A-6198/2024

E. 1 La procédure de recours est régie par la loi fédérale du 20 décembre 1968 sur la procédure administrative (PA, RS 172.021), pour autant que la loi du 17 juin 2005 sur le Tribunal administratif fédéral n'en dispose pas autrement (cf. art. 37 LTAF, RS 173.32). Le Tribunal administratif fédéral examine d'office sa compétence (cf. art. 7 PA) et librement la recevabilité des recours qui lui sont soumis.

E. 1.1 Sous réserve des exceptions prévues à l'art. 32 LTAF, non pertinentes en l'espèce, le Tribunal administratif fédéral connaît, en vertu de l'art. 31 LTAF, des recours contre les décisions au sens de l'art. 5 PA, prises par les autorités mentionnées à l'art. 33 LTAF. Le PFPDT est une autorité au sens de la lettre d de cette dernière disposition et l'acte attaqué, en ce qu'il crée des droits ou obligations, revêt les caractéristiques matérielles (cf. art. 5 al. 1 PA) et formelles (cf. art. 35 PA) d'une décision, si bien que le Tribunal administratif fédéral est compétent pour examiner le présent recours (cf. arrêt du TAF A-6192/2015 du 11 janvier 2017 consid. 1.1).

E. 1.2 La recourante a pris part à la procédure devant l'autorité inférieure. Elle est particulièrement atteinte et a un intérêt digne de protection à requérir son annulation ou sa modification (cf. art. 48 al. 1 PA). Elle a donc qualité pour recourir.

E. 1.3 Présenté dans le délai (cf. art. 50 al. 1 PA) et les formes (cf. art. 52 al. 1 PA) prescrits par la loi, le recours s'avère ainsi recevable, si bien qu'il convient d'entrer en matière.

E. 2.1 En sa qualité d'autorité de recours, le Tribunal dispose d'une pleine cognition. Il revoit librement l'application du droit par l'autorité inférieure (cf. art. 49 PA), y compris l'excès ou l'abus du pouvoir d'appréciation (let. a), la constatation inexacte ou incomplète des faits pertinents (let. b) et l'opportunité de la décision attaquée (let. c), tous griefs que le recourant peut soulever à l'appui de son recours. Conformément à la maxime inquisitoire, le Tribunal vérifie d'office les faits constatés par l'autorité inférieure (cf. art. 12 PA), sous réserve du devoir de collaborer des parties (cf. art. 13 PA).

E. 2.2 Le Tribunal applique le droit d'office, sans être lié par les motifs invoqués (cf. art. 62 al. 4 PA), ni par l'argumentation juridique développée dans la décision entreprise. Il se limite en principe aux griefs soulevés et n'examine les questions de droit non invoquées que dans la mesure où les arguments des parties ou le dossier l'y incitent (cf. ATF 135 I 91 consid. 2.1 ; ATAF 2014/24 consid. 2.2, 2012/23 consid. 4).

E. 3 Selon la décision attaquée, le PFPDT a accordé l'accès aux documents requis par l'intimé, à l'exception des données personnelles qui ont été caviardées (cf. Faits, let. R supra). A l'appui de son recours, la recourante demande en substance que la décision du PFPDT soit réformée en ce sens qu'un accès restreint à la pièce n° 25 est accordé, en retirant intégralement ses annexes 1 à 10, en plus des restrictions déjà accordées au chiffre 2 du dispositif de la décision. Sans entrer dans le détail du contenu des annexes en question, qui font l'objet de la présente procédure de recours, il convient de préciser que ces annexes concernent la recourante, la société C._______, ainsi que, dans une moindre mesure, le prestataire de services en matière de cybersécurité et de gestion de crise de la recourante. Il convient de préciser que la pièce n° 25 contient en réalité 11 annexes, et que la recourante ne semble pas s'opposer à la transmission de l'annexe n° 11 à l'intimé. La recourante considère que la décision du PFPDT viole l'art. 3 al. 1 let. a ch. 2 de la loi fédérale du 17 décembre 2004 sur le principe de la transparence dans l'administration (LTrans, RS 152.3), dans la mesure où le contenu des annexes 1 à 10 de la pièce n° 25 présente un lien direct et étroit avec l'objet de la procédure pénale en cours, qui vise à déterminer si les conditions des infractions liées à l'attaque informatique du 21 novembre 2022 ont été réalisées, puis, le cas échéant, à identifier les auteurs de ces infractions. Elle estime à cet égard que le refus du MPC de donner accès au PFPDT au dossier pénal, et plus largement de communiquer sur la procédure pénale, renforce la démonstration du caractère sensible de l'instruction pénale en cours et la nécessité qui en découle de ne pas transmettre à des tiers non concernés des documents se trouvant dans le dossier pénal. La recourante soutient également que la décision attaquée viole l'art. 7 al. 1 let. a LTrans, car la transmission des annexes 1 à 10 de la pièce n° 25 porterait atteinte au processus de libre formation de l'opinion et de la volonté du MPC en interférant avec la procédure pénale en cours. Enfin, elle se plaint d'une violation du principe de la bonne foi et de l'interdiction de l'abus de droit (art. 5 al. 3 et 9 de la Constitution fédérale de la Confédération suisse du 18 avril 1999 [Cst., RS 101]), ainsi que d'une inopportunité de la décision attaquée. Comme on le verra dans les considérants qui suivent, le Tribunal n'est pas en mesure d'examiner ces griefs à ce stade, car l'autorité inférieure a violé l'art. 11 LTrans en omettant de consulter la société C._______ ou en n'expliquant pas pourquoi elle n'avait pas à la consulter (cf. consid. 4 infra). De plus, l'autorité inférieure a également violé le principe de la maxime d'office en n'instruisant pas suffisamment la cause, notamment en ce qui concerne les conséquences de la mise à disposition des documents concernés par la présente procédure sur la conduite de la procédure pénale pendante devant le MPC (cf. consid. 5 infra). Enfin, le Tribunal n'est pas en mesure de suivre le raisonnement de l'autorité inférieure concernant l'anonymisation de certains éléments et données figurant dans les annexes 1 à 10 de la pièce n° 25 (cf. consid. 6 infra).

E. 4.1.1 Selon l'art. 7 al. 2 LTrans, le droit d'accès est limité, différé ou refusé si l'accès au document officiel peut porter atteinte à la sphère privée de tiers, à moins qu'un intérêt public à la transparence ne soit exceptionnellement jugé prépondérant. Selon l'art. 9 al. 1 LTrans, les documents officiels contenant des données personnelles ou des données concernant des personnes morales doivent être si possible rendus anonymes avant qu'ils ne soient consultés. L'alinéa 2 de cette disposition dispose que lorsque la demande d'accès porte sur des documents officiels qui ne peuvent pas être rendus anonymes, l'art. 36 de la loi fédérale sur 25 septembre 2020 sur la protection des données (LPD, RS 235.1) est applicable pour les données personnelles et l'art. 57s de la loi fédérale du 21 mars 1997 sur l'organisation du gouvernement et de l'administration (LOGA, RS 172.010) pour les données concernant des personnes morales. L'art. 57s al. 4 LOGA prévoit que les organes fédéraux peuvent communiquer d'office des données concernant des personnes morales dans le cadre de l'information officielle du public, ou en vertu de la loi sur la transparence, si les conditions suivantes sont réunies : (let. a) les données sont en rapport avec l'accomplissement de tâches publiques ; (let. b) la communication répond à un intérêt public prépondérant.

E. 4.1.2 Lorsque l'autorité envisage d'accorder l'accès à un document officiel dont la consultation est susceptible de porter atteinte à la sphère privée de tiers, elle consulte les tiers concernés et les invite à se prononcer dans un délai de dix jours (art. 11 al. 1 LTrans). Elle les informe de sa prise de position sur la demande d'accès (art. 11 al. 2 LTrans). Le Tribunal fédéral a précisé que, même si la loi sur la transparence ne prévoit pas expressément d'exception à la consultation, le droit d'être entendu ne peut avoir un caractère absolu pour des raisons systématiques et téléologiques. Le droit d'être entendu est également soumis à une réserve de mise en oeuvre, comme l'a déjà souligné le Conseil fédéral dans son message relatif à la loi sur la transparence (cf. message du 12 février 2003 relatif à la loi fédérale sur la transparence dans l'administration [ci-après : message LTrans], FF [Feuille fédérale] 2003 1807, 1858 [l'autorité « entend si possible la personne concernée »]), ce qui est également confirmé par la doctrine. Il est toutefois souligné à juste titre que la renonciation à la consultation doit rester l'exception (cf. arrêt du TF 1C_50/2015 du 2 décembre 2015 consid. 6.2 et les réf. cit. ; voir aussi Jürg Schneider/Florian Roth, in : Vasella/Blechta [édit.], Basler Kommentar Datenschutzgesetz/Öffentlichkeitsgesetz, 4e éd., 2024 [ci-après : BSK BGÖ 2024], n° 7 ad art. 11 LTrans). Le droit d'être entendu repose sur un droit fondamental correspondant (art. 29 al. 2 Cst.), de nature formelle, qui doit donc être garanti indépendamment de la situation juridique matérielle. La renonciation à la consultation n'est donc envisageable qu'à titre exceptionnel et doit être dûment justifiée (cf. arrêt du TF 1C_50/2015 précité consid. 6.2).

E. 4.1.3 En résumé, selon l'art. 11 al. 1 LTrans, un tiers concerné par une demande d'accès doit être entendu si une restriction, un report ou un refus d'accès à des documents officiels peut être envisagé conformément à l'art. 7 al. 2 LTrans, en raison d'une éventuelle atteinte à sa sphère privée. La pratique devrait reconnaître un droit d'être entendu lorsque le document officiel en question contient des informations sur une personne physique ou morale tierce identifiée ou identifiable (premier critère), et que la mise à disposition de ce document est susceptible de porter atteinte de manière effective à la sphère privée du tiers concerné (second critère). Une consultation ne peut être omise que dans des cas exceptionnels (pour un exemple récent de renonciation à la consultation admise, voir l'arrêt du TAF A-313/2025 du 7 août 2025 consid. 9). Sont notamment considérées comme des informations sur une personne physique ou morale déterminée ou déterminable, les secrets professionnels, commerciaux ou de fabrication au sens de l'art. 7 al. 1 let. g LTrans (cf. Schneider/Roth, in : BSK BGÖ 2024, n° 1a ad art. 11 LTrans). Si l'autorité a l'intention de ne pas accorder l'accès à des données personnelles ou à des données de personnes morales parce qu'elle refuse totalement l'accès au document officiel concerné ou que les données peuvent être anonymisées (art. 9 LTrans), elle peut ou doit renoncer à entendre les tiers concernés (cf. Schneider/Roth, in : BSK BGÖ 2024, n° 5 ad art. 11 LTrans). L'autorité n'est pas tenue d'obtenir le consentement du tiers concerné pour procéder au caviardage si celui-ci permet, sans effort disproportionné, de ne plus tirer de conclusions sur cette personne. Si les données personnelles ou les données relatives à des personnes morales peuvent être occultées sans difficulté et que les documents officiels ne contiennent ainsi plus de données personnelles ou de données relatives à des personnes morales, l'art. 11 LTrans n'est pas applicable (cf. Schneider/Roth, in : BSK BGÖ 2024, n° 5 ad art. 11 LTrans). Les personnes qui ne sont pas ou plus identifiables ne doivent pas être entendues.

E. 4.2.1 En l'espèce, il ressort de l'examen du dossier transmis par l'autorité inférieure au Tribunal de céans que seule la recourante a été entendue en application de l'art. 11 LTrans dans le cadre de la procédure d'accès aux documents officiels requis par l'intimé. Le Tribunal constate que l'autorité inférieure a mentionné la consultation de « tiers concernés », au pluriel (cf. Faits, let. O supra), dans plusieurs écritures figurant au dossier, voire a expressément indiqué que la recourante et la société C._______ avaient été invitées à prendre position concernant la demande d'accès (cf. Faits, let. K supra). Toutefois, malgré ces affirmations, le Tribunal de céans ne trouve aucune pièce au dossier lui permettant de conclure que la société C._______ a été consultée dans le cadre de la procédure menée par l'autorité inférieure, conformément à l'art. 11 LTrans. La décision attaquée n'a d'ailleurs été notifiée qu'à la recourante et à l'intimé (cf. Faits, let. R supra). La question d'une éventuelle atteinte à la sphère privée de la société C._______ n'a pas non plus été examinée dans la décision attaquée. En effet, lorsque l'autorité inférieure examine la pièce n° 25 et ses annexes (décision, n° 90), la situation de la société C._______ n'est pas abordée, alors qu'elle est tout autant concernée par ces pièces que la recourante. Par ailleurs, dans ces pièces, le logo de la société C._______ est parfois caviardé et parfois non, sans qu'aucune explication ne soit fournie à ce sujet par l'autorité inférieure. Dans la décision attaquée, l'autorité inférieure n'explique pas non plus pourquoi il aurait été justifié de ne pas entendre cette société. Pour ces différents motifs, le Tribunal considère que l'autorité inférieure a violé l'art. 11 LTrans en ne consultant pas la société C._______, ou, le cas échéant, a violé son devoir de motiver la décision attaquée en n'expliquant pas pourquoi il aurait été justifié de ne pas la consulter. Il convient de rappeler que C._______ est la société victime de la cyberattaque et se trouve donc au coeur de cette affaire. L'autorité inférieure envisage de transmettre à l'intimé certains documents la concernant et dans lesquels elle est mentionnée. Il est donc incompréhensible pour le Tribunal qu'elle n'ait pas été consultée, tout comme la recourante. Les anonymisations partielles de son nom auxquelles l'autorité inférieure a procédé ne pouvaient évidemment pas justifier de ne pas la consulter. Même si son nom avait été caviardé dans tous les documents, elle resterait identifiable, car cette affaire a été largement relayée dans la presse, ainsi que sur les réseaux sociaux par l'intimé (voir les pièces 2 à 5 déposées par la recourante à l'appui de son recours concernant ce dernier point).

E. 4.2.2 La décision doit par conséquent être annulée et le dossier renvoyé à l'autorité inférieure, qui devra alors consulter la société C._______. Celle-ci pourra alors faire valoir ses arguments concernant les documents qui la concernent et qui font l'objet de la présente procédure d'accès. Si l'autorité inférieure avait estimé qu'il n'était pas justifié de consulter la société en question, elle aurait dû l'expliquer et le motiver dans la décision attaquée, ce qu'elle n'a pas fait. Cette omission équivaudrait dans ce cas à un défaut de motivation de la décision attaquée. Le Tribunal de céans constate également, dans le considérant suivant, d'autres lacunes dans l'instruction de ce dossier, qui justifient également l'annulation de la décision attaquée et le renvoi du dossier à l'autorité inférieure.

E. 5.1 Comme cela a été exposé dans l'état de fait, la cyberattaque subie par la société C._______ fait l'objet d'une procédure pénale diligentée par le MPC (cf. Faits, let. K supra). La recourante, partie plaignante dans le cadre de cette procédure, s'est référée à une décision du 16 janvier 2024 par laquelle le MPC lui a refusé l'accès au dossier pénal. Selon les échanges de courrier électronique intervenus entre l'autorité inférieure et le MPC, le PFPDT n'a pas réussi à obtenir du MPC la consultation du dossier pénal en question sur la base de l'art. 101 al. 2 du Code de procédure pénale suisse du 5 octobre 2007 (CPP, RS 312.0). Il est vrai que la réponse du MPC du 14 juin 2024 adressée à l'autorité inférieure interpelle. D'abord, le MPC indique à l'autorité inférieure qu'elle doit inviter la personne requérante, c'est-à-dire l'intimé dans la présente procédure, à agir directement auprès de lui pour obtenir l'accès aux documents officiels. Il poursuit en indiquant regretter de ne pas pouvoir donner suite à sa demande d'accès au dossier au sens de l'art. 101 al. 2 CPP, sans plus d'explications (cf. Faits, let. L supra). Cela étant précisé, l'autorité inférieure ne pouvait pas conclure, comme elle l'a fait (cf. Faits, let. M supra), sur la base de cette réponse, que le MPC excluait que les documents officiels concernés soient des dossiers pénaux au sens strict ou que leur mise à disposition puisse influencer la conduite de la procédure pénale. Rien de tel ne peut en effet être déduit de ce courrier. Si la question du champ d'application à raison de la matière de la LTrans (art. 3 al. 2 let. a ch. 2 LTrans) pouvait éventuellement être tranchée par l'autorité inférieure sans qu'elle accède au dossier de la procédure pénale diligentée par le MPC, si ce dernier lui en refusait l'accès, la question de l'influence de la mise à disposition de ces documents sur la conduite de la procédure pénale est beaucoup plus délicate. Selon le Tribunal de céans, l'autorité inférieure aurait dû interpeller le MPC pour lui demander s'il avait des arguments à faire valoir concernant l'accès aux documents en question et si cet accès risquait d'interférer avec l'enquête pénale en cours. Elle ne pouvait pas partir du principe que l'absence de réaction du MPC, voire sa réaction erronée (cf. ci-dessous), signifiait qu'il n'avait aucune remarque à formuler à cet égard, d'autant que l'autorité inférieure ne lui avait jamais demandé de se positionner à ce sujet dans son courrier du 4 juin 2024 (cf. Faits, let. K supra). D'une manière générale, les échanges intervenus entre ces deux autorités manquent de clarté : le MPC refuse d'accorder l'accès au dossier pénal à l'autorité inférieure, en se basant sur la LTrans, puis l'autorité inférieure tire des conclusions qui ne peuvent pas être déduites du courrier du MPC. Quoi qu'il en soit, il n'appartient pas au Tribunal de céans de procéder à d'autres actes d'instruction pour clarifier ces questions à ce stade de la procédure de recours.

E. 5.2 Compte tenu de ce qui précède, il convient d'annuler la décision attaquée et de renvoyer le dossier à l'autorité inférieure, qui procédera à l'instruction requise. Le MPC devra se prononcer sur l'éventuelle influence de la mise à disposition des documents concernés par la présente procédure sur la conduite de la procédure pénale. L'autorité inférieure en profitera, le cas échéant, pour clarifier la question de l'accès au dossier de la procédure pénale au sens de l'art. 101 al. 2 CPP.

E. 6 Enfin, le Tribunal de céans a encore plusieurs remarques à formuler concernant le caviardage de certains éléments et données figurant dans les annexes 1 à 10 de la pièce n° 25, ainsi que l'argumentation de l'autorité inférieure à ce sujet.

E. 6.1 Sans entrer dans le détail de ces documents, qui font l'objet de la procédure d'accès comme déjà indiqué, les documents officiels auxquels l'autorité inférieure a accordé l'accès à l'intimé contiennent deux rapports d'investigation d'un prestataire de services en matière de cybersécurité et de gestion de crise, mandaté par la recourante. Le nom du prestataire en question est en principe caviardé dans ces deux documents (encadrés rouges), sauf dans le second rapport du 13 janvier 2023, à la page 3, au chapitre 2, ce qui semble être une erreur. De plus, comme indiqué précédemment (cf. consid. 4.2.1 supra), le logo de la société C._______ est parfois anonymisé et parfois non dans les annexes 1 à 10 de pièces n° 25.

E. 6.2 Sans examiner la question en détail, le Tribunal de céans se demande par ailleurs s'il ne serait pas opportun, pour des raisons de sécurité, de caviarder deux éléments indiqués en clair dans le rapport d'investigation du 16 décembre 2022 du prestataire de services de la recourante. On y trouve en effet l'adresse d'un « endpoint Tor » (p. 4) ainsi qu'une adresse e-mail de la recourante (p. 6), avec la mention de sites Internet sur lesquels le mot de passe de cette adresse serait consultable.

E. 6.3 Enfin, le Tribunal de céans n'est pas convaincu par l'argumentation de l'autorité inférieure selon laquelle les données personnelles de l'ancien directeur de la recourante ne devraient pas être anonymisées. Selon l'autorité inférieure, plusieurs médias ont mentionné son nom lors de la cyberattaque, ce qui impliquerait, selon elle, « que l'intérêt public à la transparence de l'action menée par le PFPDT [serait] plus fort que l'intérêt privé de l'ex-directeur général à ne pas voir ses données publiées » (décision, n° 82). Comme indiqué, cette argumentation n'est guère convaincante. D'une part, le Tribunal de céans considère que le fait que deux articles de presse mentionnant le nom de l'ancien directeur de la recourante aient été publiés à la suite de la cyberattaque ne suffit pas à justifier le fait que son nom ne soit pas occulté dans les documents dont l'accès est requis. D'autre part, le Tribunal ne voit pas en quoi la mention de ce nom dans les documents officiels en question serait pertinente pour comprendre l'action du PFPDT dans le cadre de son activité de surveillance. Il convient enfin de tenir compte du temps écoulé, dès lors que la cyberattaque a eu lieu en 2022 et que la personne concernée n'était déjà plus directrice de la recourante lorsque l'autorité inférieure a rendu sa décision en 2024. Pour ces différentes raisons, le Tribunal considère qu'il était justifié de caviarder le nom de cette personne dans les documents officiels concernés par la demande d'accès. Le recours est admis et la décision attaquée est annulée en ce qui concerne ce dernier point.

E. 7 Les considérants qui précèdent conduisent le Tribunal administratif fédéral à admettre le recours, à annuler la décision attaquée et à renvoyer l'affaire à l'autorité inférieure pour complément d'instruction et nouvel examen dans le sens des considérants.

E. 8 Demeure à trancher la question des frais et des dépens.

E. 8.1 Obtenant gain de cause, la recourante n'a pas à supporter de frais de procédure (cf. art. 63 al. 1 a contrario et al. 3 PA) et a droit à des dépens (art. 64 al. 1 PA en relation avec l'art. 7 du règlement du 21 février 2008 concernant les frais, dépens et indemnités fixés par le Tribunal administratif fédéral [FITAF, RS 173.320.2]). Au demeurant, aucun frais de procédure n'est mis à la charge des autorités inférieures, ni des autorités fédérales recourantes et déboutées (cf. art. 63 al. 1 PA). Aucun frais de procédure n'est par conséquent mis à la charge de l'autorité inférieure.

E. 8.2 En l'absence de note de frais, l'indemnité due est fixée sur la base du dossier (cf. art. 14 al. 2 FITAF). Compte tenu de l'ensemble des circonstances du cas, de l'importance de l'affaire, du degré de difficulté de cette dernière et de l'ampleur du travail accompli par les mandataires de la recourante, le Tribunal estime, au regard des art. 8 ss FITAF, que l'allocation d'un montant global de 1'500 francs (y compris supplément TVA selon l'art. 9 al. 1 let. c FITAF) apparaît comme équitable en l'espèce. Ce montant est à la charge de l'autorité inférieure (cf. art. 64 al. 1 et 2 PA et art. 7 al. 1 en relation avec l'art. 14 al. 2 FITAF). Ni frais de procédure ni dépens ne sont mis à la charge de l'intimé qui n'a pris aucune conclusion sur le fond. (le dispositif est porté en page suivante)

E. 20 jours serait prolongé de la durée nécessaire à la prise en compte de leurs intérêts. Il a également indiqué qu’il était prévisible que certains documents auxquels il envisageait de donner accès ne pourraient pas être entièrement anonymisés et qu’une consultation de tiers serait donc nécessaire. F. Le 31 janvier 2024, le requérant a relancé le PFPDT concernant sa requête du 16 octobre 2023, en lui rappelant que la procédure en matière de transparence devait être « simple et rapide ». G. Le 1er février 2024, le PFPDT a en substance indiqué au requérant que la consultation des documents demandés pourrait porter atteinte à la vie privée de tiers et que le délai légal serait différé aussi longtemps que nécessaire pour tenir compte de leurs intérêts. H. Le 8 février 2024, le requérant a indiqué au PFPDT qu’il maintenait sa requête et l’a informé qu’il serait contraint de saisir le Tribunal administratif fédéral d’une plainte pour déni de justice si sa requête n’était pas honorée jusqu’au 30 mars 2024. I. Le 8 mars 2024, le PFPDT a informé la société qu’il avait reçu une demande d’accès à des documents la concernant, en lien avec la cyberattaque ayant visé la société C._______, et lui a imparti un délai pour exercer son droit d’être entendue. Le PFPDT a joint un bordereau comprenant 29 pièces sur lesquelles la société devait se prononcer. J. Le 12 avril 2024, la société, par l’intermédiaire de ses mandataires, a informé le PFPDT qu’elle s’opposait à la transmission, sans restriction, des documents la concernant. Elle a invoqué dans ce cadre plusieurs motifs d’opposition. La société a également souligné que la cyberattaque subie par la société C._______ faisait l’objet d’une procédure pénale diligentée par le Ministère public de la Confédération (MPC), sous la référence ***, et qu’elle était partie plaignante dans le cadre de cette procédure. Elle a précisé, en se

A-6198/2024 Page 4 référant à un courrier du MPC du 16 janvier 2024, que, en raison du caractère sensible de cette instruction pénale et pour des raisons stratégiques, le MPC avait, pour l’heure, refusé de donner accès au dossier de la procédure pénale aux parties plaignantes, notamment afin de ne pas entraver la progression de son enquête. En résumé, la société a indiqué qu’à l’exception de la plupart des annexes de la pièce n° 25, qui contiennent des informations confidentielles et sensibles touchant au cœur de l’enquête menée par le MPC, une opposition partielle avec caviardage du contenu des pièces litigieuses avait été systématiquement préférée, afin de satisfaire au mieux au principe de proportionnalité. Elle a joint à son envoi une copie des documents visés par la demande d’accès, sur lesquels une proposition de caviardage a été apposée. K. Le 4 juin 2024, le PFPDT a adressé un courrier au MPC, en allemand, dans lequel il explique qu’une personne lui a demandé l’accès à des documents relatifs à la cyberattaque contre les sociétés A._______ et C._______, en invoquant la loi fédérale sur la transparence. Il a indiqué avoir invité les deux sociétés précitées à prendre position concernant la demande d’accès. Il a souligné que, dans sa prise de position du 12 avril 2024, la société A._______ a attiré l’attention du PFPDT sur une procédure pénale en cours ainsi que sur une décision du MPC du 16 janvier 2024, dans la laquelle les demandes de consultation du dossier formulées par les parties plaignantes ont été rejetées afin de ne pas compromettre le but de l’enquête. Après des explications concernant le champ d’application à raison de la matière de la loi fédérale sur la transparence et de la jurisprudence du Tribunal fédéral et du Tribunal de céans relative à cette matière, le PFPDT a demandé au MPC de pouvoir consulter le dossier de la procédure ***, afin de vérifier si les documents officiels dont il dispose constituent des dossiers pénaux au sens strict. L. Le 14 juin 2024, le MPC, par l’intermédiaire de son service juridique, s’est déterminé, en français, sur la demande du PFPDT. Il a en substance indiqué ce qui suit : « […] Vous nous demandez l’accès aux documents officiels concernant la procédure pénale *** en vertu de l’art. 101 al. 2 CPP [Code de procédure pénale suisse

A-6198/2024 Page 5 du 5 octobre 2007 ; RS 312.0], afin de pouvoir déterminer si lesdits documents doivent être considérés comme des documents pénaux au sens étroit. Conformément à l’art. 10 al. 1 LTrans, la demande d’accès à des documents officiels doit être adressée à l’autorité qui les a produits ou qui les a reçus en tant que destinataire principal de la part de tiers qui ne sont pas soumis à la LTrans. En ce qui concerne les documents mentionnés dans la procédure pénale (***), ainsi que de la décision du 16 janvier 2024 du MPC, si une personne souhaite obtenir l’accès à des documents officiels provenant du MPC en vertu de la LTrans, c’est au MPC qu’elle doit directement adresser sa demande. Par conséquent, nous regrettons de ne pas pouvoir donner suite à votre demande d’accès au dossier en vertu de l’art. 101 al. 2 CPP. Nous vous prions de renvoyer la personne requérante à agir directement devant le MPC. […]. » M. Le 18 juin 2024, le PFPDT a répondu au MPC en allemand que ce dernier n’avait pas donné suite à sa demande de consultation du dossier pénal, sans présenter de motifs justifiant son refus. Il a ajouté qu’étant donné que le MPC ne lui avait pas donné la possibilité de vérifier si les documents officiels dont il disposait étaient étroitement liés au dossier pénal de la procédure ***, il partait du principe que le MPC excluait que ces documents puissent être des dossiers pénaux au sens strict ou que leur mise à disposition puisse influencer la conduite de la procédure pénale par le MPC. N. Le 18 juillet 2024, le PFPDT a informé la société de sa prise de position concernant la demande d’accès. En conclusion, il a décidé de limiter l’accès aux documents demandés comme suit : - Documents n° 1, 2, 12, 16, 19, 22, 25, 27 et 29 : limitation par l’anonymisation des données personnelles et des données des personnes morales concernant les clients de A._______, son nouvel hébergeur de données et son prestataire de service dans le domaine de la cybersécurité et de la gestion de crise. - Les coordonnées des journalistes sont caviardées dans tous les documents. Les coordonnées des collaborateurs du PFPDT sont caviardées dans tous les documents.

