Journal d'investigation en ligne
par Jef

Parcoursup : le ministère ne répond plus

Le ministère de l'éducation nationale refuse de rendre public le code source de Parcoursup

C'est une sacrée pépite que l'on peut trouver dans la « Lettre d'information juridique n°228 » du ministère de l'Éducation nationale et de la Jeunesse, des Sports et des Jeux olympiques et paralympiques (et des établissements privés sous contrat).

OSS 117 - Rio ne répond plus - Copie d'écran
Vous lisez un article réservé aux abonnés.

Un savant mélange de dinguerie juridique et d'incompétence technique, aromatisé d'un soupçon de bureaucratie façon soviétique, lui même saupoudré d'une dose généreuse de mauvaise foi, que seules les administrations françaises sont capables de nous mitonner à la perfection.

Dans toute bonne démocratie qui se respecte, la transparence dans le fonctionnement des administrations devrait être la règle. Tout citoyen devrait être en droit d'obtenir les documents qu'il souhaite consulter auprès de l'administration de son choix, qu'il s'agisse des notes de frais d'un édile local ou d'une étude sur l'évolution de la population de pingouins dans les locaux du ministère de la Culture.

Le Code des relations entre le public et l'administration donne une définition plutôt large — et c'est heureux — des documents consultables, en résumé n'importe quel document « produit ou reçu » par une administration. Cela inclut « notamment les dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions, codes sources et décisions ». Le code source des logiciels est donc inscrit dans la loi comme l'un des documents auquel tout un chacun est en droit de réclamer l'accès.

Il existe bien sûr des exceptions à ce principe. Certaines paraissent évidentes, par exemple lorsqu'il s'agit de protéger la vie privée, le secret médical ou le secret de la défense nationale. C'est, d'ailleurs, l'excuse que nous avions reçue lorsque nous avions demandé communication du code source de Alicem, la solution d'authentification certifiée.

D'autres peuvent au premier abord découler du bon sens, mais sont en réalité assez contestables, certaines administrations ne se privant pas de détourner à la moindre occasion l'esprit de la loi pour éviter d'avoir à rendre des comptes. Parmi la liste de ces exclusions, figure les documents dont la divulgation pourrait entraîner des « atteintes à la sécurité des systèmes d'information des administrations ». Le principe étant la règle, il faut lire cette exclusion de manière restrictive. Une administration ne peut ainsi être tenue de communiquer des informations qui entraîneraient la compromission de la sécurité d'un système d'information : mots de passe, clés secrètes, fichiers de configuration, etc. En revanche, la loi est claire : elle est tenue de communiquer le code source des logiciels qu'elle a produit, rappelons-le, avec les deniers du contribuable.

L'accès aux documents administratifs se heurte souvent à des administrations parfois réticentes ou peu mobilisées. Ainsi, pour faciliter l'exercice du droit fontamental de « demander compte à tout agent public de son administration », le législateur a créé en 1978 une autorité indépendante : la CADA.

« Ouvre-boîte » est une association dont l'objet est, précisément, de faire en sorte que les administrations respectent la loi en publiant les documents qui leur sont demandés. Elle avait sollicité le ministère de l'Éducation nationale afin que soit communiqué le code source complet de la plateforme Parcoursup, fruit de ce fameux génie français que le monde entier nous envie. Suite au refus opposé par l'administration, elle avait tout naturellement saisi la CADA, afin que cette dernière enjoigne au ministère de respecter ses obligations de transparence. Cette dernière avait rendu un avis favorable, « sous réserve de l’occultation des seuls éléments couverts par le secret des systèmes d’information ». De manière plus claire, elle estimait que le ministère devait communiquer le code source en expurgeant les éléments sensibles.

Petits secrets...

Soit dit en passant, on se demande bien ce que ces éléments sensibles, que l'on appelle, en informatique, des « secrets », pourraient faire dans le code source. Il peut en effet arriver qu'ils soient ajoutés dans un dépôt de code, mais cela résulte systématiquement d'une erreur humaine. Interrogez n'importe quel professionnel du secteur, il vous dira la même chose : les « secrets » doivent être stockés et manipulés séparément du code source. Ils sont déployés sur les environnements de production, sur les serveurs, par les seuls personnes autorisées, le plus souvent au travers d'outils dit de « gestion de configuration ». Et si ils ont été ajoutés par erreur dans le code source, ils doivent être remplacés par de nouveaux « secrets » qui seront traités de façon sécurisée. « Hardcoder », autrement dit faire figurer littéralement ces secrets dans le code source du logiciel, est absolument hors les standards de qualité, sans même parler de l'état de l'art.

L'avis de la CADA était donc motivé en droit, mais aussi parfaitement équilibré et faisable du point de vue technique. Las, le ministère ayant persisté dans son refus de communiquer le code source idoine, l'association a été contrainte de se tourner vers le tribunal administratif de Paris, pour obtenir qu'il soit enfin publié, comme le prévoit la loi.

Devant le tribunal, le ministère a fait valoir — accrochez-vous bien — que le code source ne pouvait être communiqué dans la mesure où « la publication en ligne du code source complet de l’application Parcoursup en laisserait apparaître les vulnérabilités et serait, ainsi, susceptible de porter atteinte à la sécurité des systèmes d’information de l’administration ». Le tribunal administratif a suivi le ministère, et le code de Parcoursup ne sera pas publié, au motif donc… Qu'il est troué.

Deux audits, commandés par la Cour des comptes, avaient identifié un premier paquet de défauts, dont certains critiques, en 2020. Elle avait indiqué au ministère que « les risques avérés [devraient] être maîtrisés rapidement ». En 2022, un prestataire externe, mandaté cette fois-ci par le ministère lui-même aurait à son tour pointé du doigt des vulnérabilités. Les mêmes, peut-être, qui sait ? Et c'est, presque quatre ans après le premier audit, sur l'existence de ces vulnérabilités que le ministère s'appuie pour motiver son refus auprès du juge administratif. Le ministère précisant que la « résolution » de ces problèmes prendrait « plusieurs années » — ce qui est non seulement grotesque, mais également comique quand on sait le temps que le ministère a déjà passé à ne rien faire pour les corriger.

Tout cela ferait presque rire. Mais un million de lycéens publient, tous les ans, des quantités astronomiques de données à caractère personnel sur Parcoursup. Plateforme qui, on le rappelle, est censée permettre, de façon équitable ou en tout cas sans risque de tricherie (on y croit), l'orientation de jeunes gens vers leurs études supérieures.

Le défaut de sécurisation des traitements de données à caractère personnel est une violation manifeste du RGPD qui peut entraîner des sanctions s'élevant jusqu'à 20 millions d'euros. Largement de quoi corriger deux ou trois bogues, à notre humble avis, si la CNIL voulait bien s'en mêler.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée