Assiste-t-on à une polémique de plus à propos de Parcoursup ? Après de premiers pas parfois chaotiques, puis des frustrations et des incompréhensions largement répandues par les élèves de Terminale, le logiciel d’inscription en études supérieures essuie une nouvelle salve de critiques. S’appuyant sur le droit de tout citoyen d’accéder aux données administratives, une association s’est vue refuser la publication du code du logiciel en open source. Et ce, pour des raisons étonnantes.
Parcoursup est la plateforme officielle du ministère de l’Éducation nationale dédiée à l’admission dans l’enseignement supérieur en France. Le Ministère la décrit comme un outil au service des lycéens, des étudiants en réorientation et de leurs familles, qui permet de centraliser et de gérer les vœux d’inscription dans les formations post-Bac. Le système, fonctionnant sur un algorithme de sélection, a pour objectif de mettre en relation les vœux des étudiants avec les capacités d’accueil des formations.
Parcoursup est en réalité un système de mise en relation et non de sélection. La plateforme assure ainsi :
La plateforme Parcoursup a succédé à APB (Admission post-Bac), un système en activité entre 2002 et 2018, jugé alors peu transparent et inéquitable par de nombreux acteurs de l’enseignement supérieur et des associations de parents d’élèves. La Cour des comptes, notamment, avait pointé du doigt les lacunes d’APB en termes de gestion des candidatures et de décision, critiquant un manque de clarté dans les processus de sélection.
Parcoursup visait donc à améliorer ces aspects en introduisant plus de transparence et en donnant la possibilité aux candidats de mieux comprendre les raisons d’une éventuelle non-sélection. Pourtant, le débat reste ouvert quant à savoir si ces objectifs ont été pleinement atteints.
Il faut cependant relativiser les défauts de ces solutions. La sélection et le choix de sa formation qui va déterminer un avenir professionnel sont des éléments particulièrement sensibles et stratégiques. L’enjeu majeur de ces choix est générateur de beaucoup de stress, ce qui explique, du moins en partie, la mauvaise presse dont font l’objet les différents systèmes qui se sont succédé. Les étudiants des années 1990 qui étaient confrontés au système RAVEL sur minitel ne gardent pas non plus un très bon souvenir de leurs inscriptions dans le supérieur.
Il n’en reste pas moins que laisser un algorithme déterminer la suite de vos études est toujours légèrement inquiétant. L’opacité des programmes qui se cachent derrière la plateforme peut rapidement faire surgir des soupçons d’erreurs ou de choix cachés opérés au détriment des candidats. Afin d’éliminer d’éventuelles accusations infondées, le meilleur moyen est de demander à ce que le code source de l’algorithme soit rendu public.
C’est bien une quête de transparence et de responsabilité qui a guidé plusieurs organisations à demander officiellement au ministère de l’Éducation nationale la publication du code source de Parcoursup. Il s’agit de pouvoir effectuer une évaluation indépendante du logiciel, pour s’assurer que le système de sélection est juste, équitable et dépourvu de toute discrimination.
De plus, la publication du code source est également essentielle pour détecter et corriger d’éventuelles incorrections dans le code, voire des failles de sécurité de Parcoursup. Celles-ci pourraient être exploitées par des pirates, au risque de manipuler les résultats des choix des candidats ou de compromettre leurs informations personnelles. Que des citoyens proposent une veille active sur la sécurité et l’efficacité d’outils publics à forts enjeux semble tout à fait légitime, dans le cadre d’une société démocratique avancée.
Dès 2018, Nextimpact, un site d’actualités informatiques et high-tech, a demandé à la Commission d’accès aux documents administratifs (CADA) d’avoir accès au code source, sans succès. La même année, la ministre de l’Enseignement supérieur de l’époque, Frédérique VIDAL, a promis une prochaine publication du code. Cela a bien été effectivement réalisé, mais très partiellement. Comme l’a relevé la Cour des comptes en 2020 : « à ce jour, une très faible partie du code de Parcoursup a été rendue publique. Le code publié par le Ministère français de lʼEnseignement supérieur, de la Recherche et de lʼInnovation le 21 mai 2018 représente au plus 1 % du nombre de lignes de code et moins de 2 % des fichiers produits dans le cadre de l’exercice des missions dévolues à l’opérateur de la plateforme ».
En juin 2020, l’association Ouvre-boîte prenait le relais en demandant la publication du code source SQL complet au Ministère. Face à l’absence de réponse, l’association a saisi la CADA en septembre 2020, qui a donné un avis favorable au début de 2022, sous réserve de l’occultation des seuls éléments couverts par le secret des systèmes d’information. Malgré cet avis, le ministère de l’Éducation nationale n’a pas réagi, poussant l’association à déposer une requête auprès du tribunal administratif de Paris en octobre 2021.
L’avis favorable de la CADA, une entité chargée de veiller à la liberté d’accès aux documents administratifs, aurait dû marquer un tournant dans la quête d’accès au code source de Parcoursup. Or, loin d’aller dans son sens, le tribunal administratif s’est au contraire résolu à suivre les plaidoiries du Ministère de l’Enseignement supérieur et de la Recherche : la publication du code est en l’état inenvisageable. Quant aux arguments mis en avant par le tribunal, reprenant ceux du ministère, ils interrogent.
Le tribunal administratif a tranché en faveur du ministère de l’Éducation nationale, rejetant la requête de l’association Ouvre-boîte. Son arrêt stipule ainsi qu’« il ressort des pièces du dossier, en particulier de l’extrait des recommandations du prestataire externe en cybersécurité du ministère chargé de l’enseignement supérieur, en date du 7 septembre 2022, que la publication en ligne du code source complet de l’application Parcoursup en laisserait apparaître les vulnérabilités et serait, ainsi, susceptible de porter atteinte à la sécurité des systèmes d’information de l’administration ».
Cette décision met en lumière une pratique controversée, celle de la sécurité par la confidentialité. Cette méthode est défendue par le ministère comme une stratégie de « défense en profondeur », qui n’aurait rien à voir avec la « sécurité par l’obscurité ». Malgré cette distinction sémantique, la conséquence demeure la même, le code source reste non publié, sous prétexte de protéger des systèmes d’information vulnérables. S’agirait-il d’un faux prétexte pour garantir toute l’opacité nécessaire à un système critiqué ? Ou les vulnérabilités sont-elles réelles et identifiées, amenant d’autres questions sur la sécurité et la validité de l’algorithme ?
Les vulnérabilités de Parcoursup ne sont pas un secret, comme en témoignent les multiples incidents depuis sa mise en place. La Cour des comptes a, dès février 2020, mis en évidence les failles du système, héritées en grande partie de son prédécesseur APB. Selon la Cour, le cœur du système d’information de la nouvelle plateforme reste en grande partie hérité du précédent système APB : « une nouvelle marque pour un outil ancien » précisait la Cour, qui évaluait à 72 % la part du code source demeuré inchangé.
Plusieurs incidents ont déjà émaillé les premières années de Parcoursup. Ainsi, en 2019, un étudiant avait signalé une faille qui permettait l’usurpation de comptes. Plus récemment, en 2023, un hacker avait réussi à exploiter une fuite d’identifiants et à récupérer les données personnelles de nombreux étudiants inscrits sur Parcoursup.
Par ailleurs, de nombreux bugs apparaissent chaque année, laissant des élèves dans des situations compliquées. En 2019 c’était le cas de plus de 65 000 élèves inscrits sur la plateforme. Et l’an dernier, 84 000 candidats étaient toujours sans affectation au mois de juillet.
Autant d’arguments qui plaident pour une ouverture publique complète du code source de la plateforme, selon le porte-parole de l’association Ouvre-boîte : « ce secret de la sécurité des systèmes d’information de l’administration a ceci de pernicieux qu’il protège davantage les codes sources et les bases de données de mauvaise qualité. Il désincite donc les administrations à adopter de bonnes pratiques en matière de systèmes d’information ».
Les plus optimistes se rassureront quand même : l’administration s’est engagée, lors de l’audience du tribunal administratif, à publier en intégralité le code d’ici décembre 2029 !
