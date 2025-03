Polytechnique et le ministère de l'Éducation Nationale migrent vers Microsoft 365, des décisions illégales et inacceptables condamnées par le Conseil National du Logiciel Libre (CNLL)

Polytechnique et ministère de l'Éducation Nationale : le CNLL exige l'arrêt immédiat des migrations vers Microsoft 365

Ministère de l’Éducation Nationale : Un marché public de 152 millions d’euros, attribué sans mise en concurrence réelle, pour équiper les services centraux et les établissements d’enseignement supérieur en solutions Microsoft, incluant Office 365. Ce marché, d’une durée maximale de quatre ans, viole les principes de bonne gestion des deniers publics, de transparence et d’égalité de traitement. Il aggrave une dépendance technologique déjà excessive et dangereuse à un acteur américain, au mépris des solutions européennes et notamment open source, et au mépris des recommandations de la DINUM. École Polytechnique : La migration déjà engagée des messageries des étudiants, des professeurs, des chercheurs et du personnel administratif – y compris dans les zones à régime restrictif (ZRR) – vers les serveurs de Microsoft 365. Cette décision, imposée par la directrice générale Laura Chaubard sans aucune concertation avec les instances représentatives, les responsables informatiques ou les personnes concernées, constitue une faute grave et une mise en danger délibérée des données sensibles de l’établissement, y compris des données relevant de la sécurité nationale. Polytechnique, établissement d’enseignement supérieur et de recherche sous tutelle du Ministère des Armées, effectue des recherches et des activités d’enseignement dans des domaines stratégiques et sensibles, incluant le militaire, les technologies duales, la cybersécurité et le quantique.

Le CNLL rappelle avec fermeté que

Le Foreign Intelligence Surveillance Act (FISA, section 702 amendée en avril 2024) et le CLOUD Act américains autorisent un accès extraterritorial et systématique aux données stockées et traitées par des entreprises américaines, y compris les données localisées en Europe et y compris via des logiciels installés “on premise”. Il ne s’agit pas d’un risque théorique, mais d’une réalité juridique aux conséquences potentiellement désastreuses.

Il ne s’agit pas d’un risque théorique, mais d’une aux conséquences Le Règlement Général sur la Protection des Données (RGPD, Règlement (UE) 2016/679, notamment les articles 44 et suivants) impose des obligations strictes et impératives en matière de protection des données personnelles et de leur transfert hors de l’Union Européenne. De plus, les données traitées dans le domaine de l’éducation (santé, handicap, origine, opinions, etc.) sont des données sensibles au sens de l’article 9 du RGPD, comme l’a rappelé le comité d’éthique pour les données d’éducation dans son rapport de 2020. L’utilisation de solutions Microsoft 365 est rigoureusement incompatible avec ces obligations. Elle expose de facto les données personnelles à un risque d’accès non autorisé par des autorités étrangères, en violation directe du RGPD, et expose les contrevenants à des sanctions lourdes .

De plus, les données traitées dans le domaine de l’éducation (santé, handicap, origine, opinions, etc.) sont des au sens de l’article 9 du RGPD, comme l’a rappelé le comité d’éthique pour les données d’éducation dans son rapport de 2020. L’utilisation de solutions Microsoft 365 est incompatible avec ces obligations. Elle expose les données personnelles à un risque d’accès non autorisé par des autorités étrangères, en violation directe du RGPD, et expose les contrevenants à des . La Directive (UE) 2016/943 sur la protection des secrets d’affaires impose des obligations strictes en matière de protection des informations confidentielles et du savoir-faire des établissements d’enseignement supérieur et de recherche, ainsi que de leurs partenaires industriels. Le recours à des solutions Microsoft 365, expose ces informations (résultats de recherche, contrats, données stratégiques, etc.) à un risque avéré d’accès illicite, en violation directe de cette directive.

Le recours à des solutions Microsoft 365, ces informations (résultats de recherche, contrats, données stratégiques, etc.) à un risque avéré d’accès illicite, en violation directe de cette directive. L’arrêt “Schrems II” de la CJUE a invalidé le “Privacy Shield” et a confirmé l’impossibilité de transférer légalement des données vers les États-Unis sur la base de simples clauses contractuelles types.

La DINUM elle-même a interdit en 2021 le déploiement d’Office 365 dans les administrations. L’École Polytechnique et le Ministère de l’Éducation Nationale agissent donc en contradiction directe avec les directives gouvernementales.

L’École Polytechnique et le Ministère de l’Éducation Nationale agissent donc avec les directives gouvernementales. La loi ESR de 2013 (article L123-4-1 du Code de l’éducation) et la loi pour une République numérique de 2016 (article 16) imposent l’usage prioritaire des logiciels libres dans l’enseignement supérieur et la recherche.

L’article L. 811-3 du code de la sécurité intérieure (France) définit les intérêts fondamentaux de la nation, incluant la protection des “intérêts économiques, industriels et scientifiques majeurs” et la “prévention de toute ingérence étrangère”. Dans le cas de Polytechnique, qui mène des recherches dans des domaines sensibles (défense, sécurité, technologies duales, etc.), le recours à des technologies soumises au FISA et au CLOUD Act constitue une violation directe de cet article, exposant l’établissement à des sanctions pénales (Art. 410-1 et 411-6 du code pénal français).

Le CNLL dénonce

Un passage en force inacceptable : Ces décisions sont imposées sans aucune concertation, sans transparence et au mépris des alertes et des recommandations des experts.

: Ces décisions sont imposées des alertes et des recommandations des experts. Une mise en danger délibérée : Les risques juridiques, techniques (espionnage industriel, cyberattaques) et stratégiques (perte de souveraineté) sont sciemment ignorés .

: Les risques juridiques, techniques (espionnage industriel, cyberattaques) et stratégiques (perte de souveraineté) sont . Une violation flagrante du droit : Ces décisions contreviennent au droit européen (RGPD, directive secret des affaires), au droit national (code de la sécurité intérieure pour les données sensibles, priorité au logiciel libre dans l'ESR, loi SREN2...) et aux directives gouvernementales (DINUM...).

: Ces décisions au droit européen (RGPD, directive secret des affaires), au droit national (code de la sécurité intérieure pour les données sensibles, priorité au logiciel libre dans l'ESR, loi SREN2...) et aux directives gouvernementales (DINUM...). Un précédent dangereux : Alors que l’ENS avait rétropédalé suite à une mobilisation massive des personnels et étudiants contre une initiative similaire en 2021, cette décision de Polytechnique constitue un signal désastreux pour la souveraineté numérique française et européenne.

: Alors que l’ENS avait rétropédalé suite à une mobilisation massive des personnels et étudiants contre une initiative similaire en 2021, cette décision de Polytechnique constitue un pour la souveraineté numérique française et européenne. Un gaspillage de l’argent public au profit d’une multinationale américaine, et au détriment de l’écosystème numérique français et européen.

Le CNLL exige

L’arrêt immédiat de la migration à Polytechnique et l’annulation du marché public du Ministère de l’Éducation Nationale. La mise en place d’une enquête administrative indépendante pour déterminer les responsabilités dans ces décisions et évaluer précisément les risques encourus. L’ouverture d’une concertation réelle et transparente avec l’ensemble des acteurs concernés (étudiants, chercheurs, personnels, élus, entreprises du numérique, experts en cybersécurité) pour définir une stratégie numérique respectueuse du droit, de la souveraineté et des intérêts de l’enseignement supérieur et de la recherche. La priorité absolue aux solutions open source et européennes, conformément aux recommandations de la DINUM, aux lois ESR et République numérique, et aux exigences de sécurité et de souveraineté.

À propos du CNLL



Soutenez le club developpez.com en Vous avez lu gratuitement 230 articles depuis plus d'un an.Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Début avril 2024, un État fédéral allemand avait annoncé passer 30 000 PC de Microsoft Windows et Microsoft Office à Linux, LibreOffice et d'autres logiciels libres et open-source . L'annonce avait notamment choqué, car elle était une exception à la règle. En effet, un rapport de 2018 a révélé que toute l’Europe est restée sous Microsoft Windows et Microsoft Office, des critiques qualifiant l'Europe de "colonie logicielle de Microsoft". L'un des accords représentant cette règle est l'accord Open Bar entre Microsoft et le ministère français de la Défense.Dans un contexte où la souveraineté numérique est devenue un enjeu stratégique majeur, les gouvernements français et allemand ont récemment annoncé Docs , un service de rédaction collaborative et de partage d'informations conçu pour être utilisé sur le cloud ou hors ligne. Positionné comme une alternative potentielle à Google Docs, Outline, Microsoft Office 365 et autres outils similaires, Docs représenterait la volonté de l'État français de regagner la maîtrise de ses données et de ses infrastructures numériques.Malgré cela, récemment, le Ministère français de l’Éducation Nationale a conclu un accord avec Microsoft pour équiper les services centraux et les établissements d’enseignement supérieur en solutions Microsoft, incluant Office 365. En outre, l'école Polytechnique en France a déjà commencé la migration vers les serveurs de Microsoft 365. Face à cette situation, le Conseil National du Logiciel Libre (CNLL) a partagé son avis condamnant ces actions et cet accord.Pour rappel, Microsoft avait déjà été accusé d'abus de position dominante en Europe . En juin 2024, la Commission européenne avait déclaré que Microsoft a enfreint les règles antitrust de l'UE en regroupant son application de communication Teams avec sa célèbre suite Office. Pourtant, le géant technologique américain s'était engagé à faire le nécessaire pour répondre aux préoccupations en matière de concurrence.Voici le communiqué du CNLL sur le sujet :Le Conseil National du Logiciel Libre (CNLL) exprime sa consternation et sa ferme condamnation face à deux décisions inacceptables et illégales concernant l’utilisation de solutions Microsoft dans le secteur public de l’enseignement supérieur et de la recherche :Ces décisions, prises en contradiction flagrante avec les alertes répétées du CNLL, de la communauté du logiciel libre, de parlementaires (comme en témoigne le communiqué et les QAG du député Philippe Latombe du 19 mars 2025) et d’experts en cybersécurité, révèlent une ignorance coupable des enjeux de souveraineté numérique et une violation caractérisée des obligations légales en matière de protection des données.Le CNLL appelle l’ensemble de la communauté du logiciel libre, les acteurs et usagers de l’enseignement supérieur et de la recherche, les parlementaires et les citoyens à se mobiliser pour faire respecter le droit, protéger nos données et défendre notre souveraineté numérique.Le CNLL, Union des Entreprises du Logiciel Libre et du Numérique Ouvert, est l’instance représentative de la filière du logiciel libre en France. Issu du groupement de 12 clusters régionaux, il représente plus de 300 entreprises “pure players” (spécialisées ou avec une activité significative dans le logiciel libre et l’open source): éditeurs, intégrateurs, sociétés de conseil, etc. Il assure la promotion de l´écosystème professionnel du logiciel libre, de son offre de logiciels et de services, de ses atouts spécifiques, et de ses besoins, notamment en termes d’emploi et de formation. Il permet à la communauté des acteurs de la filière d’échanger et de travailler ensemble au développement du marché, dans le respect de valeurs communes.Que pensez-vous de l'adoption de solutions Cloud Microsoft comme Microsoft 365 dans le secteur public de l’enseignement supérieur et de la recherche ?Pensez-vous que cette déclaration du CNLL est pertinente ?Quel est votre avis sur la situation ?