A-6198/2024 Page 6 - Pour le reste, l’accès aux documents sera accordé dans son intégralité. Le PFPDT a informé la société qu’elle pouvait lui demander de rendre une décision en cas de désaccord concernant la communication des informations sous la forme décrite dans sa prise de position, et qu’il n’y aurait pas de procédure de médiation. O. Le 19 juillet 2024, le PFPDT a informé le requérant qu’il avait invité « des tiers concernés » à prendre position sur la demande d’accès. Il a ajouté qu’il avait analysé leurs arguments et préparé une prise de position pour « chaque tiers concerné » et qu’il entendait lui octroyer l’accès aux documents officiels demandés, avec des limitations (cf. Faits, let. N supra). Le PFPDT a également informé le requérant que, dès réception de sa prise de position, « les tiers concernés » auraient la possibilité de faire part de leur désaccord et de requérir une décision susceptible d’être contestée. P. Le 29 juillet 2024, le requérant a indiqué être « extrêmement satisfait » que le PFPDT entendait lui octroyer l’accès aux documents demandés, et n’avait aucune remarque à formuler. Q. Le 2 août 2024, la société, par l’intermédiaire de ses mandataires, a sollicité la prise d’une décision de la part du PFPDT. R. Par décision du 29 août 2024, le PFPDT a décidé que l’accès aux documents officiels était en principe accordé, sous réserve des restrictions suivantes (ch. 2) : « Documents n° 1, 2, 12, 16, 19, 22, 25, 27 et 29 : limitation par l’anonymisation des données personnelles et des données de personnes morales concernant les clients de A._______, son nouvel hébergeur de données et son prestataire de service dans le domaine de la cybersécurité et de la gestion de crise. Les informations susmentionnées seront caviardées dans tous les documents dans la mesure où elles y figurent. Les données personnelles et coordonnées des journalistes sont caviardées dans tous les documents.

A-6198/2024 Page 7 Les données personnelles de tiers dont l’intérêt public ne commande pas la publication sont caviardées dans tous les documents. Les coordonnées des collaborateurs du PFPDT et de l’OFCS sont caviardées dans tous les documents. Pour le reste, l’accès aux documents sera accordé dans son intégralité. […] ». La décision a été notifiée à la société A._______, par l’entremise de ses mandataires, en sa qualité de « tiers entendu ». Une version caviardée de la décision a également été notifiée au requérant. Les 29 documents concernés par la demande d’accès, avec les passages caviardés (encadrés en rouge dans les documents), ont été joints à la décision. La pièce n° 25 du bordereau des documents contient 11 annexes. S. Par acte du 30 septembre 2024, la société A._______ (ci-après : la recourante) a interjeté un recours contre cette décision auprès du Tribunal administratif fédéral (ci-après : le Tribunal, la Cour de céans ou le TAF). Elle a principalement conclu, avec suite de frais et dépens, à ce que la décision du PFPDT (ci-après également : l’autorité inférieure) soit réformée en ce sens qu’un accès restreint au document n° 25 est accordé par le retrait intégral de ses annexes 1 à 10, en plus des restrictions déjà accordées au chiffre 2 du dispositif de la décision. Subsidiairement, elle a conclu à l’annulation de la décision attaquée et au renvoi de la cause au PFPDT afin qu’il rende une nouvelle décision dans le sens des considérants. T. Par ordonnance du 5 novembre 2024, le juge instructeur a invité la recourante à indiquer si son acte de recours et le bordereau (y compris les pièces) pouvaient être transmis tels quels au requérant (ci-après : l’intimé), ou à fournir un acte de recours anonymisé et à indiquer les pièces qui ne pourraient pas être transmises. U. Le 6 décembre 2024, la recourante a transmis au Tribunal une version caviardée de son recours, a demandé au Tribunal de retrancher la pièce 1 annexée à son recours, à savoir la décision attaquée non caviardée, et a demandé au Tribunal d’inviter le PFPDT à lui communiquer les extraits de

A-6198/2024 Page 8 sa décision envoyée à l’intimé, puis de lui octroyer un délai afin, le cas échéant, d’adapter le caviardage de son recours. V. Le 30 janvier 2025, la recourante a transmis au Tribunal une nouvelle version caviardée de son recours, sur la base de la décision caviardée du PFPDT, et a confirmé qu’elle s’opposait à la transmission non caviardée de la décision attaquée à l’intimé. W. Le 7 février 2025, l’intimé a indiqué qu’il lui était impossible de se déterminer en raison du caviardage du recours et qu’il s’en remettait à dire de justice. X. Dans sa réponse au recours du 16 mai 2025, l’autorité inférieure a conclu, avec suite de frais et dépens, au rejet du recours du 30 septembre 2024. Y. Le 19 septembre 2025, la recourante a informé le Tribunal qu’elle n’avait pas d’observations complémentaires à formuler. Z. Les autres faits seront repris, en tant que besoin, dans les considérants qui suivent.

Droit : 1. La procédure de recours est régie par la loi fédérale du 20 décembre 1968 sur la procédure administrative (PA, RS 172.021), pour autant que la loi du 17 juin 2005 sur le Tribunal administratif fédéral n’en dispose pas autrement (cf. art. 37 LTAF, RS 173.32). Le Tribunal administratif fédéral examine d’office sa compétence (cf. art. 7 PA) et librement la recevabilité des recours qui lui sont soumis. 1.1 Sous réserve des exceptions prévues à l’art. 32 LTAF, non pertinentes en l’espèce, le Tribunal administratif fédéral connaît, en vertu de l’art. 31 LTAF, des recours contre les décisions au sens de l’art. 5 PA, prises par les autorités mentionnées à l’art. 33 LTAF. Le PFPDT est une autorité au sens de la lettre d de cette dernière disposition et l’acte attaqué, en ce qu’il crée

A-6198/2024 Page 9 des droits ou obligations, revêt les caractéristiques matérielles (cf. art. 5 al. 1 PA) et formelles (cf. art. 35 PA) d’une décision, si bien que le Tribunal administratif fédéral est compétent pour examiner le présent recours (cf. arrêt du TAF A-6192/2015 du 11 janvier 2017 consid. 1.1). 1.2 La recourante a pris part à la procédure devant l’autorité inférieure. Elle est particulièrement atteinte et a un intérêt digne de protection à requérir son annulation ou sa modification (cf. art. 48 al. 1 PA). Elle a donc qualité pour recourir. 1.3 Présenté dans le délai (cf. art. 50 al. 1 PA) et les formes (cf. art. 52 al. 1 PA) prescrits par la loi, le recours s’avère ainsi recevable, si bien qu’il convient d’entrer en matière. 2. 2.1 En sa qualité d’autorité de recours, le Tribunal dispose d’une pleine cognition. Il revoit librement l’application du droit par l’autorité inférieure (cf. art. 49 PA), y compris l’excès ou l’abus du pouvoir d’appréciation (let. a), la constatation inexacte ou incomplète des faits pertinents (let. b) et l’opportunité de la décision attaquée (let. c), tous griefs que le recourant peut soulever à l’appui de son recours. Conformément à la maxime inquisitoire, le Tribunal vérifie d’office les faits constatés par l’autorité inférieure (cf. art. 12 PA), sous réserve du devoir de collaborer des parties (cf. art. 13 PA). 2.2 Le Tribunal applique le droit d’office, sans être lié par les motifs invoqués (cf. art. 62 al. 4 PA), ni par l’argumentation juridique développée dans la décision entreprise. Il se limite en principe aux griefs soulevés et n’examine les questions de droit non invoquées que dans la mesure où les arguments des parties ou le dossier l’y incitent (cf. ATF 135 I 91 consid. 2.1 ; ATAF 2014/24 consid. 2.2, 2012/23 consid. 4). 3. Selon la décision attaquée, le PFPDT a accordé l’accès aux documents requis par l’intimé, à l’exception des données personnelles qui ont été caviardées (cf. Faits, let. R supra). A l’appui de son recours, la recourante demande en substance que la décision du PFPDT soit réformée en ce sens qu’un accès restreint à la pièce n° 25 est accordé, en retirant intégralement ses annexes 1 à 10, en plus des restrictions déjà accordées au chiffre 2 du dispositif de la décision.

A-6198/2024 Page 10 Sans entrer dans le détail du contenu des annexes en question, qui font l’objet de la présente procédure de recours, il convient de préciser que ces annexes concernent la recourante, la société C._______, ainsi que, dans une moindre mesure, le prestataire de services en matière de cybersécurité et de gestion de crise de la recourante. Il convient de préciser que la pièce n° 25 contient en réalité 11 annexes, et que la recourante ne semble pas s’opposer à la transmission de l’annexe n° 11 à l’intimé. La recourante considère que la décision du PFPDT viole l’art. 3 al. 1 let. a ch. 2 de la loi fédérale du 17 décembre 2004 sur le principe de la transparence dans l’administration (LTrans, RS 152.3), dans la mesure où le contenu des annexes 1 à 10 de la pièce n° 25 présente un lien direct et étroit avec l’objet de la procédure pénale en cours, qui vise à déterminer si les conditions des infractions liées à l’attaque informatique du 21 novembre 2022 ont été réalisées, puis, le cas échéant, à identifier les auteurs de ces infractions. Elle estime à cet égard que le refus du MPC de donner accès au PFPDT au dossier pénal, et plus largement de communiquer sur la procédure pénale, renforce la démonstration du caractère sensible de l’instruction pénale en cours et la nécessité qui en découle de ne pas transmettre à des tiers non concernés des documents se trouvant dans le dossier pénal. La recourante soutient également que la décision attaquée viole l’art. 7 al. 1 let. a LTrans, car la transmission des annexes 1 à 10 de la pièce n° 25 porterait atteinte au processus de libre formation de l’opinion et de la volonté du MPC en interférant avec la procédure pénale en cours. Enfin, elle se plaint d’une violation du principe de la bonne foi et de l’interdiction de l’abus de droit (art. 5 al. 3 et 9 de la Constitution fédérale de la Confédération suisse du 18 avril 1999 [Cst., RS 101]), ainsi que d’une inopportunité de la décision attaquée. Comme on le verra dans les considérants qui suivent, le Tribunal n’est pas en mesure d’examiner ces griefs à ce stade, car l’autorité inférieure a violé l’art. 11 LTrans en omettant de consulter la société C._______ ou en n’expliquant pas pourquoi elle n’avait pas à la consulter (cf. consid. 4 infra). De plus, l’autorité inférieure a également violé le principe de la maxime d’office en n’instruisant pas suffisamment la cause, notamment en ce qui concerne les conséquences de la mise à disposition des documents concernés par la présente procédure sur la conduite de la procédure pénale pendante devant le MPC (cf. consid. 5 infra). Enfin, le Tribunal n’est pas en mesure de suivre le raisonnement de l’autorité inférieure concernant l’anonymisation de certains éléments et données figurant dans les annexes 1 à 10 de la pièce n° 25 (cf. consid. 6 infra).

A-6198/2024 Page 11

4. 4.1 4.1.1 Selon l’art. 7 al. 2 LTrans, le droit d’accès est limité, différé ou refusé si l’accès au document officiel peut porter atteinte à la sphère privée de tiers, à moins qu’un intérêt public à la transparence ne soit exceptionnellement jugé prépondérant. Selon l’art. 9 al. 1 LTrans, les documents officiels contenant des données personnelles ou des données concernant des personnes morales doivent être si possible rendus anonymes avant qu’ils ne soient consultés. L’alinéa 2 de cette disposition dispose que lorsque la demande d’accès porte sur des documents officiels qui ne peuvent pas être rendus anonymes, l’art. 36 de la loi fédérale sur 25 septembre 2020 sur la protection des données (LPD, RS 235.1) est applicable pour les données personnelles et l’art. 57s de la loi fédérale du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA, RS 172.010) pour les données concernant des personnes morales. L’art. 57s al. 4 LOGA prévoit que les organes fédéraux peuvent communiquer d’office des données concernant des personnes morales dans le cadre de l’information officielle du public, ou en vertu de la loi sur la transparence, si les conditions suivantes sont réunies : (let. a) les données sont en rapport avec l’accomplissement de tâches publiques ; (let. b) la communication répond à un intérêt public prépondérant. 4.1.2 Lorsque l’autorité envisage d’accorder l’accès à un document officiel dont la consultation est susceptible de porter atteinte à la sphère privée de tiers, elle consulte les tiers concernés et les invite à se prononcer dans un délai de dix jours (art. 11 al. 1 LTrans). Elle les informe de sa prise de position sur la demande d’accès (art. 11 al. 2 LTrans). Le Tribunal fédéral a précisé que, même si la loi sur la transparence ne prévoit pas expressément d’exception à la consultation, le droit d’être entendu ne peut avoir un caractère absolu pour des raisons systématiques et téléologiques. Le droit d’être entendu est également soumis à une réserve de mise en œuvre, comme l’a déjà souligné le Conseil fédéral dans son message relatif à la loi sur la transparence (cf. message du 12 février 2003 relatif à la loi fédérale sur la transparence dans l’administration [ci- après : message LTrans], FF [Feuille fédérale] 2003 1807, 1858 [l’autorité « entend si possible la personne concernée »]), ce qui est également confirmé par la doctrine. Il est toutefois souligné à juste titre que la

A-6198/2024 Page 12 renonciation à la consultation doit rester l’exception (cf. arrêt du TF 1C_50/2015 du 2 décembre 2015 consid. 6.2 et les réf. cit. ; voir aussi JÜRG SCHNEIDER/FLORIAN ROTH, in : Vasella/Blechta [édit.], Basler Kommentar Datenschutzgesetz/Öffentlichkeitsgesetz, 4e éd., 2024 [ci- après : BSK BGÖ 2024], n° 7 ad art. 11 LTrans). Le droit d’être entendu repose sur un droit fondamental correspondant (art. 29 al. 2 Cst.), de nature formelle, qui doit donc être garanti indépendamment de la situation juridique matérielle. La renonciation à la consultation n’est donc envisageable qu’à titre exceptionnel et doit être dûment justifiée (cf. arrêt du TF 1C_50/2015 précité consid. 6.2). 4.1.3 En résumé, selon l’art. 11 al. 1 LTrans, un tiers concerné par une demande d’accès doit être entendu si une restriction, un report ou un refus d’accès à des documents officiels peut être envisagé conformément à l’art. 7 al. 2 LTrans, en raison d’une éventuelle atteinte à sa sphère privée. La pratique devrait reconnaître un droit d’être entendu lorsque le document officiel en question contient des informations sur une personne physique ou morale tierce identifiée ou identifiable (premier critère), et que la mise à disposition de ce document est susceptible de porter atteinte de manière effective à la sphère privée du tiers concerné (second critère). Une consultation ne peut être omise que dans des cas exceptionnels (pour un exemple récent de renonciation à la consultation admise, voir l’arrêt du TAF A-313/2025 du 7 août 2025 consid. 9). Sont notamment considérées comme des informations sur une personne physique ou morale déterminée ou déterminable, les secrets professionnels, commerciaux ou de fabrication au sens de l’art. 7 al. 1 let. g LTrans (cf. SCHNEIDER/ROTH, in : BSK BGÖ 2024, n° 1a ad art. 11 LTrans). Si l’autorité a l’intention de ne pas accorder l’accès à des données personnelles ou à des données de personnes morales parce qu’elle refuse totalement l’accès au document officiel concerné ou que les données peuvent être anonymisées (art. 9 LTrans), elle peut ou doit renoncer à entendre les tiers concernés (cf. SCHNEIDER/ROTH, in : BSK BGÖ 2024, n° 5 ad art. 11 LTrans). L’autorité n’est pas tenue d’obtenir le consentement du tiers concerné pour procéder au caviardage si celui-ci permet, sans effort disproportionné, de ne plus tirer de conclusions sur cette personne. Si les données personnelles ou les données relatives à des personnes morales peuvent être occultées sans difficulté et que les documents officiels ne contiennent ainsi plus de données personnelles ou de données relatives à des personnes morales, l’art. 11 LTrans n’est pas applicable (cf. SCHNEIDER/ROTH, in : BSK BGÖ 2024, n° 5 ad art. 11 LTrans). Les

A-6198/2024 Page 13 personnes qui ne sont pas ou plus identifiables ne doivent pas être entendues. 4.2 4.2.1 En l’espèce, il ressort de l’examen du dossier transmis par l’autorité inférieure au Tribunal de céans que seule la recourante a été entendue en application de l’art. 11 LTrans dans le cadre de la procédure d’accès aux documents officiels requis par l’intimé. Le Tribunal constate que l’autorité inférieure a mentionné la consultation de « tiers concernés », au pluriel (cf. Faits, let. O supra), dans plusieurs écritures figurant au dossier, voire a expressément indiqué que la recourante et la société C._______ avaient été invitées à prendre position concernant la demande d’accès (cf. Faits, let. K supra). Toutefois, malgré ces affirmations, le Tribunal de céans ne trouve aucune pièce au dossier lui permettant de conclure que la société C._______ a été consultée dans le cadre de la procédure menée par l’autorité inférieure, conformément à l’art. 11 LTrans. La décision attaquée n’a d’ailleurs été notifiée qu’à la recourante et à l’intimé (cf. Faits, let. R supra). La question d’une éventuelle atteinte à la sphère privée de la société C._______ n’a pas non plus été examinée dans la décision attaquée. En effet, lorsque l’autorité inférieure examine la pièce n° 25 et ses annexes (décision, n° 90), la situation de la société C._______ n’est pas abordée, alors qu’elle est tout autant concernée par ces pièces que la recourante. Par ailleurs, dans ces pièces, le logo de la société C._______ est parfois caviardé et parfois non, sans qu’aucune explication ne soit fournie à ce sujet par l’autorité inférieure. Dans la décision attaquée, l’autorité inférieure n’explique pas non plus pourquoi il aurait été justifié de ne pas entendre cette société. Pour ces différents motifs, le Tribunal considère que l’autorité inférieure a violé l’art. 11 LTrans en ne consultant pas la société C._______, ou, le cas échéant, a violé son devoir de motiver la décision attaquée en n’expliquant pas pourquoi il aurait été justifié de ne pas la consulter. Il convient de rappeler que C._______ est la société victime de la cyberattaque et se trouve donc au cœur de cette affaire. L’autorité inférieure envisage de transmettre à l’intimé certains documents la concernant et dans lesquels elle est mentionnée. Il est donc incompréhensible pour le Tribunal qu’elle n’ait pas été consultée, tout comme la recourante. Les anonymisations partielles de son nom auxquelles l’autorité inférieure a procédé ne pouvaient évidemment pas justifier de ne pas la consulter. Même si son nom avait été caviardé dans tous les documents, elle resterait identifiable, car cette affaire a été largement relayée dans la presse, ainsi que sur les

A-6198/2024 Page 14 réseaux sociaux par l’intimé (voir les pièces 2 à 5 déposées par la recourante à l’appui de son recours concernant ce dernier point). 4.2.2 La décision doit par conséquent être annulée et le dossier renvoyé à l’autorité inférieure, qui devra alors consulter la société C._______. Celle- ci pourra alors faire valoir ses arguments concernant les documents qui la concernent et qui font l’objet de la présente procédure d’accès. Si l’autorité inférieure avait estimé qu’il n’était pas justifié de consulter la société en question, elle aurait dû l’expliquer et le motiver dans la décision attaquée, ce qu’elle n’a pas fait. Cette omission équivaudrait dans ce cas à un défaut de motivation de la décision attaquée. Le Tribunal de céans constate également, dans le considérant suivant, d’autres lacunes dans l’instruction de ce dossier, qui justifient également l’annulation de la décision attaquée et le renvoi du dossier à l’autorité inférieure. 5. 5.1 Comme cela a été exposé dans l’état de fait, la cyberattaque subie par la société C._______ fait l’objet d’une procédure pénale diligentée par le MPC (cf. Faits, let. K supra). La recourante, partie plaignante dans le cadre de cette procédure, s’est référée à une décision du 16 janvier 2024 par laquelle le MPC lui a refusé l’accès au dossier pénal. Selon les échanges de courrier électronique intervenus entre l’autorité inférieure et le MPC, le PFPDT n’a pas réussi à obtenir du MPC la consultation du dossier pénal en question sur la base de l’art. 101 al. 2 du Code de procédure pénale suisse du 5 octobre 2007 (CPP, RS 312.0). Il est vrai que la réponse du MPC du 14 juin 2024 adressée à l’autorité inférieure interpelle. D’abord, le MPC indique à l’autorité inférieure qu’elle doit inviter la personne requérante, c’est-à-dire l’intimé dans la présente procédure, à agir directement auprès de lui pour obtenir l’accès aux documents officiels. Il poursuit en indiquant regretter de ne pas pouvoir donner suite à sa demande d’accès au dossier au sens de l’art. 101 al. 2 CPP, sans plus d’explications (cf. Faits, let. L supra). Cela étant précisé, l’autorité inférieure ne pouvait pas conclure, comme elle l’a fait (cf. Faits, let. M supra), sur la base de cette réponse, que le MPC excluait que les documents officiels concernés soient des dossiers pénaux au sens strict ou que leur mise à disposition puisse influencer la conduite de la procédure pénale. Rien de tel ne peut en effet être déduit de ce courrier.

A-6198/2024 Page 15 Si la question du champ d’application à raison de la matière de la LTrans (art. 3 al. 2 let. a ch. 2 LTrans) pouvait éventuellement être tranchée par l’autorité inférieure sans qu’elle accède au dossier de la procédure pénale diligentée par le MPC, si ce dernier lui en refusait l’accès, la question de l’influence de la mise à disposition de ces documents sur la conduite de la procédure pénale est beaucoup plus délicate. Selon le Tribunal de céans, l’autorité inférieure aurait dû interpeller le MPC pour lui demander s’il avait des arguments à faire valoir concernant l’accès aux documents en question et si cet accès risquait d’interférer avec l’enquête pénale en cours. Elle ne pouvait pas partir du principe que l’absence de réaction du MPC, voire sa réaction erronée (cf. ci-dessous), signifiait qu’il n’avait aucune remarque à formuler à cet égard, d’autant que l’autorité inférieure ne lui avait jamais demandé de se positionner à ce sujet dans son courrier du 4 juin 2024 (cf. Faits, let. K supra). D’une manière générale, les échanges intervenus entre ces deux autorités manquent de clarté : le MPC refuse d’accorder l’accès au dossier pénal à l’autorité inférieure, en se basant sur la LTrans, puis l’autorité inférieure tire des conclusions qui ne peuvent pas être déduites du courrier du MPC. Quoi qu’il en soit, il n’appartient pas au Tribunal de céans de procéder à d’autres actes d’instruction pour clarifier ces questions à ce stade de la procédure de recours. 5.2 Compte tenu de ce qui précède, il convient d’annuler la décision attaquée et de renvoyer le dossier à l’autorité inférieure, qui procédera à l’instruction requise. Le MPC devra se prononcer sur l’éventuelle influence de la mise à disposition des documents concernés par la présente procédure sur la conduite de la procédure pénale. L’autorité inférieure en profitera, le cas échéant, pour clarifier la question de l’accès au dossier de la procédure pénale au sens de l’art. 101 al. 2 CPP. 6. Enfin, le Tribunal de céans a encore plusieurs remarques à formuler concernant le caviardage de certains éléments et données figurant dans les annexes 1 à 10 de la pièce n° 25, ainsi que l’argumentation de l’autorité inférieure à ce sujet. 6.1 Sans entrer dans le détail de ces documents, qui font l’objet de la procédure d’accès comme déjà indiqué, les documents officiels auxquels l’autorité inférieure a accordé l’accès à l’intimé contiennent deux rapports d’investigation d’un prestataire de services en matière de cybersécurité et de gestion de crise, mandaté par la recourante. Le nom du prestataire en

A-6198/2024 Page 16 question est en principe caviardé dans ces deux documents (encadrés rouges), sauf dans le second rapport du 13 janvier 2023, à la page 3, au chapitre 2, ce qui semble être une erreur. De plus, comme indiqué précédemment (cf. consid. 4.2.1 supra), le logo de la société C._______ est parfois anonymisé et parfois non dans les annexes 1 à 10 de pièces n° 25. 6.2 Sans examiner la question en détail, le Tribunal de céans se demande par ailleurs s’il ne serait pas opportun, pour des raisons de sécurité, de caviarder deux éléments indiqués en clair dans le rapport d’investigation du 16 décembre 2022 du prestataire de services de la recourante. On y trouve en effet l’adresse d’un « endpoint Tor » (p. 4) ainsi qu’une adresse e-mail de la recourante (p. 6), avec la mention de sites Internet sur lesquels le mot de passe de cette adresse serait consultable. 6.3 Enfin, le Tribunal de céans n’est pas convaincu par l’argumentation de l’autorité inférieure selon laquelle les données personnelles de l’ancien directeur de la recourante ne devraient pas être anonymisées. Selon l’autorité inférieure, plusieurs médias ont mentionné son nom lors de la cyberattaque, ce qui impliquerait, selon elle, « que l’intérêt public à la transparence de l’action menée par le PFPDT [serait] plus fort que l’intérêt privé de l’ex-directeur général à ne pas voir ses données publiées » (décision, n° 82). Comme indiqué, cette argumentation n’est guère convaincante. D’une part, le Tribunal de céans considère que le fait que deux articles de presse mentionnant le nom de l’ancien directeur de la recourante aient été publiés à la suite de la cyberattaque ne suffit pas à justifier le fait que son nom ne soit pas occulté dans les documents dont l’accès est requis. D’autre part, le Tribunal ne voit pas en quoi la mention de ce nom dans les documents officiels en question serait pertinente pour comprendre l’action du PFPDT dans le cadre de son activité de surveillance. Il convient enfin de tenir compte du temps écoulé, dès lors que la cyberattaque a eu lieu en 2022 et que la personne concernée n’était déjà plus directrice de la recourante lorsque l’autorité inférieure a rendu sa décision en 2024. Pour ces différentes raisons, le Tribunal considère qu’il était justifié de caviarder le nom de cette personne dans les documents officiels concernés par la demande d’accès. Le recours est admis et la décision attaquée est annulée en ce qui concerne ce dernier point.

A-6198/2024 Page 17 7. Les considérants qui précèdent conduisent le Tribunal administratif fédéral à admettre le recours, à annuler la décision attaquée et à renvoyer l’affaire à l’autorité inférieure pour complément d’instruction et nouvel examen dans le sens des considérants. 8. Demeure à trancher la question des frais et des dépens. 8.1 Obtenant gain de cause, la recourante n’a pas à supporter de frais de procédure (cf. art. 63 al. 1 a contrario et al. 3 PA) et a droit à des dépens (art. 64 al. 1 PA en relation avec l’art. 7 du règlement du 21 février 2008 concernant les frais, dépens et indemnités fixés par le Tribunal administratif fédéral [FITAF, RS 173.320.2]). Au demeurant, aucun frais de procédure n’est mis à la charge des autorités inférieures, ni des autorités fédérales recourantes et déboutées (cf. art. 63 al. 1 PA). Aucun frais de procédure n’est par conséquent mis à la charge de l’autorité inférieure. 8.2 En l’absence de note de frais, l’indemnité due est fixée sur la base du dossier (cf. art. 14 al. 2 FITAF). Compte tenu de l’ensemble des circonstances du cas, de l’importance de l’affaire, du degré de difficulté de cette dernière et de l’ampleur du travail accompli par les mandataires de la recourante, le Tribunal estime, au regard des art. 8 ss FITAF, que l’allocation d’un montant global de 1’500 francs (y compris supplément TVA selon l’art. 9 al. 1 let. c FITAF) apparaît comme équitable en l’espèce. Ce montant est à la charge de l’autorité inférieure (cf. art. 64 al. 1 et 2 PA et art. 7 al. 1 en relation avec l’art. 14 al. 2 FITAF). Ni frais de procédure ni dépens ne sont mis à la charge de l’intimé qui n’a pris aucune conclusion sur le fond. (le dispositif est porté en page suivante)

A-6198/2024 Page 18