Chromebooks à l'école : dix ans de dossier — JG Consultants
Gouvernance IT · Souveraineté numérique

Chromebooks à l'école : dix ans de dossier, et toujours la même question

En 2014, une mairie des Yvelines a doté deux écoles primaires de 60 Chromebooks, avec Google Apps for Education, sans en informer la DSI de l'académie. J'ai appris l'information par le DAN, le 17 novembre 2014, lors d'une réunion de routine.

Ce n'était pas une attaque. Ce n'était pas de la malveillance. C'était de l'enthousiasme — la conviction sincère que mettre du numérique dans les mains des élèves était une bonne chose, que Google offrait des outils efficaces, gratuits, faciles à déployer. Et c'était exactement le problème.

Ce que la gratuité coûte vraiment

Les écoles Camescasse et Guhermont de Saint-Arnoult-en-Yvelines avaient reçu leur matériel. Des comptes élèves nominatifs ont été créés en octobre 2015. Gmail était accessible. Aucune démarche n'avait été effectuée auprès de la CNIL.

Ce n'est pas une reconstruction après coup — c'est ce que j'ai écrit dans ma note au recteur du 20 avril 2016, après avoir documenté l'historique des événements en trois phases : les échanges en amont entre la commune et Canopé, la phase d'élargissement à la DANE et à la DNE, et la mise en œuvre 2015-2016 — conduite sans lien avec la DSI.

La DSI avait pourtant sonné l'alarme à plusieurs reprises. Ces réunions — le 12 décembre 2014 à Marly, puis l'atelier organisé chez Google France le 27 janvier 2015 — étaient initiées par les équipes de Mathieu Jeandron, alors directeur du numérique pour l'Éducation nationale. C'est donc bien la DNE qui pilotait la promotion de ces solutions auprès des académies et des communes, pendant que les représentants de la DSI soulevaient à chaque fois le problème de l'accès aux données et de leur hébergement. Sans suite.

Le déclencheur a finalement été un parent d'élève. Pas l'institution. Un parent. Les comptes ont été suspendus le 9 février 2016.

Une doctrine construite commune par commune

À la suite de cette affaire, nous avons travaillé avec le recteur Daniel Filatre à cadrer la position académique. Entre avril et juin 2016, des courriers ont été adressés aux maires de plusieurs communes de l'académie.

La doctrine académique 2016

Avr. 2016 Saint-Arnoult-en-Yvelines — Suspension des services GAFE dans l'attente d'une convention MEN/Google. Clauses en droit anglais, hébergement hors UE, Privacy Shield en renégociation.
Juin 2016 Orsay — Le recteur déconseille les Chromebooks. Il recommande des tablettes classiques. La position s'est durcie.
Juin 2016 Maurepas — Pas de GAFAM en jeu. Le recteur encourage une solution de filtrage centralisée et mutualisée par l'académie.

Ces courriers portent la signature du recteur. Ils sont instruits par la DSI. C'est une politique académique cohérente — pas seulement réactive, mais constructive — bâtie sur des analyses juridiques et techniques produites par nos équipes.

2017 : "pas de réserve générale"

En mai 2017, Mathieu Jeandron, directeur du numérique pour l'Éducation nationale, déclare publiquement qu'il n'émet "pas de réserve générale" sur l'arrivée de Google dans les établissements scolaires et universitaires.

À ce moment, j'ai dans mes tiroirs deux ans de dossiers sur le sujet. Des comptes élèves suspendus après une plainte de parent. Des courriers aux maires. Une note au recteur. Et, en mars 2017, l'affaire Apple School Manager — un autre déploiement conduit sans la DSI, cette fois par une DANE, sur les données de 500 000 élèves, qui m'a valu une convocation.

Le Canard Enchaîné avait posé la vraie question quelques mois plus tôt : la gratuité des outils GAFAM pour les écoles n'est pas un cadeau. C'est un investissement — dans la captation des habitudes numériques dès l'enfance, dans la construction de profils commerciaux à long terme.

En 2018, Mathieu Jeandron a rejoint Amazon Web Services.

2021 : même dossier, même réflexe

Arrivé en Normandie comme DSI de l'académie, j'ai retrouvé le sujet intact.

Le 27 mai 2021, un IEN de la circonscription Rouen Nord me sollicite pour accompagner une "expérimentation Chromebook" dans les écoles des Hauts de Rouen, dans le cadre d'une cité éducative. 50 appareils achetés, G Suite souscrit, deux écoles impliquées, 7 classes de cycle 3.

"J'attire votre attention sur l'utilisation de Chromebook qui n'est pas à priori conforme au RGPD. Je vous invite à prendre l'attache de la DPD." — Ma réponse, 12 minutes après.

Le RGPD était entré en vigueur trois ans plus tôt. La CJUE avait invalidé le Privacy Shield. La CNIL avait répondu formellement aux conférences des présidents d'université sur la non-conformité des suites collaboratives américaines. Le droit était clair.

La DPD a produit un avis détaillé et défavorable : déséquilibre manifeste entre l'IA-DASEN, responsable de traitement, et Google, sous-traitant disposant d'une puissance de négociation sans commune mesure ; absence d'accord cadre national ; hébergement hors UE ; sous-traitance ultérieure non encadrée ; opacité sur les finalités de traitement et les durées de conservation.

"En cas de désaccord, il est conseillé de consigner par écrit les raisons pour lesquelles l'avis du DPD n'a pas été suivi."

Le DPD se protège. Parce qu'il sait que son avis risque d'être ignoré.

La réponse concrète : iDruide

Refuser les Chromebooks sans proposer d'alternative n'est pas une politique — c'est une posture. Mon rôle n'était pas de bloquer, mais d'orienter.

En Normandie, nous avons collaboré avec iDruide, éditeur français de gestion de flottes mobiles pour l'éducation, permettant un usage conforme au RGPD en masquant les identités des utilisateurs. Une solution souveraine, interopérable, déployable dans le cadre d'un marché public.

Dans une interview publiée en août 2023, j'ai dit ce que je pense de la désadhérence telle que la DINUM l'appelle de ses vœux : elle nécessite des investissements et de la sensibilisation, pas des injonctions. Les GAFAM ont des budgets supérieurs à ceux de certains États. On ne les remplace pas avec des circulaires.

Mais on peut construire, commune par commune, académie par académie, une culture de la vigilance — et montrer que des alternatives existent, fonctionnent, et protègent réellement les élèves.

Quand le DSI part

Depuis mon départ de l'académie de Normandie, le dossier Chromebook est retombé.

Ce n'est pas une critique personnelle de ceux qui ont pris la suite. C'est le constat d'une fragilité structurelle : la souveraineté numérique dans l'Éducation nationale tient trop souvent à des personnes, pas à des procédures. Quand la personne part, la vigilance part avec elle.

Les procédures existent pourtant. Le RGPD est là. La CNIL s'est exprimée. Les DPD produisent des avis. Mais une procédure sans porteur n'est qu'un document dans un tiroir.

Le vrai enjeu n'est pas technique. Il n'est pas juridique. Il est de gouvernance.


JG
Jacky Galicher Consultant en gouvernance IT & souveraineté numérique · Ancien DSI de l'académie de Normandie · jgconsultants.fr

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut