Une bataille mais pas la guerre : X repousse son contrat avec le géant américain Microsoft après sept mois de polémique. Une nouvelle applaudie par les défenseurs du logiciel libre et de la souveraineté numérique française et européenne.
Une suspension, mais pas encore un renoncement officiel : Polytechnique, la prestigieuse école d’ingénieurs, a repoussé sine die son contrat avec Microsoft, apprend-on de la Lettre, le 10 octobre dernier. La nouvelle, qui n’a pas été officiellement confirmée par X, a été applaudie par les défenseurs de la souveraineté numérique et du logiciel libre.
Tout avait commencé sept mois plus tôt : en mars dernier, la même Lettre révélait que la prestigieuse école d’ingénieurs Polytechnique migrait en toute discrétion ses données vers le cloud du géant américain. Dans le détail, ce sont ses services informatiques qui devaient migrer vers des solutions de Microsoft, les messageries des étudiants ayant déjà été transférées vers les serveurs de l’entreprise américaine.
À lire aussi : Sabotage ? Illégal ? L’Éducation nationale et Polytechnique choisissent Microsoft : on vous explique la polémique
Des risques de pillage technologique ou de divulgations de données sensibles ?
Le choix avait entraîné une vive polémique car l’établissement, « sous tutelle du Ministère des Armées », traite de « données relevant de la sécurité nationale ». Les étudiants y effectuent « des recherches et des activités d’enseignement dans des domaines stratégiques et sensibles, incluant le militaire, les technologies duales, la cybersécurité et le quantique », rappelle le Conseil National du Logiciel Libre (CNLL).
De quoi susciter en interne « des vives inquiétudes en matière de protection des échanges, des travaux de recherche, en matière de risque de pillage technologique ou de divulgation de données sensibles », regrettait Philippe Latombe. Le député de Vendée avait adressé une question écrite à Élisabeth Borne, qui était encore ministre de l’Éducation nationale et de l’Enseignement supérieur, pour que le contrat soit annulé.
À lire aussi : Les données sensibles de l’État ne doivent pas être stockées sur des hébergements américains : le rappel à l’ordre de Bercy
En France, un établissement de l’Enseignement supérieur peut-il choisir librement son clouder / fournisseur de solutions numériques ?
En France, les administrations et les établissements de l’Enseignement supérieur ne peuvent pas choisir n’importe quel fournisseur de cloud ou de solutions numériques. La doctrine « Cloud au centre de l’État » impose par exemple le recours à un fournisseur labellisé SecNumCloud (le plus haut niveau de cybersécurité) pour l’hébergement de toutes les données sensibles de l’État et d’acteurs publics. Ce label, qui inclut une clause d’immunité aux lois extraterritoriales, exclut de fait les géants du cloud américains comme Amazon, Microsoft Azure et Google Cloud, tous trois soumis à la loi « Fisa » et au « Cloud Act ».
Ces deux législations imposent à toute société américaine de partager toutes les données demandées par l’administration américaine, même si ces dernières proviennent du Vieux continent, et même si elles sont stratégiques ou régaliennes. De quoi constituer un « droit de regard » voire une immixtion potentielle que veut justement éviter l’administration française avec sa règle du « Cloud au centre ».
Pour les solutions d’édition de textes et autres, il existe aussi une circulaire de février dernier du ministère de l’Éducation, qui s’adresse explicitement aux rectorats et aux secrétariats généraux d’académie. Elle leur demande de veiller à ce que toute utilisation de Microsoft 365 ou de Google Workspace prenne fin – y compris dans les établissements qu’ils supervisent.
Échapper aux lois extraterritoriales US par des contrats ? « Un leurre dangereux »
C’est d’ailleurs sous l’égide de ces textes que diverses initiatives avaient été lancées : la question écrite pour le député Philippe Latombe, et « une procédure précontentieuse » pour Le Conseil National du Logiciel Libre (CNLL). Pour l’Union des Entreprises du Logiciel Libre et du Numérique Ouvert qui a publié un communiqué, lundi 13 octobre, il s’agit d’« une victoire majeure pour la souveraineté de la recherche française et le respect du droit ». « Ce recul de la direction de l’X démontre que la mobilisation paye et que le passage en force au détriment de la souveraineté n’est plus une option viable, dans un contexte politique et géopolitique qui a par ailleurs évolué depuis l’ère du “circulez y a rien à voir” », poursuit le CNLL.
L’organisation appelle d’ailleurs l’ensemble des administrations à « sortir du déni et prendre enfin des décisions conformes au droit et à l’intérêt supérieur de la Nation ». Pour l’association, penser pouvoir échapper aux lois extraterritoriales américaines « par des rustines contractuelles est un leurre dangereux ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.