Un paradoxe saisissant secoue aujourd'hui les couloirs de la rue de Grenelle. Alors que l'État français multiplie les discours officiels sur la souveraineté numérique et la protection des données personnelles, l'Éducation nationale a signé, il y a un an, un accord-cadre avec le géant américain Microsoft. Ce contrat lie l'école de la République à la firme de Redmond jusqu'en 2029, pour un montant maximal de 152 millions d'euros. Cette décision, prise au printemps 2025, prend une résonance particulière aujourd'hui alors que les inquiétudes sur le respect de la vie privée des élèves et des enseignants n'ont jamais été aussi vives. Comment l'institution chargée d'éduquer nos enfants peut-elle sciemment ignorer ses propres règles de sécurité pour maintenir une dépendance technologique ?
L'alerte envoyée aux recteurs ignorée
Il existe un décalage troublant entre la doctrine officielle de sécurité définie par l'État et la réalité administrative des contrats signés. Ce que des enquêtes ont révélé récemment apparaît comme un véritable scandale d'État : alors que la Direction du numérique pour l'éducation (DNE) sonnait l'alarme sur les risques inhérents aux solutions cloud américaines, le ministère s'apprêtait à enfoncer la porte ouverte. Ce timing interpelle et soulève des questions fondamentales sur la hiérarchie des normes au sein même de l'administration française.
La note du 28 février que le ministère aurait préférée oublier
Le 28 février 2025, soit seulement quelques jours avant la signature officielle du marché, une note formelle est adressée par la DNE aux recteurs d'académie. Ce document interne, destiné à encadrer les usages numériques dans les établissements scolaires, est d'une clarté déroutante. Il rappelle avec fermeté que les données sensibles de l'Éducation nationale doivent impérativement être hébergées sur des infrastructures qualifiées « SecNumCloud ». Or, cette certification de sécurité, délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), exclut mécaniquement les offres standards de Microsoft 365 et Google Workspace, qui ne répondent pas aux exigences de souveraineté requises.
Cette note ne constitue pas un simple rappel technique ; elle représente une véritable mise en garde juridique et politique. Elle pointe du doigt l'incompatibilité avérée entre les standards de sécurité français et les pratiques commerciales des géants du cloud. En théorie, ce texte aurait dû agir comme un véto absolu sur toute renégociation d'un accord-cadre avec Microsoft. Pourtant, la hiérarchie a passé outre. Ce document interne est devenu une pièce à conviction accablante, prouvant que la contradiction n'avait pas échappé aux services techniques, mais a été balayée par la décision politique. C'est une illustration flagrante de l'éducation nationale menacée par ses propres incohérences stratégiques.
Mars 2025 : la signature qui contredit l'avertissement
Contre toute logique et au mépris de l'alerte qui venait d'être lancée, le mois de mars 2025 a vu le ministère de l'Éducation nationale reconduire son partenariat avec Microsoft. Cet accord-cadre d'une durée de quatre ans engage l'État jusqu'en 2029. L'enveloppe budgétaire maximale annoncée atteint 152 millions d'euros hors taxes, une somme colossale qui couvre les besoins en licences pour près d'un million de postes de travail et de serveurs. Ce périmètre englobe non seulement les services centraux, mais aussi les académies, les universités et les centres de recherche.
La dissonance cognitive est ici frappante. D'un côté, on enjoint aux recteurs de bannir Microsoft 365 des données sensibles au nom de la souveraineté nationale ; de l'autre, on signe un chèque de 152 millions d'euros à ce même prestataire pour quatre années supplémentaires. Ce contraste révèle une schizophrénie institutionnelle où les impératifs de cybersécurité s'effondrent devant l'inertie administrative et la puissance de frappe commerciale d'un acteur dominant. L'argument de la continuité de service semble avoir primé sur le respect des directives internes, laissant les techniciens de la sécurité des systèmes d'information dans l'incapacité d'appliquer les règles qu'ils sont censés faire respecter.
