Le code source de Parcoursup doit être communiqué en intégralité, indique la Commission d’accès aux documents administratifs (CADA).
La CADA se prononçait suite au refus du ministère de l’enseignement supérieur et de la recherche de communiquer le code source complet de Parcoursup composé de 2690 fichiers SQL (pour un total de 858 493 lignes) et les 21 fichiers Java (pour un total de 2 911 lignes) ainsi que leurs mises à jour futures.
La CADA rappelle l’importance de la communication de ces codes sources:
« La commission insiste, en outre, sur l’importance particulière qui s’attache à la diffusion publique des codes sources des administrations, gage de transparence administrative, ainsi que l’a relevé le rapport de la mission Bothorel sur la politique publique de la donnée, des algorithmes et des codes sources, remis au Premier ministre en décembre 2020. Un algorithme public est une procédure administrative dont tout ou partie est informatisée et qui intervient dans un processus de décision pour les citoyens. »
Le code source est la traduction informatique de cet algorithme. Il explicite la méthode de prise de décision administrative, permet de contrôler l’interprétation et l’application de la règle de droit mise en œuvre par les pouvoirs publics et renforce la confiance des usagers dans le dispositif. La commission observe, à cet égard, que l’ouverture des codes sources de l’administration, présentée comme un gage de confiance démocratique, est l’un des trois enjeux identifiés dans le plan d’action du Gouvernement en matière de logiciels libres et communs numériques conçu par le ministère de la Transformation et de la Fonction publiques qui a été lancé en novembre 2021. »
En conclusion, » les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l’administration. »
Seul bémol pour « les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des système d’information »
S’agissant plus particulièrement de Parcoursup, la CADA considère que:
La commission observe que le rapport de la Cour des Comptes a mis en exergue les fragilités des systèmes d’information de la plateforme Parcoursup en termes de sécurité, de performance et de robustesse, lesquelles présentent des risques importants en termes de qualité et de continuité du service public, ainsi que de sécurité des données personnelles traitées. Le rapport indique en outre que l’application Parcoursup présente « une qualité médiocre, avec un niveau de risque élevé et de nombreuses violations critiques identifiées » et que le dispositif présenterait un « risque de rupture de service » et ne serait « pas non plus à l’abri d’une intrusion ».
Il ressort de l’instruction écrite de la demande et de l’audition des représentants du ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation par la commission que la plupart des failles critiques identifiées ont depuis lors été corrigées.
La commission a en particulier été informée que la plateforme Parcoursup faisait l’objet d’un mécanisme de refonte progressive « par blocs », qui s’est intensifié postérieurement au rapport de la Cour des Comptes. L’effort s’est concentré, en première intention, sur deux blocs « critiques », qui ont été réécrits et qui sont le cœur algorithmique de la plateforme, à savoir d’une part, les éléments permettant le calcul d’un ordre d’appel (prise en compte des quotas boursiers, proposition de formations ou d’hébergement en internat…) et d’autre part, les éléments se rapportant à l’algorithme de calcul quotidien des propositions faites aux candidats. Les fragments du code source correspondant, qui sont publiés, permettent aux usagers de vérifier que le fonctionnement de la plateforme est conforme au droit et favorisent la pleine compréhension des mécanismes de procédure d’entrée dans l’enseignement supérieur. Les parties les plus anciennes de la plateforme, dont les fragments de code source demeurent à ce jour non publiés, correspondent, quant à eux, pour l’essentiel au traitement des flux de données recueillies auprès des candidats et des établissements. La refonte de ce bloc est en cours.
Interrogé sur ce point, le ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation a indiqué que ces fragments non publiés entrent dans leur intégralité dans le champ du d) du 2° de l’article L311-5 du code précité. La commission comprend des précisions apportées et des réponses aux questions posées que la plateforme Parcoursup présente toujours, en dépit de sa refonte progressive, de nombreuses failles et vulnérabilités, liées à son architecture héritée d’APB, à son niveau de complexité, à son utilisation massive, à son évolution par sédimentation et, enfin, à son interconnexion avec d’autres systèmes d’information. La divulgation du code source complet de la plateforme faciliterait l’exploitation de ces fragilités et favoriserait des intrusions potentielles, lesquelles présenteraient des risques très importants en termes de sécurité, à savoir notamment, une perte ou un vol massif de données à caractère personnel, une utilisation frauduleuse du système pour en modifier son exécution (élévation de privilèges ou remise en cause du classement par exemple), voire une rupture de service. Le ministère ayant indiqué être dans l’incapacité d’isoler les fragments du code porteurs de risques pour la sécurité des systèmes d’information, il s’oppose à la communication de l’intégralité de ces éléments.
La commission observe qu’en application des principes rappelés au point 1. ci-dessus, sous réserve de l’occultation ou de la disjonction des éléments couverts par le secret des systèmes d’information, entendus strictement comme indiqué précédemment, le code source de Parcoursup a vocation à être intégralement publié, y compris les fragments se rapportant aux parties les plus anciennes de la plateforme qui sont les plus importants en terme volumétrique puisque représentant 99% du code source et qui, bien que ne constituant pas son « cœur algorithmique », contiennent des informations précieuses pour les usagers, comme l’a relevé la Cour des Comptes dans son rapport.
La commission regrette que cette publication ne puisse, en l’état, être réalisée pour les motifs de sécurité portés à sa connaissance et dont elle ne peut que prendre acte, en présence d’un opérateur de service essentiel qui ne peut souffrir d’aucune interruption ou dysfonctionnement majeur. Elle observe que, postérieurement à la publication du rapport de la Cour des Comptes, les moyens humains de l’équipe informatique consacrée à Parcoursup ont été renforcés. Des efforts ont par ailleurs été fournis pour une montée en qualité du code. Elle retient aussi de l’audition des représentants du ministère l’engagement de procéder, au plus tard en juin 2023, à la publication de nouvelles parties du code source qui auront été réécrites et sécurisées.
Compte tenu du laps de temps significatif qui s’est écoulé depuis le rapport de la Cour des comptes, la commission estime toutefois que les avancées réalisées par le ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation en termes d’ouverture du code source de Parcoursup ne sont, à la date de son avis, et compte tenu de l’importance quantitative et qualitative du service fourni aux usagers par ce service numérique, dont l’usage est par ailleurs obligatoire pour les accédants à l’enseignement supérieur, pas à la hauteur des enjeux. La complexité du code ne saurait, à elle seule justifier les résultats décevants ainsi constatés. Eu égard à l’intérêt général qui s’attache à la publication intégrale du code source sollicité, la commission déplore que l’autorité ministérielle soit dans l’incapacité de lui indiquer l’échéance prévisionnelle des travaux de refonte de la plateforme de Parcoursup et de réécriture de son code source.
Compte tenu de ces éléments, la commission émet, dès lors, un avis favorable à la demande d’avis, sous réserve de l’occultation ou de la disjonction des seuls éléments couverts par le secret des systèmes d’information, entendus strictement comme indiqué précédemment, tout en prenant acte des circonstances particulières portées à sa connaissance faisant obstacle à la publication immédiate du code source de Parcoursup. Compte tenu des enjeux de la présente demande en termes de transparence, elle invite le ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation à redoubler d’effort et à prendre l’ensemble des mesures appropriées pour suivre les recommandations formulées dans le présent avis et pour assurer, dans les plus brefs délais, la communication par voie de publication en ligne du code source concerné.