Victoire en Espagne pour la divulgation du code d’un algorithme utilisé par les services publics

Partout en Europe les Etats utilisent des algo­rithmes en inter­dis­ant l’ac­cès à leur code source. Ce qui revient à être soumis à une loi sans pou­voir la con­naître, à l’in­verse du principe juridique “Nemo jus igno­rare cense­tur” (“nul n’est cen­sé ignor­er la loi”).

Ain­si, en France, dans leur com­bat con­tre Par­cour­sup, des syn­di­cats n’ont obtenu qu’une ver­sion édul­corée (en tri­bunal admin­is­tratif), et La Quad­ra­ture du Net n’a pu con­tester l’algo­rithme déployé dans les CAF qu’à par­tir de l’analyse d’une anci­enne ver­sion.

C’est pourquoi la vic­toire espag­nole, obtenue au plus haut niveau (Cour Suprême), peut con­stituer le début d’une vraie trans­parence des algo­rithmes publics partout en Europe, et donc ouvrir la pos­si­bil­ité de les con­tester à armes égales !

En France, l’ODAP (obser­va­toire des algo­rithmes publics, auquel deux d’en­tre nous ont con­tribué cet été) mène un tra­vail d’in­ven­taire et de décryptage sans, pour le moment, pou­voir accéder aux codes. Cette vic­toire lui offre des per­spec­tives !

Arti­cle sur le site de Civ­io qui présente cette vic­toire espag­nole et ses retombées pos­si­bles

Cet arrêt, qui fait jurispru­dence, stip­ule que les algo­rithmes de prise de déci­sion publique requièrent trans­parence et sur­veil­lance. La Cour rejette les argu­ments selon lesquels la sécu­rité nationale ou la pro­priété intel­lectuelle pour­raient lim­iter de manière absolue ce qu’elle appelle un droit con­sti­tu­tion­nel à l’in­for­ma­tion publique.

Aujour­d’hui, nous faisons un grand pas vers la trans­parence algo­rith­mique. Ce n’est ni une exagéra­tion ni une hyper­bole. La Cour suprême a don­né rai­son à Civ­io et a con­traint le gou­verne­ment à nous don­ner accès au code source de BOSCO, le logi­ciel qui déter­mine qui reçoit et qui ne reçoit pas de chèque social. Civ­io avait réclamé le code pour la pre­mière fois en 2018 et avait essuyé de nom­breux revers judi­ci­aires. La déci­sion de la Cour suprême fait droit à notre appel, crée une jurispru­dence et établit que con­naître le fonc­tion­nement des pro­grammes et des algo­rithmes util­isés par les admin­is­tra­tions publiques est un droit démoc­ra­tique.

L’ar­rêt, que vous pou­vez lire inté­grale­ment ici , exclut la pos­si­bil­ité d’im­pos­er une opac­ité totale pour des raisons de sécu­rité nationale ou de pro­priété intel­lectuelle, argu­ments invo­qués par le gou­verne­ment espag­nol con­tre le partage du code. Autrement dit, il ne peut pas out­repass­er, de manière générale et absolue, le droit d’ac­cès à l’in­for­ma­tion, un droit que la Cour suprême déclare con­sti­tu­tion­nel.

Le tri­bunal a tenu compte du fait que le pro­gramme déter­mine l’at­tri­bu­tion d’un bon social, qu’il n’en motive pas la déci­sion, qu’il prend une déci­sion automa­tique­ment plutôt que de servir de sys­tème de con­sul­ta­tion ou de sou­tien, et que, s’il con­tient des erreurs, l’al­go­rithme aura un “effet mul­ti­pli­ca­teur”, pri­vant des mil­liers de per­son­nes d’un droit, con­traire­ment à l’er­reur occa­sion­nelle qu’une per­son­ne peut com­met­tre en rem­plis­sant un for­mu­laire. C’est pourquoi, selon le tri­bunal, il est par­ti­c­ulière­ment impor­tant que le pub­lic con­naisse le fonc­tion­nement de l’al­go­rithme.

Bien que la déci­sion admette que l’octroi de l’accès au code source puisse com­porter des risques, elle pré­cise que les risques spé­ci­fiques doivent être éval­ués dans chaque cas et que les juges doivent tou­jours pren­dre en compte la per­ti­nence par­ti­c­ulière du code pour l’intérêt pub­lic.

L’un des prin­ci­paux argu­ments du gou­verne­ment était la défense de sa pro­priété intel­lectuelle. La Cour suprême a indiqué que cet argu­ment était soulevé comme un “sim­ple risque de préju­dice poten­tiel”, mais que le gou­verne­ment n’ex­pli­quait pas en quoi le partage de sa pro­priété intel­lectuelle porterait préju­dice à l’ad­min­is­tra­tion publique. La Cour établit en out­re que la pro­tec­tion de la pro­priété intel­lectuelle est réduite lorsque l’ad­min­is­tra­tion publique est pro­prié­taire et que le pro­gramme n’ap­par­tient pas à une entre­prise, d’au­tant plus qu’il ne s’ag­it pas d’un bien marc­hand avec des droits d’ex­ploita­tion, mais d’un out­il devant servir l’in­térêt pub­lic.

Quant au deux­ième argu­ment, celui de l’atteinte éventuelle à la sécu­rité nationale, la Cour souligne que l’ouverture du code source peut certes com­porter des risques de sécu­rité, mais que ceux-ci “peu­vent générale­ment être anticipés, ce qui per­met de con­cevoir l’application ou le logi­ciel de manière à ren­forcer la sécu­rité du sys­tème”.

Lors des deux procès précé­dents, le gou­verne­ment a invo­qué deux exper­tis­es tech­niques pour jus­ti­fi­er son refus d’ac­cès au code. D’une part, le directeur général adjoint des tech­nolo­gies de l’in­for­ma­tion du min­istère de la Tran­si­tion écologique a soutenu que quiconque pour­rait min­er des cryp­tomon­naies à son siège ou accéder aux don­nées per­son­nelles des per­son­nes sol­lic­i­tant de l’aide. D’autre part, un expert du Cen­tre nation­al de cryp­tolo­gie a affir­mé que l’ou­ver­ture de tout code source entraîn­erait des vul­néra­bil­ités du sys­tème. Ces deux argu­ments inso­lites ont motivé le rejet de nos deman­des par le tri­bunal de pre­mière instance et l’Au­di­ence nationale. La Cour suprême répond à ces deux argu­ments : elle estime que ces juri­dic­tions n’ont pas pesé les intérêts en jeu ni appré­cié le cas d’e­spèce, se con­tentant de pren­dre ces affir­ma­tions au pied de la let­tre. De plus, la Cour suprême affirme que pré­ten­dre que l’ou­ver­ture de code con­stitue une vio­la­tion sig­ni­fierait, de fac­to, que per­son­ne ne pour­rait jamais deman­der l’ac­cès au code source d’un pro­gramme infor­ma­tique et que la sécu­rité publique con­stituerait un veto absolu et automa­tique dans tous les cas de ce type.

L’ar­rêt va plus loin : bien qu’il affirme qu’il puisse y avoir des risques hypothé­tiques à peser dans chaque cas, on peut affirmer, au con­traire, que la trans­parence peut con­tribuer, en ter­mes tout aus­si hypothé­tiques, à amélior­er le code et à ren­forcer sa sécu­rité puisque, d’une part, elle encour­age l’Ad­min­is­tra­tion à exiger des pré­cau­tions de sécu­rité dans la con­cep­tion et la super­vi­sion du logi­ciel et, d’autre part, l’ex­a­m­en par dif­férents acteurs indépen­dants peut aider à révéler des vul­néra­bil­ités inaperçues et per­me­t­tre leur cor­rec­tion rapi­de”. C’est ce qui s’est passé avec l’ap­pli­ca­tion de traçage des con­tacts pandémiques Radar Covid, comme cité dans l’ar­rêt et comme nous l’avons dit tant dans nos appels qu’à l’au­di­ence, avec l’aide de notre avo­cat, Javier de la Cue­va.

Lors de l’au­di­ence, nous avons égale­ment affir­mé que l’ac­cès au code source ne néces­si­tait pas l’ac­cès aux don­nées per­son­nelles des deman­deurs. En réal­ité, le pro­gramme et les règles qu’il con­tient sont une chose ; les don­nées qu’il traite en sont une autre. La Cour suprême nous a égale­ment don­né rai­son sur ce point. Elle a d’ailleurs indiqué que la lég­is­la­tion européenne “exclut par principe la dis­sim­u­la­tion du code source”.

Il ne s’ag­it pas seule­ment de BOSCO. C’est pourquoi cet arrêt est si impor­tant. Il s’ap­plique désor­mais à tout algo­rithme ou pro­gramme util­isé par les admin­is­tra­tions publiques et affec­tant les citoyens. Dans ce que la Cour suprême appelle une nou­velle “démoc­ra­tie numérique”, les pou­voirs publics ont l’oblig­a­tion d’ ”expli­quer de manière com­préhen­si­ble le fonc­tion­nement des algo­rithmes util­isés dans la prise de déci­sion affec­tant les citoyens, afin de leur per­me­t­tre de con­naître, de sur­veiller et de par­ticiper à la ges­tion publique”.

L’utilisation accrue de ces tech­nolo­gies doit s’accompagner de “deman­des de trans­parence des proces­sus infor­ma­tiques”, qui peu­vent néces­siter, pour­suit l’arrêt, “l’accès à leur code source”, comme dans le cas de BOSCO.

En bref, comme l’indique l’ar­rêt : “Le développe­ment et la mise en œuvre pro­gres­sifs de l’ad­min­is­tra­tion élec­tron­ique et l’u­til­i­sa­tion crois­sante des appli­ca­tions infor­ma­tiques pour la ges­tion des ser­vices publics, avec des impli­ca­tions évi­dentes pour les droits des citoyens, dans la mesure où elles déter­mi­nent ou con­di­tion­nent la recon­nais­sance ou le refus des droits et des presta­tions publiques, c’est-à-dire qu’elles fonc­tion­nent comme une source de déci­sions automa­tisées, sig­ni­fient que la con­fig­u­ra­tion et l’u­til­i­sa­tion d’al­go­rithmes dans ces appli­ca­tions acquièrent une per­ti­nence déci­sive et néces­si­tent de la trans­parence.

De plus, cette affaire est par­ti­c­ulière­ment per­ti­nente, étant don­né que, selon la lég­is­la­tion actuelle, explique la Cour, “il n’existe pas d’autorités de con­trôle indépen­dantes pour garan­tir le bon fonc­tion­nement de ces appli­ca­tions”.

L’arrêt recon­naît le fait que l’explicabilité des algo­rithmes est une “demande publique crois­sante qui, comme l’écrivent les juges dans notre cas, est req­uise comme garantie effi­cace con­tre l’arbitraire ou les préjugés dis­crim­i­na­toires dans la prise de déci­sion entière­ment ou par­tielle­ment automa­tisée… éviter l’opacité de l’algorithme ou du code source est con­sub­stantiel à l’État de droit démoc­ra­tique.

La déci­sion fait référence à la Charte des droits fon­da­men­taux de l’U­nion européenne, à la Con­sti­tu­tion espag­nole, à la loi sur la trans­parence de 2013 et aux déci­sions antérieures de la Cour suprême elle-même, que Civ­io cite tou­jours dans ses plaintes, qui étab­lis­sent que des lim­ites ne peu­vent être imposées au droit d’ac­cès de manière générique et absolue, sans peser le bien-fondé de chaque cas.

En réal­ité, le gou­verne­ment, out­re ses argu­ments vagues sur les atteintes poten­tielles à sa pro­priété intel­lectuelle et à la sécu­rité nationale, a invo­qué “générale­ment” dans ses argu­ments une autre série de lim­ites au droit d’ac­cès : les fonc­tions admin­is­tra­tives de sur­veil­lance, d’in­spec­tion et de con­trôle ; la poli­tique économique et moné­taire ; et la garantie de con­fi­den­tial­ité ou le secret req­uis dans les proces­sus déci­sion­nels. La déci­sion est caté­gorique : cette liste, sans aucune jus­ti­fi­ca­tion, est inco­hérente et sans fonde­ment”.

La Cour suprême ne se con­cen­tre pas unique­ment sur la trans­parence algo­rith­mique, mais promeut égale­ment la trans­parence en général et le droit d’ac­cès à l’in­for­ma­tion . Ain­si, bien qu’of­fi­cielle­ment, en droit, la trans­parence ne soit pas recon­nue comme un droit fon­da­men­tal, mal­gré les reven­di­ca­tions d’or­gan­i­sa­tions de la société civile telles que Civ­io, la Cour suprême affirme dans cet arrêt que la trans­parence est étroite­ment liée à d’autres droits tels que la lib­erté d’in­for­ma­tion, le con­trôle des tri­bunaux, l’ac­cès aux doc­u­ments publics, la par­tic­i­pa­tion, la cri­tique du pou­voir ou le con­trôle des admin­is­tra­tions publiques, et qual­i­fie la trans­parence de “droit con­sti­tu­tion­nel”. Un droit qui, selon la Cour, est “indis­so­cia­ble” de la démoc­ra­tie elle-même . La trans­parence est un devoir inclus dans le principe de bonne admin­is­tra­tion, écrit la Cour, et non un vain mot.

En out­re, la Cour s’ap­puie sur la jurispru­dence de la Cour européenne des droits de l’homme (CEDH) pour établir qu’outre l’in­térêt pub­lic de cette affaire, Civ­io “exerce des fonc­tions de sur­veil­lance sociale liées à la tutelle et à la pro­tec­tion de l’É­tat de droit et, par con­séquent, de la démoc­ra­tie, dans la mesure où elle cherche à assur­er le bon fonc­tion­nement des insti­tu­tions publiques et à pro­mou­voir l’in­for­ma­tion des citoyens sur leurs insti­tu­tions publiques et la ges­tion des ressources publiques.”

La trans­parence n’est pas seule­ment un point de loi mais, selon l’arrêt, “un droit con­sti­tu­tion­nel qui peut être exer­cé, en tant que droit sub­jec­tif, con­tre les admin­is­tra­tions publiques, découlant des exi­gences de la démoc­ra­tie et de la trans­parence, et indis­so­cia­ble­ment lié à l’État démoc­ra­tique et à l’État de droit”.

Ce lit­ige a débuté en 2018, lorsque Civ­io a demandé l’ac­cès au code source de l’ap­pli­ca­tion BOSCO au min­istère de la Tran­si­tion écologique. Après un pre­mier rejet pour silence admin­is­tratif, Civ­io a déposé une plainte auprès du Con­seil pour la trans­parence et la bonne gou­ver­nance (CTBG). En févri­er 2019, le CTBG a par­tielle­ment fait droit à la demande : il a accordé l’ac­cès à la doc­u­men­ta­tion tech­nique et aux résul­tats des tests, mais a refusé l’ac­cès au code source, arguant que celui-ci était pro­tégé par les règles de pro­priété intel­lectuelle.

Insat­is­fait, Civ­io a porté l’af­faire devant les tri­bunaux. En décem­bre 2021, le Tri­bunal cen­tral con­tentieux-admin­is­tratif n° 8 a rejeté l’ap­pel , val­i­dant non seule­ment l’ar­gu­ment de la pro­priété intel­lectuelle, mais ajoutant égale­ment l’ar­gu­ment du dan­ger pour la sécu­rité publique. Civ­io a fait appel de cette déci­sion, mais l’Au­di­en­cia Nacional, dans son arrêt d’avril 2024, a de nou­veau statué con­tre lui , con­fir­mant inté­grale­ment le juge­ment précé­dent et ren­forçant l’idée que l’opac­ité du code était une mesure néces­saire pour pro­téger à la fois la pro­priété intel­lectuelle de l’É­tat et la sécu­rité du sys­tème et des don­nées des citoyens.

L’af­faire est finale­ment par­v­enue à la Cour suprême, qui a admis le pour­voi en cas­sa­tion de Civ­io. L’audi­ence a eu lieu le 8 juil­let 2025. Le 9 sep­tem­bre, la Cour suprême a ren­du son arrêt et, au final, s’est pronon­cée en notre faveur.