Actualités

Polytechnique et ministère de l'Éducation Nationale : le CNLL exige l'arrêt immédiat des migrations vers Microsoft 365

  • 20 mars 2025
Polytechnique

Paris, le 20 mars 2025 - Pour diffusion immédiate

Le Conseil National du Logiciel Libre (CNLL) exprime sa consternation et sa ferme condamnation face à deux décisions inacceptables et illégales concernant l’utilisation de solutions Microsoft dans le secteur public de l’enseignement supérieur et de la recherche :

  1. Ministère de l’Éducation Nationale : Un marché public de 152 millions d’euros, attribué sans mise en concurrence réelle, pour équiper les services centraux et les établissements d’enseignement supérieur en solutions Microsoft, incluant Office 365. Ce marché, d’une durée maximale de quatre ans, viole les principes de bonne gestion des deniers publics, de transparence et d’égalité de traitement. Il aggrave une dépendance technologique déjà excessive et dangereuse à un acteur américain, au mépris des solutions européennes et notamment open source, et au mépris des recommandations de la DINUM. [Source]
  2. École Polytechnique : La migration déjà engagée des messageries des étudiants, des professeurs, des chercheurs et du personnel administratif – y compris dans les zones à régime restrictif (ZRR) – vers les serveurs de Microsoft 365. Cette décision, imposée par la directrice générale Laura Chaubard sans aucune concertation avec les instances représentatives, les responsables informatiques ou les personnes concernées, constitue une faute grave et une mise en danger délibérée des données sensibles de l’établissement, y compris des données relevant de la sécurité nationale. Polytechnique, établissement d’enseignement supérieur et de recherche sous tutelle du Ministère des Armées, effectue des recherches et des activités d’enseignement dans des domaines stratégiques et sensibles, incluant le militaire, les technologies duales, la cybersécurité et le quantique. [Source]

Ces décisions, prises en contradiction flagrante avec les alertes répétées du CNLL, de la communauté du logiciel libre, de parlementaires (comme en témoigne le communiqué et les QAG du député Philippe Latombe du 19 mars 2025 [source]) et d’experts en cybersécurité, révèlent une ignorance coupable des enjeux de souveraineté numérique et une violation caractérisée des obligations légales en matière de protection des données.

Le CNLL rappelle avec fermeté que

  • Le Foreign Intelligence Surveillance Act (FISA, section 702 amendée en avril 2024) et le CLOUD Act américains autorisent un accès extraterritorial et systématique aux données stockées et traitées par des entreprises américaines, y compris les données localisées en Europe et y compris via des logiciels installés “on premise”. Il ne s’agit pas d’un risque théorique, mais d’une réalité juridique aux conséquences potentiellement désastreuses.
  • Le Règlement Général sur la Protection des Données (RGPD, Règlement (UE) 2016/679, notamment les articles 44 et suivants) impose des obligations strictes et impératives en matière de protection des données personnelles et de leur transfert hors de l’Union Européenne. De plus, les données traitées dans le domaine de l’éducation (santé, handicap, origine, opinions, etc.) sont des données sensibles au sens de l’article 9 du RGPD, comme l’a rappelé le comité d’éthique pour les données d’éducation dans son rapport de 2020. L’utilisation de solutions Microsoft 365 est rigoureusement incompatible avec ces obligations. Elle expose de facto les données personnelles à un risque d’accès non autorisé par des autorités étrangères, en violation directe du RGPD, et expose les contrevenants à des sanctions lourdes.
  • La Directive (UE) 2016/943 sur la protection des secrets d’affaires impose des obligations strictes en matière de protection des informations confidentielles et du savoir-faire des établissements d’enseignement supérieur et de recherche, ainsi que de leurs partenaires industriels. Le recours à des solutions Microsoft 365, expose ces informations (résultats de recherche, contrats, données stratégiques, etc.) à un risque avéré d’accès illicite, en violation directe de cette directive.
  • L’arrêt “Schrems II” de la CJUE a invalidé le “Privacy Shield” et a confirmé l’impossibilité de transférer légalement des données vers les États-Unis sur la base de simples clauses contractuelles types.
  • La DINUM elle-même a interdit en 2021 le déploiement d’Office 365 dans les administrations. L’École Polytechnique et le Ministère de l’Éducation Nationale agissent donc en contradiction directe avec les directives gouvernementales.
  • La loi ESR de 2013 (article L123-4-1 du Code de l’éducation) et la loi pour une République numérique de 2016 (article 16) imposent l’usage prioritaire des logiciels libres dans l’enseignement supérieur et la recherche.
  • L’article L. 811-3 du code de la sécurité intérieure (France) définit les intérêts fondamentaux de la nation, incluant la protection des “intérêts économiques, industriels et scientifiques majeurs” et la “prévention de toute ingérence étrangère”. Dans le cas de Polytechnique, qui mène des recherches dans des domaines sensibles (défense, sécurité, technologies duales, etc.), le recours à des technologies soumises au FISA et au CLOUD Act constitue une violation directe de cet article, exposant l’établissement à des sanctions pénales (Art. 410-1 et 411-6 du code pénal français).

Le CNLL dénonce

  • Un passage en force inacceptable : Ces décisions sont imposées sans aucune concertation, sans transparence et au mépris des alertes et des recommandations des experts.
  • Une mise en danger délibérée : Les risques juridiques, techniques (espionnage industriel, cyberattaques) et stratégiques (perte de souveraineté) sont sciemment ignorés.
  • Une violation flagrante du droit : Ces décisions contreviennent au droit européen (RGPD, directive secret des affaires), au droit national (code de la sécurité intérieure pour les données sensibles, priorité au logiciel libre dans l'ESR, loi SREN2...) et aux directives gouvernementales (DINUM...).
  • Un précédent dangereux : Alors que l’ENS avait rétropédalé suite à une mobilisation massive des personnels et étudiants contre une initiative similaire en 2021, cette décision de Polytechnique constitue un signal désastreux pour la souveraineté numérique française et européenne.
  • Un gaspillage de l’argent public au profit d’une multinationale américaine, et au détriment de l’écosystème numérique français et européen.

Le CNLL exige

  1. L’arrêt immédiat de la migration à Polytechnique et l’annulation du marché public du Ministère de l’Éducation Nationale.
  2. La mise en place d’une enquête administrative indépendante pour déterminer les responsabilités dans ces décisions et évaluer précisément les risques encourus.
  3. L’ouverture d’une concertation réelle et transparente avec l’ensemble des acteurs concernés (étudiants, chercheurs, personnels, élus, entreprises du numérique, experts en cybersécurité) pour définir une stratégie numérique respectueuse du droit, de la souveraineté et des intérêts de l’enseignement supérieur et de la recherche.
  4. La priorité absolue aux solutions open source et européennes, conformément aux recommandations de la DINUM, aux lois ESR et République numérique, et aux exigences de sécurité et de souveraineté.

Le CNLL appelle l’ensemble de la communauté du logiciel libre, les acteurs et usagers de l’enseignement supérieur et de la recherche, les parlementaires et les citoyens à se mobiliser pour faire respecter le droit, protéger nos données et défendre notre souveraineté numérique.

À propos du CNLL

Le CNLL, Union des Entreprises du Logiciel Libre et du Numérique Ouvert, est l’instance représentative de la filière du logiciel libre en France. Issu du groupement de 12 clusters régionaux, il représente plus de 300 entreprises “pure players” (spécialisées ou avec une activité significative dans le logiciel libre et l’open source): éditeurs, intégrateurs, sociétés de conseil, etc. Il assure la promotion de l´écosystème professionnel du logiciel libre, de son offre de logiciels et de services, de ses atouts spécifiques, et de ses besoins, notamment en termes d’emploi et de formation. Il permet à la communauté des acteurs de la filière d’échanger et de travailler ensemble au développement du marché, dans le respect de valeurs communes.

Restons connectés : Twitter Newsletter (mensuelle)