Peut-on encore utiliser Microsoft Office et Google Workspace en France ?

Image of Carlo Cilento

Publié le 23 nov. 2022 et modifié le 15 août 2023 par Carlo Cilento

Dans une récente réponse à une question posée par un membre du Parlement, le ministre français de l'éducation a précisé que les écoles françaises ne devraient pas utiliser Microsoft 365 et Google Workspace.

La position du ministère est motivée par deux raisons. Premièrement, le ministère est préoccupé par la confidentialité et la légalité des transferts de données. D'autre part, le recours à des fournisseurs européens est cohérent avec la ** politique** gouvernementale du "cloud au centre". Décortiquons tout cela.

  1. Les problèmes de protection de la vie privée
  2. Souveraineté numérique
  3. Réflexions finales
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Note : Certains des liens ci-dessous sont en français, car la nouvelle n'a pas fait l'objet d'une grande couverture médiatique internationale.

Les problèmes de protection de la vie privée

Les problèmes de confidentialité soulevés par l'utilisation de Google Workspace ne sont pas nouveaux. Comme nous l'avons expliqué ici, les données personnelles de citoyens étrangers peuvent faire l'objet d'une surveillance invasive de la part de l'État lorsqu'elles sont transférées aux États-Unis. Ces préoccupations en matière de protection de la vie privée ont conduit la Cour de justice de l'UE à invalider deux cadres pour les transferts de données entre l'UE et les États-Unis dans les arrêts Schrems I et II, qui ont fait date. Il convient de noter que le ministre a explicitement mentionné l'arrêt Schrems II dans sa réponse.

L'arrêt Schrems II a des implications considérables pour les entreprises européennes. En principe, les données peuvent toujours être transférées aux États-Unis sans cadre de transfert de données. Toutefois, la CJUE a précisé que les entreprises européennes doivent assurer la confidentialité des transferts de données en mettant en place des garanties adéquates contre la surveillance de l'État. Concrètement, cela est difficile à faire et totalement impossible pour certains services basés sur le cloud (nous avons écrit à ce sujet ici).

Dans le sillage de Schrems II, quatre autorités européennes de protection des données (l'ORD autrichien, la CNIL française, le GPDP italien et, plus récemment, le médiateur finlandais chargé de la protection des données) se sont prononcées contre l'utilisation de Google Analytics. Cet outil nécessite des transferts de données entre Google Ireland Ltd. et Google LLC. Conformément à l'arrêt Schrems II, les autorités de protection des données ont estimé que ces transferts de données étaient illégaux car ils ne comportaient pas de garanties efficaces contre la surveillance américaine. Les autorités de protection des données ont coordonné leur approche des plaintes relatives aux transferts de données au niveau européen, de sorte que d'autres autorités de protection des données sont susceptibles de suivre leur exemple. Mais le problème ne se limite pas à Google Analytics : d'autres services américains pourraient se retrouver dans la ligne de mire.

(Mise à jour : en fait, Meta Ireland a été condamnée à une amende record de 1,2 milliard d'euros pour des transferts illégaux de données, a reçu l'ordre de suspendre les transferts de données américaines pour Facebook et risque actuellement de subir une panne de Facebook dans toute l'Union européenne. Nous avons discuté de cette affaire importante à l'adresse suivante : https://www.simpleanalytics.com/blog/meta-hit-with-record-breaking-1-3-billion-fine-over-facebook-data-transfers-to-the-us)

La CNIL est l'une des autorités chargées de la protection des données qui s'est prononcée contre Google Analytics. En adoptant une position ferme sur l'utilisation de Microsoft 365 et de Google Workspace, le gouvernement français s'est rallié à la position de la CNIL sur les transferts de données. Mais il ne s'agit pas seulement de protection de la vie privée.

Souveraineté numérique

Depuis l'année dernière, le gouvernement français met en avant la ** doctrine du "nuage au centre"**: un plan à long terme pour développer l'infrastructure numérique dans la poursuite de la souveraineté numérique.

L'année dernière, une circulaire de la Direction interministérielle du numérique (DINUM) a exhorté l'administration publique à abandonner Microsoft 365 et à utiliser à la place la suite Office sur site. Les préoccupations en matière de protection de la vie privée ont joué un rôle, mais le gouvernement souhaite également limiter la dépendance de la France à l'égard des fournisseurs américains à long terme. La position du ministère sur Microsoft 365 et Google Workspace s'inscrit parfaitement dans cette stratégie numérique.

Il convient de noter que Microsoft 365 ne nécessite aucun transfert de données en dehors de l'UE, car Microsoft traite toutes les données européennes dans des centres de données européens. Selon la Direction, cela ne suffit pas à préserver la confidentialité des données. En fait, la Direction a exhorté les administrations à ne faire confiance qu'à des fournisseurs de services en nuage certifiés, basés dans l'UE et garantis contre l'application de lois non européennes (telles que la loi controversée sur le nuage des États-Unis).

La France n'est pas la seule à faire pression en faveur de la souveraineté numérique : la stratégie numérique de l'UE reconnaît la souveraineté numérique comme un objectif clé. Et pour réduire la dépendance à l'égard des fournisseurs de services basés aux États-Unis, la Commission européenne a lancé le projet Gaia-X. Ce projet rassemble des fournisseurs de logiciels et d'infrastructures physiques afin de créer un environnement sécurisé de partage de données dans le cadre de normes techniques interopérables. Gaia-X vise à favoriser la croissance de l'économie numérique dans l'Union, à faciliter le partage des données et à promouvoir l'objectif de la souveraineté numérique.

Les implications potentielles d'une politique de souveraineté des données ne doivent pas être négligées. En offrant aux entreprises des alternatives compétitives aux fournisseurs américains basées dans l'UE, on peut contribuer à conserver davantage de données au sein de l'Union, où les droits en matière de protection des données peuvent être appliqués plus facilement. En outre, en réduisant la dépendance à l'égard des services basés aux États-Unis, l'UE disposerait d'une meilleure marge de manœuvre lors de la négociation de cadres internationaux pour le transfert de données.

Réflexions finales

La stratégie numérique de l'UE et Gaia-X constituent un pas dans la bonne direction, mais l'Union a encore un long chemin à parcourir. À l'heure actuelle, certains fournisseurs américains sont pratiquement irremplaçables.

Heureusement, Google Analytics est remplaçable. Contrairement à Google, Simple Analytics croit en la création d'un web indépendant et convivial pour les visiteurs de sites web. Si vous vous sentez concerné, n'hésitez pas à nous contacter.

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours