Le ministère de l’Éducation nationale confirme ne pas vouloir des offres gratuites de Microsoft Office 365 et de Google Workspace dans les écoles. Selon Pap NDiaye, le ministre de l’Éducation nationale, ces deux solutions ne sont ni compatibles avec le RGPD, ni avec la doctrine « cloud au centre ».

L’Éducation nationale prend position sur le cloud

Dans sa réponse au député Philippe Latombe (MoDem), le ministère de l’Éducation nationale explique que « la circulaire du Premier ministre n° 6282-SG relative à la doctrine « cloud au centre », invite les différents ministres à s’assurer que les offres de cloud commercial bénéficient de la qualification SecNumCloud ou d’une qualification européenne équivalente ». Ce n’est pas le cas pour les offres gratuites de Microsoft Office 365 et de Google Workspace.

La CNIL recommande aux établissements de recourir à des suites collaboratives proposées par des prestataires exclusivement soumis au droit européen et « qui hébergent les données au sein de l’Union européenne et ne les transfèrent pas vers les États-Unis ». Le député centriste avait sollicité le ministère de Pap NDiaye pour savoir si l’offre gratuite de Microsoft dans les établissements scolaires ne « s’apparentait pas à une forme de dumping et à de la concurrence déloyale ». Pas d’appel d’offres et il s’agit d’un véritable problème de souveraineté nationale soulevée par Philippe Latombe.

Comme l’explique le ministère dans sa réponse, dans la circulaire de la Dinum, il est clairement indiqué que « le déploiement d’Office 365 est prohibé dans les administrations françaises ». Le directeur interministériel du numérique de l’État a décidé d’intervenir pour protéger les « données sensibles » dont disposent plusieurs agents publics. Selon la circulaire publiée en 2021, il est écrit que les données ne doivent plus être hébergées sur les services cloud de Microsoft 365, pour les protéger d’une éventuelle faille de sécurité ou même d’une utilisation abusive des services de renseignement américains.

Dans sa décision, le ministère de l’Éducation nationale tient également compte de l’arrêt de 2020 dit « Schrems II » de la Cour de justice de l’Union européenne. Ce texte a invalidé le cadre transatlantique pour transférer des données personnelles des utilisateurs européens vers les États-Unis. Un dispositif pas suffisamment efficace selon les magistrats, mais son successeur est sur les rails : un accord de principe a été trouvé.

Il est donc demandé aux établissements et plus précisément aux collectivités territoriales, dont c’est le rôle, de sélectionner des prestataires « exclusivement soumis au droit européen », qui hébergent les données au sein de l’Union européenne et qui ne les transfèrent pas vers les États-Unis. Les collectivités sont en charge de l’équipement, du fonctionnement, mais aussi de « l’acquisition et la maintenance des infrastructures et des équipements ».