI et il couvre des

exigences de confidentialité, de disponibilité, d'intégrité et de traçabilité

(voir art. 6, spéc. al. 2 LSI). S'agissant du droit vaudois, ce principe est

énoncé dans la loi vaudoise du 11 septembre 2007 sur la protection des données

personnelles (LPrD; BLV 172.65); ainsi, à teneur de l'art. 10 LPrD, le

responsable du traitement prend les mesures appropriées pour garantir la

sécurité des fichiers et des données personnelles, soit notamment contre leurs

pertes, leurs destructions, ainsi que tout traitement illicite. Cette

disposition exprime ainsi surtout un intérêt public en lien avec la protection

de données personnelles; autrement dit, l'intérêt public à la disponibilité des

informations diffusées par un site, tel que celui de l'autorité intimée, n'est

pas pris en compte à l'art. 10 LPrD – contrairement à ce qui prévaut dans le

cadre de la LSI. Il n'en demeure pas moins que l'autorité intimée est tout à

fait habilitée à prendre en compte cet aspect de disponibilité au titre de

l’intérêt public dans la pesée des intérêts à laquelle elle procède dans le

cadre de l'art. 16 al. 2 let. b LInfo.

cc) Il en découle que l'autorité intimée,

lorsqu'elle a été saisie de la requête du recourant en lien avec la

cyber-attaque de janvier 2025, était habilitée à donner à l'intérêt public à la

confidentialité du traitement de la cyber-attaque en cause un poids

prépondérant par rapport à l'intérêt public à la diffusion des informations qui

s'y rapportaient. Ce faisant, l'autorité intimée ne faisait que suivre

l'exemple adopté par le législateur fédéral lui-même.

dd) Il en découle que le recours, mal fondé dans son

principe, doit être rejeté.

b) Ce résultat de principe doit d'ailleurs être

confirmé au regard des différents documents ou informations plus précises

requises par le recourant (dans sa demande, précisée par son recours). En

effet, on a vu que les réactions de l'autorité communale à la suite d'une

cyber-attaque devaient être traités de manière confidentielle; cela vaut pour

le rapport technique décrivant la nature de l'attaque et son impact; il en va

de même des mesures mises en place ou envisagées pour renforcer la sécurité

informatique ou encore les éventuelles vulnérabilités créées par une migration

vers un serveur géré par l'autorité intimée, à la suite de la reprise par

l'entreprise C.________ du mandat de gestion du site de la Ville. Enfin, la

question du coût des actions correctives entreprises, qui ne sont sans doute

pas encore achevées, pourra être traitée dans le cadre des comptes de la

commune, à une date ultérieure, sans doute en 2026; en d’autres termes, la

demande apparaît sur ce dernier point prématurée.

4.

Il découle des considérations qui précèdent que le recours doit être

rejeté. Vu la gratuité de la procédure, le présent arrêt doit être rendu sans

frais. En revanche, le recourant, qui succombe, doit verser une indemnité de

dépens à la commune de Vevey (art. 27 LInfo et 55 LPA-VD).

Par ces motifs

la Cour de droit administratif et public

du Tribunal cantonal

arrête: