Arrêt du Tribunal fédé­ral 1C_​235/​2021 du 17 mars 2022

Un indi­vidu requiert auprès de la Centrale des auto­ri­sa­tions en matière de construc­tion vaudoise (CAMAC) la commu­ni­ca­tion du ou des rapport(s) d’audit de sécu­rité depuis 2015 concer­nant l’application ACTIS, qui est une appli­ca­tion de saisie, de trai­te­ment et de suivi des demandes de permis de construire et des dossiers de construc­tion. Un docu­ment portant sur des tests d’intrusion dans l’application est iden­ti­fié par la Direction géné­rale du numé­rique et des systèmes d’information (DGNSI), laquelle refuse d’accorder au requé­rant l’accès au docu­ment. Ce docu­ment consiste en un rapport de tests de sécu­rité portant sur les vulné­ra­bi­li­tés de la plate­forme ACTIS, les manières d’exploiter ces failles et les actions pour y remé­dier. Compte tenu de la sensi­bi­lité infor­ma­tique de ces infor­ma­tiques, la DGNSI estime que la sécu­rité publique s’oppose, en tant qu’intérêt public prépon­dé­rant, à la commu­ni­ca­tion de ce document.

La Cour de droit admi­nis­tra­tif et public du canton de Vaud (CDAP) confirme cette déci­sion (arrêt de la Cour de droit admi­nis­tra­tif et public (CDAP) du Tribunal canto­nal du Canton de Vaud, 30 mars 2021, GE.2020.0217), dans la mesure où le docu­ment requis contient des infor­ma­tions engen­drant un risque accru de piratage.

Le requé­rant conteste cette déci­sion auprès du Tribunal fédé­ral, se plai­gnant d’une appli­ca­tion arbi­traire du droit canto­nal, plus spéci­fi­que­ment en lien avec l’art. 16 al. 2 let. b de la Loi vaudoise du 24 septembre 2002 sur l’information(LInfo).

Il n’est pas contesté que la DGNSI est un organe de l’État soumis au prin­cipe de trans­pa­rence en vertu de l’art. 2 al. 1 LInfo et que le docu­ment requis consti­tue un docu­ment offi­ciel tel que compris à l’art. 9 LInfo. Les art. 16 s. LInfo fixent les limites au droit à l’information.

Le docu­ment requis consiste en une présen­ta­tion PowerPoint d’une cinquan­taine de pages présen­tant notam­ment le nombre de vulné­ra­bi­li­tés iden­ti­fiées sur la plate­forme ACTIS, les risques liés à chacune d’entre elles ainsi que l’effort et le temps esti­més pour y remé­dier. Les infor­ma­tions conte­nues présentent donc un carac­tère sensible, puisqu’elles iden­ti­fient les vulné­ra­bi­li­tés du système et la manière de les exploi­ter. Le TF estime que ces infor­ma­tions peuvent permettre de faci­li­ter des pira­tages infor­ma­tiques suscep­tibles de causer un risque impor­tant à la sécu­rité publique. Selon lui, elles peuvent servir à pertur­ber les procé­dures en matière de construc­tion sur une large échelle ainsi que compro­mettre la confi­den­tia­lité et l’intégrité de données pouvant être quali­fiées de sensibles.

Le docu­ment ne permet pas de distin­guer entre les vulné­ra­bi­li­tés auxquelles il a pu être remé­dié et celles qui sont toujours d’actualité. Pour pouvoir répondre à cette ques­tion, il faudrait, selon le TF, procé­der à une nouvelle inter­pel­la­tion de la DGNSI. De toute manière, notre haute Cour estime que les infor­ma­tions concer­nant tant les vulné­ra­bi­li­tés corri­gées que les vulné­ra­bi­li­tés pendantes pour­raient engen­drer un risque de piratage.

Sur cette base, le TF confirme que l’information requise ne peut être four­nie en vertu de l’intérêt prépon­dé­rant que consti­tue la sécu­rité publique (art. 16 al. 2 let. b LInfo), conclut que l’arrêt de l’instance infé­rieure n’est pas arbi­traire et rejette le recours.

La conclu­sion à laquelle abou­tit le TF nous paraît raison­nable. Sa moti­va­tion quant à l’admission de l’intérêt public prépon­dé­rant, natu­rel­le­ment plus expé­di­tive que celle de la CDAP, mérite d’être appro­fon­die. Comme relevé par la DGNSI et confirmé par la CDAP et le TF, la divul­ga­tion au public de vulné­ra­bi­li­tés est suscep­tible d’engendrer un risque impor­tant pour la sécu­rité publique, qu’il s’agisse de vulné­ra­bi­li­tés corri­gées ou non. Cette allé­ga­tion coule de source pour les vulné­ra­bi­li­tés auxquelles il n’a pas encore été possible de remé­dier, moins pour les vulné­ra­bi­li­tés corrigées.

La divul­ga­tion de préci­sions sur des vulné­ra­bi­li­tés déjà répa­rées est égale­ment suscep­tible d’engendrer un risque pour la sécu­rité publique. Les vulné­ra­bi­li­tés, même corri­gées, commu­niquent des infor­ma­tions utiles pour des acteurs malveillants portant sur le système et l’application en ques­tion. En outre, il n’en va pas unique­ment de l’application ACTIS dans la mesure où, compte tenu de l’interconnexion aujourd’hui recon­nue entre les diffé­rents systèmes, les préci­sions sur les vulné­ra­bi­li­tés trou­vées (et éven­tuel­le­ment répa­rées) sur cette plate­forme pour­raient servir de porte ouverte pour ACTIS comme pour d’autres appli­ca­tions et systèmes connexes. Finalement, les infor­ma­tions four­nies par les vulné­ra­bi­li­tés répa­rées permet­traient à des acteurs malveillants de décou­vrir et exploi­ter d’autres vulné­ra­bi­li­tés, dans la mesure où des vulné­ra­bi­li­tés distinctes peuvent présen­ter des similarités.

L’intérêt public que consti­tue la sécu­rité publique est donc admis à juste titre comme un inté­rêt primant celui de la trans­pa­rence dans le cas d’espèce.