L’interdiction progressive de google workspace et Office 365 en France et en Allemagne dans les établissements scolaires en raison des transfert de données aux USA
L'interdiction progressive de google workspace et Office 365 en France et en Allemagne dans les établissements scolaires en raison des transfert de données aux USA

En France et en Allemagne, l’utilisation de Google Workspace et Office 365 est progressivement interdite dans les établissements scolaires, en raison des préoccupations liées aux transferts de données vers les États-Unis, qui ne respectent pas les normes adéquates de protection des données selon les réglementations européennes.

Pourquoi cette interdiction progressive ?

C’est en réponse à une question du député Philippe Latombe que le ministère de l’Éducation nationale a confirmé le mois dernier la cessation, et ce depuis octobre 2021, du déploiement et de l’extension des offres Microsoft Office 365 et Google Workspace à titre gratuit au sein des établissements scolaires. Selon le ministère, ces solutions « seraient contraires au Règlement Général sur la Protection des Données (RGPD) ».

Pour justifier cette décision, le ministère dirigé par Pap NDiaye se base sur plusieurs éléments. D’abord, sur la doctrine « cloud au centre » du gouvernement, mais également sur la circulaire du 15 septembre 2021 de la direction interministérielle du numérique (DINUM). Cette dernière précise que les données sensibles dont disposent plusieurs agents publics ne doivent plus être hébergées sur les services cloud de Microsoft afin de protéger ces données, non seulement d’une possible faille de sécurité, mais également d’une utilisation abusive des services de renseignement américains.

Mais cette question n’est pas propre à la France. En effet, le problème de la conformité de Microsoft Office 365 aux lois sur la protection des données se pose également chez nos voisins allemands, et ce depuis déjà quelques années. 

En 2019, le Land de la Hesse a décidé d’interdire aux établissements scolaires l’utilisation d’Office 365, la suite cloud de Microsoft. Cette interdiction a été à l’époque justifiée par des inquiétudes relatives au transfert des données des étudiants et enseignants allemands, notamment des données de télémétrie, aux États-Unis. 

En 2020, un groupe de travail a été constitué par l’autorité allemande de protection des données (DSK), avec pour objectif de mettre le service cloud en conformité avec l’arrêt Schrems II de la CJUE. Le 25 novembre dernier, après plus de deux ans de travaux et de négociations avec Microsoft, la DSK a rendu un rapport dans lequel elle affirme qu’Office 365 reste non-conforme au RGPD. Elle y condamne le manque de transparence en matière de protection des données et de l’accès potentiel de tiers. L’autorité allemande en conclut donc que la suite bureautique de Microsoft n’est pas adaptée à une utilisation dans les écoles ou autorités publiques allemandes.

Cette interdiction progressive est donc liée à la question de la protection des données, et surtout du transfert de ces données aux États-Unis qui pose de nombreux problèmes quant au respect des règles européennes sur la protection des données personnelles.

Extension de cette interdiction au-delà des établissements scolaires ?

L’utilisation de ces outils numériques ne s’arrêtent pas à un simple cadre éducatif

En effet, l’accroissement de l’usage du numérique influence les pouvoirs publics et fait évoluer ses activités auprès des citoyens. Les services publics sont désormais digitalisés et utilisent les données transmises par les usagers, dans leur fonctionnement (relatifs à leurs démarches en ligne…) Le traitement de ces données (collecte, conservation..) doit être hautement sécurisé et conforme aux normes en vigueur.

Des offres Office 365 et Google Workspace sont par ailleurs disponibles pour les entités du secteur public notamment celles régionales et territoriales. Elles proposent l’utilisation de logiciels tels que Word, Excel, OneDrive.. ainsi que des solutions de sauvegarde en cloud, largement utilisées par l’administration. 

Cependant, la manifestation de la non-conformité de ces outils numériques avec les législations nationales et supranationales européennes semble être un frein irréfragable à leur utilisation par les pouvoirs publics. 

En effet, ces prestataires numériques sont d’origine américaine, malgré l’exportation de leurs services en Europe, ils doivent  répondre aux législations américaines et notamment au « Cloud Act » institué par Trump. Grâce à cette ordonnance, le gouvernement américain peut accéder aux données hébergées sur les services cloud américains même si ces données appartiennent à des entreprises ou agents publics européens.

Ainsi, dans un souci de protection d’une éventuelle faille de sécurité ou d’une utilisation abusive des services de renseignements américains des données sensibles des agents publics, l’Etat a émis des dispositions précises. 

En effet, le directeur interministériel du numérique, Nadi Bou Hanna, a adressé un circulaire  le 15 septembre 2021 dans lequel il prohibe aux administrations françaises (et ses collaborateurs) de recourir à l’offre Office 365 proposée par Microsoft sur ses propres infrastructures Cloud (hébergés à distance). Dans un objectif de souveraineté numérique et de compétitivité économique, la DINUM préconise une stratégie nationale pour le cloud du gouvernement. Ainsi, la configuration d’un « Cloud de confiance » est en train d’émerger. 

Cela permettra aux prestataires numériques ayant leurs serveurs institués en Europe, d’origine européenne de pouvoir détenir un label cloud de confiance. Amélie de Montchalin, ministre de la Transformation et de la Fonction publique a ainsi déclaré que « Tous les projets devront donc se mettre en conformité et annuler tout risque de transfert de données sous un délai de 12 mois à partir du moment où les offres cloud de confiance existeront ».

Cependant, la détention par les américains, de 70% du marché numérique rend la transition complexe. Ainsi, quelques exceptions à l’interdiction d’utilisation des offres Offices 365 et GoogleWorkspace hébergés à distance ont émergé.  En effet, celles-ci ne concernent pas les projets de migrations étant déjà avancés au 5 juillet 2021, qui pourront obtenir une dérogation auprès du ministre de l’administration concernée.

Pour les autres projets qui sont ancrés profondément dans le Cloud de ces prestataires américains, il est recommandé d’attendre le déploiement du cloud issu du consortium blue. Ce dernier sera bâti sur les technologies du cloud de Microsoft mais sera géré et opéré par des fournisseurs d’accès à internet européens (Oranges..) qui a vocation à être conforme au cloud centralisé ainsi qu’aux normes européennes en vigueur.

Extension de cette interdiction à l’ensemble de l’UE ?

Si l’on s’en réfère aux motivations de cette interdiction, à savoir la contradiction entre le “Cloud Act” dont bénéficie Microsoft et le RGPD, une extension de cette interdiction est envisageable. 

À l’heure actuelle, cette interdiction relève d’une volonté expresse de deux gouvernements d’Etats Membres et non d’une interdiction expresse donnée par la Commission européenne ou la Cour de Justice de l’Union Européenne. 

Cependant, le règlement européen “Digital Service Act” a été adopté en juillet 2022. Ce texte a vocation, entre autres, à renforcer la surveillance des très grandes plateformes qui seront soumises à des obligations de transparence en vue de lutter contre la manipulation de l’information. 

Par ailleurs, la suite office 365 et GoogleWorkspace sont concernés par ce nouveau règlement en ce qu’ils constituent des services intermédiaires tels que définis en son article 3. 

En somme, l’étau se resserre autour de Microsoft de sorte qu’il pourrait devoir se conformer davantage à la législation européenne et renoncer au “Cloud Act”.

Derniers articles UYL