Menacée d’une action en justice, Polytechnique suspend son projet de migration vers Microsoft 365 : un signal fort pour la souveraineté numérique

Un revirement inattendu.

L’École polytechnique, établissement d’enseignement supérieur et de recherche parmi les plus prestigieux de France, a officiellement suspendu son projet de migration vers la suite collaborative Microsoft 365. La décision, annoncée après plusieurs mois de controverses, intervient alors que le Conseil national du logiciel libre (CNLL) menaçait d’engager une action en justice et que des chercheurs de l’école s’étaient opposés au projet.

Le CNLL, organisation qui fédère les acteurs du logiciel libre en France, a qualifié cette suspension de « victoire majeure pour la souveraineté de la recherche française et le respect du droit ». L’association estime que « le passage en force au détriment de la souveraineté n’est plus une option viable », notamment dans un contexte politique et géopolitique qui a évolué.

Des données sensibles au cœur du litige.

Si Polytechnique justifiait son projet par la volonté d’unifier ses outils collaboratifs et de moderniser son environnement numérique, les opposants mettaient en avant les risques liés à la législation américaine. L’adoption de Microsoft 365 expose en effet les données hébergées au CLOUD Act et au Foreign Intelligence Surveillance Act (FISA), deux dispositifs qui permettent aux autorités des États-Unis d’accéder à des données détenues par des entreprises américaines, même lorsqu’elles sont stockées hors du territoire américain.

Polytechnique abrite des zones à régime restrictif, c’est-à-dire des périmètres de recherche exigeant une protection renforcée des informations, potentiellement classifiées ou stratégiques. Le député Philippe Latombe avait d’ailleurs alerté les pouvoirs publics sur les risques liés à l’utilisation de solutions soumises à des législations extraterritoriales par des acteurs publics stratégiques.

Une obligation légale souvent ignorée.

Au-delà des risques extraterritoriaux, le projet se heurtait à la loi française. L’article L123-4-1 du code de l’éducation impose aux établissements d’enseignement supérieur de privilégier l’usage des logiciels libres lorsqu’ils répondent aux besoins exprimés. Cette disposition, conçue dans une logique de souveraineté et de maîtrise technologique, est pourtant appliquée de manière très inégale. La plupart des universités françaises utilisent massivement les solutions de Microsoft, Google ou d’autres acteurs américains, une dépendance renforcée par la généralisation du télétravail et de l’enseignement à distance.

Le CNLL s’est appuyé sur cet article de loi pour menacer Polytechnique d’un recours juridique, une pression suffisamment crédible pour contraindre la direction à suspendre le projet avant toute procédure.

Un contexte réglementaire européen qui se durcit.

La suspension du projet de Polytechnique intervient dans un contexte où les autorités de protection des données européennes intensifient leurs contrôles. L’autorité autrichienne de protection des données (Datenschutzbehörde, DSB) a récemment statué que Microsoft 365 Education violait le Règlement général sur la protection des données (RGPD), en raison d’un pistage illicite des étudiants et de l’exploitation commerciale de leurs données sans consentement valable.

Pour Stefane Fermigier, coprésident du CNLL, cette décision confirme « le diagnostic, déjà établi par la Cnil au sujet du Health Data Hub en 2020 ou sur l’ESR en 2021 : le modèle même des solutions cloud soumises au droit extraterritorial américain est structurellement incompatible avec le droit européen et la protection de nos intérêts économiques et stratégiques ». Il ajoute que « penser pouvoir corriger ces failles fondamentales par des rustines contractuelles est un leurre dangereux ».

Une incohérence entre discours et pratiques.

L’épisode révèle une fracture profonde entre la stratégie industrielle affichée par l’État et la réalité des achats publics. D’un côté, les pouvoirs publics multiplient les appels à réduire la dépendance technologique vis-à-vis des acteurs étrangers. De l’autre, de nombreux marchés publics continuent d’alimenter massivement les géants américains du numérique.

Le dossier Polytechnique illustre ainsi l’écart grandissant entre les ambitions affichées par les pouvoirs publics en matière de souveraineté numérique et les pratiques observées sur le terrain. La suspension du projet de migration pourrait avoir des répercussions bien au-delà des murs de l’école, en incitant d’autres établissements publics à revoir leurs choix technologiques face aux enjeux de protection des données et de souveraineté.