« Cloud souverain : un principe d’immunité au droit extra-européen »
Dans le cadre de sa publication spéciale sur la souveraineté numérique, idruide a interviewé Audran Le Baron, Directeur du numérique pour l’éducation au ministère de l’Éducation nationale.
Il n’y a pas de définition officielle et c’est sans doute un problème. Il y a d’abord un angle juridique lié au RGPD et la jurisprudence SCHREMS II 1. Cet arrêté européen a notamment cassé le « privacy shield » concernant les accords de transfert de données entre l’Europe et les États-Unis, car les conditions de partage n’étaient pas compatibles avec notre législation. La CNIL a repris ce point et détermine notre doctrine.
Je rappelle que, dès lors que les données sont sur des plateformes opérées par des acteurs soumis à des lois extra-européennes, le RGPD 2 ne peut pas être pleinement appliqué. Le principe retenu pour la souveraineté numérique concerne donc l’immunité au droit extra-européen… notamment celui des États-Unis.
En conséquence, la circulaire interministérielle du 5 juillet 2021 (n° 6282-SG relative à la doctrine d’utilisation de l’informatique en nuage par l’État) vise à poser les bases d’un cloud européen doté d’une certification SecNumCloud qui protège les données sensibles.
Nous pouvons traiter la souveraineté numérique au regard du besoin d’autonomie stratégique et technologique dans les différents secteurs d’activité. Le volet juridique peut être respecté mais l’indépendance technologique de l’Europe doit être considérée. Dans des situations de crise, on se rend compte qu’il nous faut renforcer l’autonomie stratégique européenne.
C’est là que l’utilisation de logiciels open source et le développement de communs numériques prennent tout leur sens pour construire l’autonomie technologique européenne de demain.
Tout d’abord, l’État plateforme est d’abord un concept né aux États-Unis (« government as a platform », par Tim O’Reilly) imaginé lorsque des grandes plateformes américaines s’imposaient comme portes d’entrée incontournables pour adopter leurs propres solutions, leur conférant alors une position dominante. Ce concept a été adapté en France par Henri Verdier et Nicolas Colin (L’Âge de la multitude). Face à cela, l’approche d’État plateforme vise à organiser l’ensemble de l’écosystème pour favoriser le développement de nouveaux usages avec tous les acteurs. En organisant le marché, il favorise notamment l’interopérabilité via un certain nombre de normes et peut fournir en complément des briques essentielles facilitant l’usage de multiples services.
Dans le domaine de l’éducation, j’ai pu constater l’extraordinaire richesse de l’écosystème : le ministère, son administration centrale et ses académies, ses opérateurs dont Réseau Canopé, le Cned et l’Onisep, les collectivités territoriales, les éditeurs et les entreprises de l’EdTech, les différentes associations de parents, d’élèves, d’enseignants.
Ces acteurs fournissent ou consomment des outils ou des ressources pédagogiques numériques. Il y a donc un défi de rendre le numérique éducatif lisible et simple d’usage. Prenons l’exemple des identifiants de connexion : si chaque outil fait comme il l’entend, pour les professeurs, les élèves ou les parents, cela peut rapidement être compliqué. Donc, pour plus d’efficacité dans le numérique éducatif au bénéfice des utilisateurs, j’ai souhaité adopter une logique d’État plateforme en s’inspirant de ce qui a été réalisé dans le domaine du numérique en santé.
Ces deux notions sont assez techniques finalement et ne sont pas des objectifs à elles seules. Les enjeux se trouvent ailleurs. Selon moi, l’État plateforme et la puissance normative sont les outils de la simplification et de la transformation. La simplification, j’en ai parlé avec les identifiants. Il y a bien sûr d’autres exemples, comme la brique d’infrastructure qui permet d’organiser l’accès aux ressources (GAR 3). Une fois référencée, une ressource pédagogique numérique peut être distribuée au sein d’un établissement de façon nettement fluidifiée, sans avoir à passer par les différents sites des éditeurs.
La transformation, c’est permettre de nouvelles expériences, c’est aussi favoriser les innovations. La doctrine technique permet à de nouveaux entrants de comprendre comment proposer leurs services dans l’écosystème. Cela favorise l’émergence de nouvelles offres. Le ministère est particulièrement attentif aux startup de l’éducation et les aide à se créer avec le site jelancemonedtech.fr.
Tout d’abord, nous considérons que même si toutes les données des élèves ne sont pas considérées comme « sensibles » sur le plan juridique, elles revêtent de fait, politiquement, un caractère sensible. Nous sommes donc très vigilants au parfait respect du RGPD, notamment pour les données d’identité ou les traces d’apprentissages. C’est d’ailleurs une des conditions essentielles pour qu’une ressource pédagogique soit adossée au GAR. Quand un établissement utilise les briques de la puissance publique (ex : ENT), tout est regardé de près. Alors bien sûr, on ne maîtrise pas ce qui est fait en Shadow IT 4 ici ou là. On l’a vu durant la crise du COVID, chacune et chacun a employé des solutions pour faire face aux urgences.
Aujourd’hui, il faut utiliser les outils qui respectent les données personnelles. Prenons l’exemple des classes virtuelles : nous avons mis à disposition de tous les professeurs et agents du ministère un service de visio-conférence adapté à la classe virtuelle, fondé sur le logiciel libre BigBlueButton auquel le ministère a contribué, et hébergé sur un cloud français, pouvant monter à l’échelle très rapidement en cas de crise nationale.
Peut-être est-ce une affirmation des temps anciens. Prenons les innovations récentes des IA génératives. Des offres open source émergent déjà et selon les experts, dans quelques mois, elles tourneront sur nos terminaux de manière autonome.
Les GAFAM peuvent aussi être disruptés par de nouveaux entrants et par l’open source, base des offres souveraines. Mais n’oublions pas non plus que les services des GAFAM sont aussi très utilisés dans le monde professionnel et il pourrait nous être reproché de ne pas utiliser les mêmes pour former les élèves. Gardons aussi en tête que la mission de l’École est avant tout de former aux pratiques collaboratives, qu’importe les solutions sous-jacentes (lesquelles évoluent d’ailleurs très rapidement).
Dans la jurisprudence actuelle et sous réserve que le contexte juridique change, dès lors que des données sont hébergées par un acteur qui obéit à des lois extra-européenne qui peuvent contredire le RGPD, elles ne sont plus pleinement protégées. Donc à partir des informations actuellement disponibles, si des données personnelles sont hébergées sur des services de cloud états-uniens, le RGPD n’est pas pleinement respecté. Il est donc légitime d’inviter à migrer vers des opérateurs immunisés au droit extra-européen.