« Vous pouvez retourner toutes les poubelles que vous voulez, mais dans les ministères, il n’y a pas d’Amazon » : mardi 18 mars, voilà comment le directeur de projet cloud de la Dinum (la direction interministérielle du Numérique de l’État) nous assurait qu’AWS, la division cloud d’Amazon, n’hébergeait aucune donnée des ministères. Pas d’Amazon donc, mais du Microsoft, un autre géant américain du Numérique… finalement, oui.
Car un avis publié le 14 mars et repéré par Next le 18 mars révélait que le ministère de l’Éducation nationale fera appel à Microsoft pour ses services centraux et ses établissements. Vingt-quatre heures plus tard, c’est la Lettre A qui a dévoilé qu’un établissement supérieur public, la prestigieuse école d’ingénieurs Polytechnique, migrait en toute discrétion ses données vers le cloud du géant américain.
Les deux décisions ont mis vent debout des entreprises européennes, mais aussi des politiques, en particulier à l’heure où « les tensions géopolitiques » avec les États-Unis poussent le Vieux continent, très dépendant des sociétés américaines sur le Numérique, à devenir plus autonome. On vous explique la polémique.
Face A : les discours politiques pro-solutions européennes
Depuis le retour à la Maison Blanche de Donald Trump et le revirement géopolitique américain, les appels à favoriser et à développer les solutions européennes numériques se sont multipliés. La raison est simple : « Nous sommes aujourd’hui dans une dépendance aux outils américains à 100 %, ce qui fait que dans le contexte actuel, nous risquons d’avoir un problème », résume le député Philippe Latombe (Les Démocrates).
Washington pourrait utiliser la grande dépendance de l’Europe aux solutions américaines du numérique (cloud, bureautique, email, réseaux sociaux, sécurité…) pour faire pression sur les gouvernements du Vieux continent. Sur le plan de la guerre commerciale, cela pourrait se traduire par « des tarifs de Microsoft qui augmentent très fortement » ou encore « des mises à jour qui ne sont pas faites », nous liste l’élu de Vendée.
À lire aussi : Donald Trump veut pulvériser le bouclier juridique qui protège nos données personnelles
Pour réduire cette dépendance, des responsables politiques européens – y compris français – plaident pour développer et soutenir l’écosystème de la tech européen. Pas plus tard que mardi dernier pendant la journée organisée par la Dinum, Clara Chappaz, la ministre déléguée de l’IA et du Numérique, déclarait, à propos des offres de cloud, qu’il était temps de faire « le choix politique de l’Europe ». Notamment en privilégiant les solutions de fournisseurs européens sur celles des hyperscalers américains qui dominent le marché, à savoir, Microsoft Azure, AWS (Amazon) et Google Cloud.
Ce message, on l’a aussi retrouvé chez les ministres français de l’Europe et des Affaires étrangères, nous a listé Jean-Noël de Galzain, le président d’Hexatrust, un groupement qui regroupe près de 150 acteurs français et européens de la cybersécurité et du cloud de confiance.
Face B : Microsoft quand même choisi, y compris pour des data sensibles
Dans un tel contexte, on pouvait donc s’attendre à ce que l’école Polytechnique et tout ministère n’aient pas recours à des sociétés américaines, pour leurs services numériques. Ce qui explique que les entreprises du Numérique françaises et européennes soient littéralement tombées de leur chaise, lorsque les deux nouvelles du recours à Microsoft ont été publiées cette semaine. Ces décisions sont « inacceptables », a estimé dans un communiqué le CNLL, l’Union des Entreprises du Logiciel Libre et du Numérique Ouvert.
« Malgré une volonté affichée d’indépendance à l’égard des fournisseurs de technologies numériques, de nombreux projets continuent d’être confiés à des acteurs non européens », regrette OVHCloud, que nous avons contacté.
Pour Hexatrust, l’association qui représente des acteurs français et européens de la cybersécurité et du cloud de confiance, c’est tout simplement « du sabotage ». « Qu’on fasse appel à Microsoft pour le legacy (ce qui a été fait avant, NDLR) je veux bien. Mais pour les nouveaux marchés, pour ces 150 millions d’euros, investissons-les plutôt dans notre industrie » plaide Jean-Noël de Galzain, le chef d’entreprise à la tête d’Hexatrust, à propos du contrat passé avec le ministère de l’Éducation nationale.
« Moi, j’invite (ce ministère, NDLR) à nous recevoir. Je les invite à passer un contrat cadre avec notre industrie. Et je les invite à nous faire confiance parce qu’aujourd’hui, (les 150 membres de l’association Hexatrust) travaillent déjà avec de nombreuses académies, avec les centres de recherche, avec les universités, avec les CROUS. On doit à chaque fois les convaincre, un à un. Et pendant ce temps, on voit arriver Microsoft qui prend un contrat global sur l’ensemble de l’Éducation nationale. Eh bien là, il y a un problème ! », s’insurge-t-il.
Que couvrent ces contrats ?
Microsoft a en effet remporté un contrat cadre qui prévoit des dépenses pouvant aller jusqu’à 152 millions d’euros, sur quatre ans. Son objectif : équiper les services centraux du ministère de l’Éducation nationale et les établissements supérieurs à des solutions Microsoft.