Ce que Microsoft sait de vous quand vous êtes en 3e
Au-delà des montants financiers et des débats juridiques, c'est la réalité du quotidien des élèves qui est en jeu. L'utilisation de logiciels dits « gratuits » à l'école donne souvent l'illusion d'un service sans contrepartie. Pourtant, l'actualité récente nous rappelle que l'éducation est devenue un filon précieux pour la collecte de données personnelles. Lorsqu'un élève de troisième se connecte à son espace numérique de travail, il ne se doute pas que chaque clic, chaque mot tapé et chaque fichier enregistré peut être analysé et monnayé.
L'affaire autrichienne : un précédent inquiétant
En 2024 et 2025, une affaire a secoué le monde de l'éducation numérique en Europe, apportant une preuve concrète des risques encourus. Un parent d'élève autrichien, soutenu par l'association Noyb (None Of Your Business), fondée par l'activiste Max Schrems, a porté plainte contre l'utilisation de Microsoft 365 Education dans les écoles. Les investigations de l'autorité de protection des données autrichienne (DSB) ont abouti à des conclusions accablantes : Microsoft a été condamné pour plusieurs violations graves du Règlement général sur la protection des données (RGPD).
L'enquête a révélé que des cookies de suivi étaient installés sur les postes des élèves sans leur consentement, collectant des données à des fins publicitaires. Plus inquiétant encore, il a été prouvé que des données étaient transmises à des tiers comme LinkedIn, propriété de Microsoft, ainsi qu'à Xandr, une plateforme de publicité numérique, et même à OpenAI pour des traitements liés à l'intelligence artificielle. Microsoft s'est également vu reprocher de refuser l'accès complet aux données personnelles aux utilisateurs eux-mêmes, en violation directe de leur droit d'accès. Ce précédent européen n'est pas anecdotique : il démontre que l'écosystème éducatif de Microsoft n'est pas une bulle étanche, mais un point d'entrée massif pour la collecte de données. Ce contexte renforce l'importance cruciale de la vérification d'âge et des risques pour la vie privée sur les plateformes numériques.
De la copie de maths aux conversations Teams : la surveillance scolaire
Concrètement, que voit Microsoft de la vie scolaire ? Bien plus que l'on ne pourrait l'imaginer. À travers Microsoft 365 Education, chaque aspect de la vie d'un élève peut être tracé et analysé. Les devoirs de mathématiques rendus sur OneDrive ne sont pas de simples fichiers texte ; ils contiennent des métadonnées, des historiques de modifications et des informations sur le comportement de rédaction. Les cours enregistrés sur Teams, les discussions instantanées entre camarades ou avec des professeurs, et même l'historique de navigation via le navigateur Edge fournissent une image précise du profil comportemental et social de l'étudiant.
Cette collecte massive de données dépasse la simple gestion administrative. Elle permet de construire des profils détaillés qui pourraient être utilisés pour du profilage comportemental. Lorsqu'un élève utilise sa scolarité pour apprendre à vivre dans le monde numérique, il finit par livrer, sans le savoir ni le vouloir, une quantité effrayante d'informations à une entreprise privée soumise aux lois américaines. L'école, qui devrait être un sanctuaire préservant la jeunesse de la marchandisation, risque de devenir un canal privilégié pour l'économie de la surveillance. Ce n'est pas seulement une question de technologie, c'est une question d'éthique pédagogique majeure.
152 millions d'euros pour contourner ses propres règles
Face à la levée de boucliers suscitée par ce renouvellement de contrat, le ministère a dû se justifier. Les réponses apportées, notamment lors de questions écrites au Sénat en novembre 2025, dévoilent une argumentation complexe qui tente de concilier l'inconciliable. L'exercice de style administratif est saisissant : on assure aux élus que tout est sous contrôle, tout en admettant implicitement que l'on contourne les recommandations les plus strictes des autorités de sécurité.
La réponse du ministère aux sénateurs
Dans sa réponse datée du 13 novembre 2025, le ministère tente de minimiser la portée de l'accord-cadre. Il présente ce contrat de 152 millions d'euros comme un simple « support juridique » permettant à l'administration de bénéficier de coûts de licence réduits. Le raisonnement principal repose sur les atouts liés aux économies d'échelle : en centralisant les acquisitions pour environ un million de dispositifs, l'État garantit des conditions tarifaires qu'il n'aurait pas pu négocier par d'autres moyens. Le ministère précise par ailleurs que le montant global des dépenses sera « vraisemblablement très inférieur » au plafond théorique de 152 millions d'euros, tentant ainsi de rassurer sur l'impact budgétaire.
Cependant, cette réponse élude soigneusement le cœur du problème : la contradiction flagrante avec les recommandations de l'ANSSI concernant les infrastructures SecNumCloud. Le ministère ne nie pas que Microsoft 365 est exclu de cette qualification, mais il avance l'argument que les données « sensibles » resteraient sur des serveurs internes hébergés en France. Cette distinction entre données sensibles et données ordinaires est juridiquement fragile et techniquement difficile à maintenir sur le terrain, où la fluidité des échanges entre enseignants et élèves rend la ségrégation des données quasi impossible. En somme, on nous explique que le contrat est nécessaire pour continuer à travailler, tout en passant sous silence qu'il nous enchaîne à une technologie jugée non fiable pour notre souveraineté. C'est un aveu d'impuissance face à l'oligopole de Microsoft qui investit massivement pour asseoir sa domination.
Cloud au centre : la doctrine officielle que personne n'applique
Cette situation s'inscrit dans une longue tradition de non-respect des textes officiels. Dès septembre 2021, la Direction interministérielle du numérique (Dinum) publiait sa doctrine « Cloud au centre », qui déconseillait formellement l'utilisation des suites collaboratives de Microsoft et de Google pour les services de l'État. Cette recommandation visait à encourager la montée en puissance de solutions souveraines, capables de garantir l'indépendance de l'administration française face aux législations extraterritoriales étrangères.
Parallèlement, l'article L123-4-1 du Code de l'éducation, issu de la loi du 22 juillet 2013, dispose que l'enseignement supérieur doit privilégier l'usage des logiciels libres et en favoriser le déploiement. Cette disposition n'est pas une simple suggestion, mais constitue une obligation légale. Il faut pourtant constater que ces textes restent lettre morte. L'inertie est telle que ni les décrets ni les circulaires ne semblent en mesure d'infléchir une trajectoire fixée par des contrats pluriannuels. En se verrouillant avec Microsoft jusqu'en 2029, l'Éducation nationale sacrifie, pour quatre années encore, toute perspective crédible de migration vers une infrastructure respectueuse de la doctrine « Cloud au centre ». C'est un désaveu cinglant pour les acteurs du logiciel libre et pour les politiques publiques qui tentent depuis des années de bâtir une alternative crédible.
SecNumCloud : le label que Microsoft ne pourra jamais obtenir
Pour comprendre pourquoi l'utilisation de Microsoft 365 pose problème, il faut décrypter ce que signifie réellement la qualification SecNumCloud. Ce n'est pas simplement un label de qualité supplémentaire, c'est un standard de sécurité pensé pour protéger les intérêts vitaux de la nation. L'ANSSI a mis en place ce référentiel pour identifier les prestataires de confiance capables d'héberger des données sensibles à l'abri des menaces cybercriminelles, mais surtout des ingérences étrangères.
Pourquoi les lois américaines font de Microsoft un risque souverain
Le cœur du problème réside dans les lois américaines, notamment le Patriot Act et le Cloud Act. Ces textes législatifs permettent aux autorités américaines d'accéder aux données détenues par les entreprises américaines, quel que soit l'endroit du monde où ces données sont stockées physiquement. Même si Microsoft s'engage à héberger les données de l'Éducation nationale dans des centres de données situés en France ou en Europe, l'entreprise reste soumise à la juridiction américaine. En cas de demande des services de renseignement américains, Microsoft se retrouverait dans l'incapacité juridique de refuser l'accès à ces données, sans même avoir besoin d'en informer le propriétaire des données.
C'est précisément ce que le label SecNumCloud cherche à empêcher. Pour être qualifié, un prestataire doit prouver qu'il est à l'abri de ces lois extraterritoriales, ce qui est structurellement impossible pour une entreprise américaine comme Microsoft. Il ne s'agit donc pas d'un problème technique qui pourrait être résolu par quelques mises à jour de sécurité ou une meilleure configuration des serveurs. C'est un problème juridique fondamental. Tant que Microsoft sera une société de droit américain soumise au Foreign Intelligence Surveillance Act, ses offres ne pourront jamais prétendre à la qualification SecNumCloud, et donc ne pourront jamais être réellement considérées comme sûres pour les données sensibles de l'État. C'est une impasse stratégique totale.
L'ANSSI avait prévenu : la protection des données sensibles n'est pas négociable
L'ANSSI ne fait pas de la politique, elle évalue des risques. L'agence nationale de la sécurité des systèmes d'information a créé le référentiel SecNumCloud avec un objectif précis : protéger les données sensibles de l'État et des citoyens contre les cyberattaques, mais aussi contre l'espionnage économique et politique. L'agence a été claire : les offres de confiance doivent être exclusivement européennes. Le but est de garantir qu'aucune loi étrangère ne puisse obliger un prestataire à livrer des données stratégiques à une puissance tierce.
En ignorant cette recommandation pour renouveler le contrat Microsoft, l'Éducation nationale prend un risque calculé. Elle mise sur le fait que Microsoft ne sera pas contraint par les autorités américaines de livrer les dossiers scolaires ou administratifs. Cependant, dans un contexte géopolitique tendu, ce pari est hasardeux. L'ANSSI joue son rôle de sentinelle en avertissant des dangers, mais sa voix semble avoir été étouffée par la commodité et l'habitude. La sécurité informatique n'est pas une option à laquelle on peut déroger pour des raisons de commodité, surtout lorsqu'il s'agit des données de millions d'élèves qui sont, par définition, vulnérables. Ce faisant, l'institution se met en porte-à-faux avec la politique de cybersécurité nationale, exposant l'école à des risques qu'il est encore possible d'éviter.
La Suite DINUM : les outils français qui attendent leur tour
Face à l'hégémonie de Microsoft, existe-t-il une alternative réaliste ? Oui, et elle est même déjà opérationnelle. La Direction interministérielle du numérique (Dinum) a développé une suite d'outils collaboratifs souverains, regroupés sous le nom de « La Suite DINUM ». Ces outils sont utilisés par des centaines de milliers d'agents publics et prouvent chaque jour qu'il est possible de travailler efficacement sans dépendre des géants américains de la tech.
Tchap, Visio, Docs : la boîte à outils souveraine qui fonctionne ailleurs
La Suite DINUM n'est pas un projet expérimental ou un concept lointain. Elle est opérationnelle et composée d'applications concrètes : Tchap pour la messagerie instantanée chiffrée, déjà utilisée par 600 000 agents publics ; Visio pour les visioconférences ; et Docs pour la suite bureautique collaborative (traitement de texte, tableur, présentation). Le point fort de cet écosystème est son hébergement en SecNumCloud, garantissant que les données restent sur le territoire français et sont inaccessibles aux lois extraterritoriales.
De plus, cette suite intègre des fonctionnalités modernes comme l'intelligence artificielle pour la transcription et la synthèse des réunions, et elle supporte les standards ouverts (.odt, .ppt, .xls). Cela signifie que l'on n'est pas enfermé dans un format propriétaire, facilitant ainsi l'interopérabilité et la pérennité des documents. En choisissant La Suite DINUM, d'autres administrations ont démontré que la souveraineté numérique ne se traduit pas par une perte de productivité. Au contraire, elle permet de maîtriser son outil de travail. Pourtant, l'Éducation nationale reste curieusement à l'écart de ce mouvement, continuant de payer des sommes considérables pour une dépendance technologique critiquée. Pour en savoir plus sur les défis structurels de ce ministère, voir le problème de l'éducation nationale.
Pourquoi les professeurs restent scotchés à PowerPoint
Si la solution alternative existe et est performante, pourquoi les professeurs et les élèves ne l'utilisent-ils pas massivement ? Les freins sont multiples et ne tiennent pas uniquement à la qualité intrinsèque des logiciels. Le premier obstacle est l'habitude. Des générations d'enseignants ont appris à enseigner avec PowerPoint et Word. Changer ces réflexes demande du temps et une formation continue, qui fait souvent défaut dans l'enseignement public.
Ensuite, il y a la question de la compatibilité. Le format .docx ou .pptx est devenu une norme de fait, imposée par la domination de Microsoft sur le marché. Un professeur qui enverrait un fichier au format LibreOffice (.odt) s'exposerait à des problèmes d'ouverture pour les élèves ou leurs parents équipés de suites Microsoft, créant une fracture technique au sein même de la classe. Enfin, l'inertie administrative joue un rôle majeur. Les processus d'achat, les déploiements à grande échelle et la maintenance sont pensés autour de l'écosystème Microsoft depuis des années. En briser le cycle demande une volonté politique et des investissements initiaux que les décideurs semblent réticents à engager. Résultat : on reste prisonnier du système faute d'avoir osé le déconstruire.
Novembre 2022 : l'arrêt déjà oublié des déploiements Office 365
L'histoire a une fâcheuse tendance à se répéter, et le renouvellement de 2025 n'est pas un cas isolé. Il est lourd de précédents que l'administration semble vouloir occulter. Déjà en 2022, l'Éducation nationale avait identifié le risque et tenté de le contrer, avant de faire machine arrière, laissant les acteurs de terrain dans le flou le plus total.
Quand la CNIL elle-même tirait la sonnette d'alarme
En mai 2021, la Commission nationale de l'informatique et des libertés (CNIL) publiait un avis important appelant à des évolutions rapides et à la recherche d'alternatives aux outils collaboratifs américains. Cet avis intervenait dans un contexte juridique tendu, marqué par l'arrêt « Schrems II » de la Cour de justice de l'Union européenne en juillet 2020. Cette décision historique avait invalidé le mécanisme de transfert de données vers les États-Unis, considérant que les données des citoyens européens n'étaient pas suffisamment protégées contre les agences de renseignement américaines.
Sur cette base juridique solide, en novembre 2022, l'Éducation nationale envoyait une circulaire aux établissements scolaires leur demandant formellement « d'arrêter tout déploiement ou extension » de Microsoft Office 365 et de Google Workspace. C'était une directive claire, fondée sur le respect du RGPD et la jurisprudence européenne. À l'époque, le message semblait avoir été entendu : les rectorats étaient avertis que l'usage de ces outils relevait d'un risque juridique majeur. La CNIL, garant des libertés numériques, avait alors sonné l'alarme avec force.
Trois ans plus tard, le même ministère signe pour quatre ans de plus
Pourtant, trois ans après cette mise en garde de 2022, le tableau est radicalement différent. Non seulement les déploiements n'ont pas cessé, mais ils ont été institutionnalisés par la signature du contrat cadre de mars 2025. Entre-temps, qu'est-ce qui a changé ? Certainement pas la législation américaine, ni la position de la CJUE sur les transferts de données. La seule chose qui a changé, c'est la décision politique de privilégier la facilité et le coût immédiat sur la conformité juridique et la sécurité à long terme.
Ce retournement est d'autant plus déconcertant qu'il intervient alors que les menaces cybernétiques et les enjeux de souveraineté n'ont fait que croître. En passant outre sa propre directive de 2022, le ministère envoie un message contradictoire aux établissements : on ne peut pas demander aux équipes de terrain d'être vertueuses et respectueuses du RGPD si, au niveau central, on signe un chèque de 152 millions d'euros à un opérateur qui ne respecte pas ces mêmes règles. C'est une démission intellectuelle qui fragilise la crédibilité de l'institution en matière de protection des données personnelles.
Élève, professeur, parent : peut-on dire non à Microsoft au lycée ?
Face à cette situation, les utilisateurs finaux — élèves, professeurs, parents — se sentent souvent impuissants et démunis. Mais existe-t-il réellement une alternative individuelle ? Peut-on, en tant qu'élève, refuser d'utiliser Teams pour suivre ses cours ? Un enseignant peut-il imposer l'utilisation de LibreOffice sans se mettre en danger professionnellement ?
Le recours en référé qui a échoué
La résistance à l'accord Microsoft-Éducation nationale ne date pas d'hier. Dès 2015, le collectif Edunathon, regroupant des organisations comme le Conseil national du logiciel libre (CNLL), La Mouette et l'ALDIL, avait saisi la CNIL pour dénoncer les dangers de la convention signée avec Microsoft. Ce collectif tentait de faire valoir que l'utilisation de ces outils dans l'éducation portait atteinte aux données personnelles des élèves et des enseignants, notamment via des techniques d'analyse de données qui permettaient de profiler les élèves.
Les recours juridiques ont malheureusement échoué, notamment un recours en référé qui n'a pas réussi à obtenir l'annulation de l'accord. Cependant, cet épisode montre que la vigilance citoyenne existe et que le débat technique est ancien. Si la voie judiciaire n'a pas porté ses fruits, c'est souvent parce qu'elle se heurte à la complexité technique des argumentaires des géants de la tech et à la lenteur des institutions. Pourtant, la question juridique demeure en suspens et pourrait refaire surface si la CNIL décide de s'emparer plus fermement du dossier, en s'appuyant sur les condamnations récentes à l'étranger et sur les directives de l'ANSSI.
La contrainte invisible : quand Word devient la norme implicite
Au-delà des batailles juridiques, la réalité pour l'usager est celle d'une contrainte de fait. Au lycée comme à l'université, l'écosystème Microsoft s'est imposé comme la norme implicite, difficile à contourner. Si un professeur demande à rendre un devoir, il l'attendra souvent au format .docx ou .pdf, formats natifs de la suite Microsoft. Si une réunion de parents est organisée, le lien sera probablement un lien Teams. Si un groupe d'élèves doit collaborer sur un dossier, ils seront tentés d'utiliser OneDrive pour partager leurs fichiers.
Pour un élève ou un parent qui voudrait dire « non » à cette collecte massive de données, le risque prédominant est celui de la marginalisation. Refuser d'utiliser les outils imposés par l'établissement, c'est s'exposer à rater des informations essentielles, à être mis à l'écart des communications ou à voir son travail rejeté. L'asymétrie de pouvoir est évidente : l'institution dicte le choix du logiciel, alors que l'utilisateur ne dispose d'autre alternative que d'accepter les termes d'utilisation, quelle que soit leur sévérité. Cette « obligation de fait » est bien plus pernicieuse qu'une obligation de droit, car elle s'appuie sur la conformité sociale et la facilité technique, laissant la liberté individuelle totalement désarmée.
Conclusion : L'école du « faites ce que je dis, pas ce que je fais »
Le renouvellement du contrat entre l'Éducation nationale et Microsoft jusqu'en 2029 constitue une faillite de l'exemplarité. L'école est le lieu où l'on forme les citoyens de demain, où l'on enseigne les valeurs de la République, le respect de la loi et l'esprit critique. Elle est aussi censée initier les élèves au numérique responsable, en leur expliquant l'importance de protéger leurs données personnelles et de comprendre les enjeux de souveraineté.
Or, en signant cet accord pour 152 millions d'euros en dépit des risques sécuritaires et juridiques, l'institution se place en contradiction totale avec ses propres enseignements. Comment un professeur peut-il expliquer à ses élèves les dangers des GAFAM et de l'économie de la surveillance pendant que l'administration scolaire paie massivement pour accéder à ces mêmes services ? Ce décalage entre les valeurs prêchées et les actes administratifs crée une confusion dommageable. La leçon morale qui s'en dégage est amère : la conformité aux règles de sécurité est une exigence pour le citoyen lambda, mais une option pour l'État.
Ce n'est pas seulement une question de logiciel, c'est une question de cohérence éthique. En maintenant cette dépendance, l'Éducation nationale sacrifie la souveraineté numérique et la protection des données de ses usagers sur l'autel de la facilité technique. L'avenir numérique de la France se construit dans les classes d'aujourd'hui ; si ces classes sont bâties sur des infrastructures étrangères qui ne respectent pas nos standards de sécurité, c'est toute notre autonomie future qui est compromise. Il est urgent de réaligner les actes avec les discours, avant que l'école de la République ne devienne, malgré elle, la meilleure cliente de la surveillance numérique.
