Souveraineté numérique :
le temps des actes
La désadhérence vis-à-vis des géants américains du numérique est devenue une priorité d'État. Mais entre l'ambition affichée et la réalité de terrain, le fossé reste béant. En tant qu'ancien DSI d'académie, aujourd'hui consultant, qui représente des dizaines de milliers d'utilisateurs, je veux partager ce que j'observe, ce qui fonctionne — et ce qui reste à construire.
Une ambition légitime, une réalité complexe
La DINUM appelle à la désadhérence. Le terme est juste. Il désigne l'effort collectif de réduire notre dépendance aux solutions numériques américaines — principalement soumises au Patriot Act — au profit de solutions souveraines, hébergées sur le territoire national, conformes au RGPD.
C'est une ambition que je partage pleinement. Mais dans la réalité quotidienne d'un DSI d'académie, cette ambition se heurte à des forces contraires puissantes. L'Éducation nationale est l'un des ministères les plus décentralisés de France. La loi Peillon a confié la responsabilité des infrastructures numériques aux collectivités territoriales. Or ces collectivités sont souvent séduites par les solutions américaines — ergonomiques, efficaces, faciles à déployer.
La désadhérence ne se décrète pas. Elle se construit, patiemment, avec les bons outils et une sensibilisation sans relâche des utilisateurs.
Jacky Galicher, consultant, ancien DSI de l'académie de Normandie
Les risques sont concrets — et sous-estimés
Un tiers des cyberattaques viseraient à récupérer des données relatives aux élèves. Ce chiffre, issu d'une étude internationale, devrait alerter l'ensemble de l'écosystème éducatif. Les mineurs sont une cible. Leurs données — scolaires, comportementales, familiales — ont une valeur commerciale considérable pour certains acteurs.
La crise du Covid-19 a amplifié ce problème. Dans l'urgence, des milliers d'enseignants ont créé des comptes Google pour leurs élèves, sans le consentement des familles. Des établissements ont souscrit à Microsoft Office sans analyse de risque. Des collectivités ont déployé des solutions non compatibles avec le RGPD. Ces usages, une fois installés, sont extrêmement difficiles à déraciner.
Points de vigilance identifiés sur le terrain
- Comptes Google créés par des enseignants pour leurs élèves, sans consentement parental
- Souscriptions directes à Microsoft Office 365 par des établissements sans validation DSI
- Solutions de visioconférence et de collaboration non conformes RGPD adoptées durablement post-Covid
- Collectivités équipant les élèves avec des terminaux insuffisamment sécurisés
- Codes sources d'applications académiques non audités pour leurs failles de sécurité
Ce qui fonctionne : la technique et l'humain, ensemble
Le volet technique
En Normandie, les données des grands systèmes d'information — RH, scolarité, messagerie — ne sont pas confiées aux hébergeurs du cloud américain. Notre data center est mutualisé avec la Région et les centres de recherche universitaires. Le président du Conseil régional travaille à la construction d'un second centre de données régional, pour intégrer les CHU et réduire leur vulnérabilité aux cyberattaques.
Nous travaillons avec des partenaires comme idruide pour sécuriser la gestion des terminaux mobiles — smartphones, tablettes, PC — en masquant les identités des utilisateurs et en garantissant un usage conforme au RGPD. Ces solutions de gestion unifiée des appareils (UEM) sont indispensables dès lors que l'on veut reprendre le contrôle sur les usages numériques à l'échelle d'une académie.
Le volet humain — le plus difficile
La technique ne suffit pas. J'en suis convaincu : la réponse durable à la dépendance numérique passe avant tout par l'acculturation des utilisateurs. Dans le cadre de mes fonctions, j'ai contribué à la réalisation d'une bande dessinée pédagogique sur les règles d'hygiène numérique — mot de passe, signalement d'incidents, bonnes pratiques de navigation — et à l'organisation de séminaires dédiés aux chefs d'établissement.
Car le vrai problème n'est pas l'ignorance. C'est la défiance. Beaucoup d'enseignants manifestent une méfiance légitime envers leur institution. Notre rôle, en tant que DSI, est de créer les conditions de la confiance — d'être à l'écoute, de ne pas se contenter d'interdire mais de démontrer les bénéfices concrets du numérique souverain.
Il ne faut pas opposer sécurité et liberté pédagogique. La sécurité est une condition de la liberté, pas son ennemie.
Jacky Galicher
Vers quoi devons-nous tendre ?
La question qui sous-tend tous nos efforts est simple : avons-nous les moyens de notre politique ? Le budget cumulé des GAFAM dépasse celui de nombreux États. Prétendre proposer des alternatives de niveau comparable avec des investissements très inférieurs relève du défi immense.
Des pistes existent pourtant. Le logiciel libre — comme Nextcloud, déployé en pionnier par l'académie de Versailles — offre des solutions réelles, à condition d'accepter une maintenance plus exigeante et une courbe d'adoption plus longue. Les solutions associées à un tiers de confiance, qui masquent l'identité des utilisateurs tout en permettant les usages attendus, sont davantage en phase avec le cadre réglementaire européen.
Ce qui est certain : la réversibilité doit devenir un critère de choix non négociable. Toute solution adoptée doit pouvoir être remplacée. La dépendance technologique commence souvent par une commodité apparente — et finit par une captivité durable.
La souveraineté numérique n'est pas une nostalgie technologique ni un repli protectionniste. C'est une condition de confiance dans les institutions éducatives, une protection concrète des mineurs, et une garantie que les données de nos élèves restent ce qu'elles doivent être : des données au service de leur apprentissage, et de rien d'autre.
Nous avons encore beaucoup de chemin à faire. Mais le chemin existe.