Le ministère de l’Éducation nationale rappelle qu’en matière de suites collaboratives, les offres d’Office 365 et de Google Éducation ne sont pas adéquates. Leur mise en œuvre n’offre pas toutes les garanties au regard de la législation, de la doctrine de l’État dans le cloud et de la jurisprudence.

C’est une victoire pour les tenants du logiciel libre et pour celles et ceux qui se soucient du Règlement général sur la protection des données (RGPD). Dans une réponse adressée au député Philippe Latombe, le ministère de l’Éducation nationale fait savoir le 15 novembre 2022 que l’enseignement doit se détourner de certains outils et services de Google et Microsoft.

Office 365 et Google Éducation considérés comme contraires au RGPD

C’est en l’espèce la suite bureautique Microsoft Office 365 ainsi que la solution de Google pour l’éducation qui sont mises de côté, parce que l’une et l’autre « seraient contraires au RGPD ». En outre, ajoutent les services de Pap Ndiaye, l’offre de Microsoft n’est pas non plus compatible avec la doctrine « cloud au centre » de l’État, qui concerne les administrations.

Dans ce cadre de cette politique, qui cible les offres de cloud commercial adressées aux services publics, les fournisseurs privés doivent impérativement obtenir une qualification de sécurité. De plus, ils doivent être à l’abri des lois extra-européennes qui ne collent pas au droit européen ou français, lorsque les applications proposées impliquent notamment des données personnelles de Français ou de Françaises.

Les consignes de l’État en la matière datent d’ailleurs du mois d’octobre 2021, est-il précisé dans le commentaire du ministère, mais elles étaient passées sous les radars. Il a fallu qu’un élu interpelle l’Éducation nationale sur les pratiques commerciales de Microsoft pour constater les nouvelles orientations de l’administration en matière de logiciels et de matériel.

centre de données data center microsoft
Un centre de données (data center) de Microsoft. // Source : Microsoft

À l’appui de sa réflexion, le ministère observe que « la suite collaborative Microsoft Office 365 n’était pas conforme à la doctrine cloud au centre ». Il tient aussi compte de l’avis de la Commission nationale de l’informatique et des libertés (Cnil), qui en mai 2021 recommandait en creux, pour l’enseignement supérieur, de se passer des suites bureautiques américaines.

Plus exactement, il est surtout demandé de sélectionner des prestataires « exclusivement soumis au droit européen », qui « hébergent les données au sein de l’Union européenne » et qui « ne les transfèrent pas vers les États-Unis ». Des prérequis qui ont pour effet d’éloigner les fournisseurs américains, même si la porte reste ouverte s’ils proposent des « mesures supplémentaires susceptibles d’assurer un niveau de protection adéquat ».

Par ailleurs, il a fallu tenir compte de l’arrêt de 2020 dit « Schrems II » de la Cour de justice de l’Union européenne, qui a invalidé le cadre transatlantique pour transférer des données personnelles d’Europe vers les États-Unis. Les magistrats ont jugé que ce dispositif ne protège pas convenablement les Européens — un autre dispositif de remplacement est sur les rails (le troisième), mais il pourrait sauter lui aussi.

Les offres immunisées au droit extra-territorial doivent être privilégiées

Et, maintenant ? C’est aux collectivités territoriales d’en tenir compte, puisque, tient à rappeler le ministère, « l’équipement et le fonctionnement », mais également « l’acquisition et la maintenance des infrastructures et des équipements, dont les matériels informatiques et les logiciels prévus pour leur mise en service, nécessaires à l’enseignement et aux échanges entre les membres de la communauté éducative sont à [leur] charge. »

C’est donc à elles que revient la charge de « fournir des solutions d’environnement numérique de travail aux établissements », à la condition d’être dans le plein respect du RGPD et de la souveraineté numérique. En somme, elles peuvent prendre ce qu’elles veulent du moment que ce ne sont pas des « offres collaboratives états-uniennes non immunes au droit extra-territorial ».