Côté Polytechnique, ce sont ses services informatiques qui vont migrer vers des solutions de Microsoft, les messageries des étudiants ayant déjà été transférées vers les serveurs de l’entreprise américaine. Selon La Lettre A, ce choix de Microsoft a été pris par la seule direction, sans véritable concertation. Or l’établissement, « sous tutelle du Ministère des Armées », traite de « données relevant de la sécurité nationale », les étudiants effectuant « des recherches et des activités d’enseignement dans des domaines stratégiques et sensibles, incluant le militaire, les technologies duales, la cybersécurité et le quantique », rappelle le Conseil National du Logiciel Libre (CNLL).
De quoi susciter en interne « des vives inquiétudes en matière de protection des échanges, des travaux de recherche, en matière de risque de pillage technologique ou de divulgation de données sensibles », estime Philippe Latombe. Le député de Vendée a adressé deux questions écrites à Élisabeth Borne, la ministre de l’Éducation nationale et de l’Enseignement supérieur : le parlementaire demande ni plus ni moins l’annulation de ces deux contrats. Car pour l’élu, ces décisions ne sont pas conformes « à la doctrine de l’État ». Et « l’Education nationale centrale fait l’inverse de ce qu’elle demande à ses recteurs de faire dans chacune des académies. Ce n’est pas normal », s’insurge l’homme politique.
Les deux décisions sont « illégales », renchérit le CNLL, « elles contreviennent au droit européen (…), au droit national (code de la sécurité intérieure pour les données sensibles, priorité au logiciel libre dans l’ESR, loi SREN2…) et aux directives gouvernementales (DINUM…) ».
Ces décisions sont-elles illégales ?
En France, les administrations et les établissements de l’Enseignement supérieur ne peuvent pas choisir n’importe quel fournisseur de cloud ou de solutions numériques. La doctrine « Cloud au centre de l’État » impose par exemple le recours à un fournisseur labellisé SecNumCloud (le plus haut niveau de cybersécurité) pour l’hébergement de toutes les données sensibles de l’État et d’acteurs publics. Ce label, qui inclut une clause d’immunité aux lois extraterritoriales, exclut de fait les géants du cloud américains comme Amazon, Microsoft Azure et Google Cloud, tous trois soumis à la loi « Fisa » et au « Cloud Act ».
Ces deux législations imposent à toute société américaine de partager toutes les données demandées par l’administration américaine, même si ces dernières proviennent du Vieux continent, et même si elles sont stratégiques ou régaliennes. De quoi constituer un « droit de regard » voire une immixtion potentielle que veut justement éviter l’administration française avec sa règle du « Cloud au centre ».
Pour les solutions d’édition de textes et autres, il existe aussi une circulaire de février dernier du ministère de l’Éducation, qui s’adresse explicitement aux rectorats et aux secrétariats généraux d’académie. Elle leur demande de veiller à ce que toute utilisation de Microsoft 365 ou de Google Workspace prenne fin – y compris dans les établissements qu’ils supervisent.
Pourquoi alors ce choix d’un hyperscaler américain ?
Citant ces deux règles, dont l’une fait désormais partie de la loi SREN (visant à sécuriser et réguler l’espace numérique), Philippe Latombe, dans une première question écrite, demande à Elisabeth Borne comment elle « envisage de contraindre la direction de Polytechnique à appliquer les orientations datant de 2021 de la direction interministérielle du numérique, interdisant le déploiement de Microsoft 365 dans l’administration ou (…) la circulaire dite “Cloud au centre” ».
Dans la seconde question, l’homme politique demande à Elisabeth Borne comment elle « envisage de dénoncer le contrat » (l’annuler, NDLR) conclu avec le ministère de l’Education nationale, afin de se mettre en cohérence avec la circulaire de février dernier.
Mais « qu’est-ce qu’on attend pour reconsidérer notre manière d’acheter (des solutions numériques) », se demande le président d’Hexatrust, interrogé par 01net.com. Si pendant longtemps, le recours aux sociétés américaines s’expliquait parce que les offres européennes n’étaient pas au niveau, désormais, « il y a une industrie du numérique en France et en Europe qui est florissante » dont « une industrie du cloud de confiance, avec des acteurs qui sont en train de se développer dans tous les pays comme Outscale, OVHcloud, Clever Cloud, Cloud Temple, Scaleway, etc. On a aussi des digital workplaces qui offrent des alternatives », insiste le président d’Hexatrust.
« La commande publique doit être un levier stratégique pour permettre à l’Union européenne de reprendre le contrôle de son destin numérique », renchérit OVHCloud.
Ce recours à Microsoft s’explique-t-il par une question d’habitude ou de facilité, qui serait difficile à changer ? Philippe Latombe, lui, n’hésite pas à parler de « faiblesse d’une administration qui succombe si facilement à la capacité de séduction de ce géant américain ». « Que l’administration aujourd’hui ne pense pas qu’on puisse être rentré dans une ère différente avec les Américains et qu’il faut en conséquence se décramponner de la technologie américaine pour gagner en autonomie, et qu’ils n’y pensent pas une seule seconde, c’est quand même très gênant », poursuit-il. « Il va falloir à un moment ou à un autre que le Premier ministre et le gouvernement prennent leurs responsabilités et soient courageux », ajoute-t-il.
« Les discours sur la souveraineté, ras-le-bol. Il faut du concret, il faut des actes. Et maintenant, pas dans trois ans ou cinq ans », martèle de son côté Jean-Noël de Galzain, d’Hexatrust. Car l’équation est simple, estime-t-il : « si on continue à consommer du Numérique comme on le fait, on va à la faillite ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
