Par /
En 2017, j'ai alerté sur les données de nos enfants. On m'a convoqué.

Souveraineté numérique & Éducation nationale — série

En 2017, j'ai alerté sur les données de nos enfants.
On m'a convoqué.

Jacky Galicher — consultant, ancien DSI de l'académie de Normandie

Ce que je raconte ici n'est pas un souvenir vague, reconstitué huit ans après. C'est une chronologie que je peux dater et documenter, document par document — à l'exception d'un épisode, la réunion du 7 mars 2017, dont je peux situer précisément la date, le lieu et les circonstances, mais dont le contenu relève de mon souvenir direct.

Avril 2016

Le risque était identifié, et l'outil pour le détecter existait déjà

En avril 2016, j'adresse au recteur de l'académie de Versailles une note sur la protection des mineurs et la sécurité des systèmes d'information, dans le cadre du plan numérique pour l'éducation alors en plein déploiement national.

J'y rappelle le cadre juridique de la responsabilité de l'État (article R. 421-10 du code de l'éducation, loi de refondation de l'École de 2013, PSSIE) et les risques spécifiques que posent des tablettes que les élèves emportent hors de l'établissement : exposition à des contenus pédopornographiques, harcèlement, incitation au suicide, radicalisation violente.

À cette date, l'académie pilote déjà, à la demande de la Direction du numérique pour l'éducation (DNE), un groupe de travail national du ministère sur « l'encadrement juridique de l'équipement en tablettes », avec le cabinet d'avocats spécialisé Alain Bensoussan — en lien avec les conseils départementaux des Yvelines et des Hauts-de-Seine.

Dans cette même note, je propose une offre de services packagée pour les collectivités, incluant — entre autres outils — Pradéo, présenté explicitement comme un moyen de contrôler non seulement la fiabilité des applications installées sur les tablettes, mais aussi le type d'hébergement des données. Le proof of concept mené au collège Daguerre de Cormeilles-en-Parisis testait à l'époque cinq constructeurs, dont Apple.

Autrement dit : huit mois avant que le dossier Apple School Manager n'éclate, le risque d'un hébergement de données hors UE était identifié, l'outil pour le détecter était sur la table, et le travail juridique avec les Hauts-de-Seine était déjà engagé.

12 décembre 2016

La pression monte

Patrick Devedjian, président du conseil départemental des Hauts-de-Seine, écrit au recteur Daniel Filâtre. Le département a engagé 4 500 tablettes dans une quarantaine de collèges, dont 1 000 « mutualisées » qui doivent rester dans l'établissement et être utilisées par plusieurs élèves.

Pour gérer ces tablettes partagées — plusieurs sessions par appareil, sécurisation et traçage des accès internet imposés par la loi — il faut déployer Apple School Manager, « qui n'a encore jamais été mis en place et nécessite un encadrement juridique ».

Devedjian écrit que, malgré la saisine de la DNE par ses services et plusieurs réunions de travail avec les équipes de l'académie, la situation n'évolue pas, et il demande au recteur d'apporter « une attention toute particulière » à ce dossier.

Ces « équipes de l'académie », c'est la mienne : la DSI-RSSI. Ce courrier est, en creux, une mise en cause du rythme de mon travail sur l'encadrement juridique d'Apple School Manager.

30 janvier 2017

J'applique le droit

En tant que DSI-RSSI, je rédige pour le recteur une circulaire adressée à l'ensemble des principaux des collèges des Hauts-de-Seine. Objet : la mise en place de l'encadrement juridique du service Apple School Manager.

Le message est sans détour : Apple School Manager comporte des données à caractère personnel, relatives aux élèves et aux enseignants, qui sont hébergées sur le territoire des États-Unis. Sa mise en œuvre doit donc faire l'objet d'une déclaration normale auprès de la CNIL — sous la responsabilité de chaque chef d'établissement, quelle que soit l'origine de la décision de déploiement (académie, collectivité, ou établissement lui-même).

Un modèle de déclaration, élaboré à partir de celui pré-rempli par les services du ministère, est joint. Le correspondant informatique et libertés et le pôle « confiance numérique et sécurité » de la DSI académique sont mis à disposition pour accompagner les établissements dans cette démarche.

27 février 2017

La CNIL tranche

Un mois plus tard, je rédige pour le recteur la réponse à Patrick Devedjian.

La CNIL a suspendu l'étude de la mise en œuvre d'Apple School Manager. À ce stade, le service ne peut pas être déployé au sein des collèges des Hauts-de-Seine. Je viens de demander aux principaux concernés de ne pas effectuer de nouvelles déclarations et d'annuler celles déjà réalisées.

En clair : un déploiement de tablettes Apple porté par un département, adossé au plan numérique pour l'éducation soutenu par le Président de la République, vient d'être bloqué pour défaut de conformité — sur un dossier que mon service avait identifié et outillé dès avril 2016.

7 mars 2017

Convoqué

Le 2 mars 2017 au soir, Alain Ouvrard, directeur de cabinet de l'académie de Versailles, m'écrit : une réunion est prévue le mardi 7 mars à 17h30, dans le bureau de Jérôme Teillard — alors directeur adjoint du cabinet de la ministre de l'Éducation nationale, Najat Vallaud-Belkacem (2015-2017). « Avec recteur », précise le mail.

Je réponds en demandant s'il est possible de voir brièvement le recteur en amont, pour préparer cette entrevue ensemble. La réponse a été négative.

Le format de la réunion a également changé : ce qui devait se tenir au cabinet du ministère s'est finalement déroulé en visioconférence. Je me suis retrouvé seul dans le bureau du recteur, à Versailles, avec le recteur et son directeur de cabinet en présentiel — face à un écran sur lequel, à ma connaissance, se trouvaient Jérôme Teillard, Mathieu Jeandron (alors directeur du numérique pour l'éducation) et Ollivier Lenot, conseiller numérique au cabinet de la ministre.

Le ton de cet échange, je m'en souviens précisément : ce n'était pas un débat technique sur la conformité. J'avais signalé, dans le cadre normal de mes fonctions de RSSI, un problème réel concernant l'hébergement de données de mineurs — un problème que la CNIL elle-même venait de confirmer en suspendant le dispositif huit jours plus tôt.

La discussion n'a pas porté sur ce constat, mais sur ma position.

Suite

Ce qui s'est passé ensuite

Deux mois plus tard, en mai 2017, Mathieu Jeandron adresse un courrier officiel aux services académiques posant deux principes : il n'y a pas de réserve générale sur l'usage des outils GAFAM, et il n'y a pas de blocage juridique de principe.

Un an plus tard, en mai 2018, Mathieu Jeandron rejoint Amazon Web Services — la commission de déontologie l'autorise sous réserves jusqu'en avril 2021. Il est aujourd'hui Head of Solution Architecture, AWS Public Sector France.

En octobre 2018, le député Alain Bruneel interroge le gouvernement au Parlement sur l'hébergement par Amazon des résultats d'évaluation de millions d'élèves. La réponse publiée au Journal officiel en janvier 2019 le confirme : Amazon Web Services hébergeait bien la plateforme nationale d'évaluation, avec un contrat remontant à 2016.

En mai 2020, lors du premier confinement, Mediapart révèle que « La classe virtuelle » du CNED — principal outil utilisé par les élèves français pendant la crise — était elle aussi hébergée par Amazon.

Ce n'est pas un cas isolé dans l'histoire récente du numérique éducatif : Marc Couraud, conseiller numérique de trois ministres de l'Éducation nationale successifs, avait rejoint Microsoft dès 2004.

Épilogue — 2022

Cinq ans plus tard, même histoire

En décembre 2022, devenu DSI de l'académie de Normandie, j'adresse — en « importance haute » — une alerte à mes collègues sur le déploiement d'iPad en Seine-Maritime via Apple School Manager. J'y cite explicitement le précédent de l'académie de Versailles et l'article de Silicon.fr de 2017 sur les données des collégiens des Hauts-de-Seine migrant aux États-Unis, et j'interroge la conformité RGPD du dispositif, à la lumière de l'arrêt Schrems II et de la circulaire « cloud au centre » de la Dinum.

Même outil. Même type d'alerte.
Cinq ans d'écart, deux académies.

En guise de conclusion

Ce que cette histoire dit

Je ne formule aucune accusation individuelle. Les trajectoires professionnelles sont libres, et la commission de déontologie a fait son travail.

Ce que cette chronologie révèle, c'est un système : un système où l'identification d'un risque de conformité réel — documenté, outillé, conforme aux textes — se heurte, au moment où il produit un effet concret (un blocage CNIL), à une réponse institutionnelle qui porte sur la posture de celui qui l'a signalé plutôt que sur le fond du dossier.

En 2016 et 2017, j'ai fait mon travail de DSI-RSSI : identifier un risque, l'outiller, le signaler, et appliquer le droit quand la CNIL en a confirmé le bien-fondé. En 2022, à 200 kilomètres de là, j'ai refait exactement la même chose.

Aujourd'hui, en 2026, les mêmes questions se posent avec une acuité renforcée : le Cloud Act américain s'applique aux opérateurs américains quel que soit le lieu d'hébergement, les tensions géopolitiques rendent la dépendance numérique stratégique, et l'Éducation nationale continue de déployer des outils américains à grande échelle.

Ce n'est pas une question idéologique.
C'est une question de gouvernance.

Pièces internes citées : note au recteur du 3 avril 2016 ; courrier de Patrick Devedjian du 12 décembre 2016 ; circulaire aux EPLE du 30 janvier 2017 ; courrier au président du CD92 du 27 février 2017 ; échange de courriels du 2 mars 2017 ; courriel d'alerte du 20 décembre 2022.

Sources externes : Silicon.fr (mars 2017) • Acteurs Publics (mai 2017) • Journal officiel (janvier 2019) • Le Monde (septembre 2018) • Mediapart (mai 2020) • FranceArchives (notice Jérôme Teillard).

Cet article fait partie d'une série sur la souveraineté numérique dans l'Éducation nationale.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut