Guide

Cloud Act, RGPD, CNIL : les 5 obligations des collectivités avant d’équiper leurs écoles

10.06.2026

Par Pierre Delthil

Cloud Act, RGPD, CNIL : les 5 obligations des collectivités avant d’équiper leurs écoles

Quand une collectivité choisit un outil numérique américain pour ses écoles, elle transfère souvent sans le savoir une partie de la souveraineté sur les données de ses élèves à des juridictions étrangères. En effet, le Cloud Act, le RGPD et les recommandations de la CNIL imposent des obligations précises aux acheteurs publics, obligations que beaucoup ignorent jusqu’au premier incident. Cet article résume ce que vous devez savoir avant de signer un marché, et les critères concrets pour choisir des solutions conformes.

Pourquoi les données des élèves sont-elles particulièrement sensibles ?

Les données que traitent les établissements scolaires ne sont pas des données ordinaires. Elles concernent des mineurs, ce qui les place sous un régime de protection renforcée dans le cadre du RGPD. En conséquence, toute collectivité qui finance et déploie des équipements numériques dans ses établissements endosse le rôle de responsable de traitement au sens juridique du terme, avec les obligations qui en découlent.

Concrètement, cela signifie : tenir un registre des traitements, nommer un délégué à la protection des données (DPO), garantir la conformité des outils déployés, et s’assurer que les données ne quittent pas l’espace juridique européen sans garanties suffisantes.

Le risque n’est pas théorique. En février 2025, l’ANSSI a publié un rapport qui recense 218 incidents cyber affectant des collectivités territoriales en 2024, soit une moyenne de 18 incidents par mois, représentant 14 % de l’ensemble des incidents que l’agence a traités sur l’année. L’ANSSI qualifie d’ailleurs les collectivités de « cibles de choix » en raison de leurs systèmes d’information nombreux et disparates, et d’un niveau de protection souvent insuffisant.

Cloud Act : ce que risquent concrètement les collectivités

Le Cloud Act est une loi américaine de 2018 qui autorise les autorités américaines à exiger d’une entreprise basée aux États-Unis l’accès à des données qu’elle stocke, y compris sur des serveurs situés hors du territoire américain.

Ce point est décisif et souvent mal compris : peu importe que les serveurs soient physiquement en France ou en Allemagne. Si l’entreprise prestataire relève du droit américain, ce qui est le cas de Google, Microsoft, Amazon ou Zoom, les autorités américaines peuvent saisir ces données sans informer la collectivité ni les familles des élèves.

En pratique, cela concerne par exemple :

  • Les suites bureautiques déployées dans les classes (Google Workspace for Education, Microsoft 365)
  • Les outils de visioconférence utilisés par les enseignants (Zoom, Teams)
  • Les plateformes de stockage cloud hébergées par des filiales européennes de groupes américains
  • Les ENT ou applications pédagogiques dont le prestataire sous-traite l’hébergement à une entreprise américaine

Autrement dit, l’argument « nos données sont hébergées en Europe » ne suffit pas à neutraliser le risque juridique si la maison mère relève du droit américain. La CNIL l’a rappelé à plusieurs reprises, notamment dans ses lignes directrices sur les transferts de données hors UE.

RGPD et CNIL : les obligations réelles des collectivités

Le RGPD, en vigueur depuis 2018, s’applique pleinement aux collectivités territoriales. En tant que responsables de traitement, elles doivent respecter un ensemble d’obligations opérationnelles.

Ce que le RGPD impose concrètement :

  • Tenir un registre des activités de traitement
  • Désigner un DPO, obligatoire pour les organismes publics
  • Vérifier que chaque outil dispose d’une base légale pour traiter les données des élèves
  • Encadrer les transferts hors UE : la collectivité doit garantir des protections appropriées (clauses contractuelles types, décision d’adéquation) avant tout transfert vers un pays tiers
  • Respecter des durées de conservation limitées et documentées

Ainsi, utiliser un outil américain sans vérifier ces conditions expose la collectivité à une mise en demeure de la CNIL, voire à une sanction. Sur ce point, la CNIL a d’ailleurs rendu plusieurs décisions publiques concernant Google Analytics, concluant à sa non-conformité dans sa configuration par défaut.

À noter : la France a transposé la directive NIS2 en droit français en 2024. Cette directive élargit les obligations de cybersécurité à un plus grand nombre d’entités, dont certaines collectivités territoriales. Elle renforce en outre les exigences de gestion des risques liés aux prestataires numériques.

Hébergement en France vs cloud étranger : ce que ça change

La question de la localisation des serveurs est souvent le premier critère évoqué, mais elle ne suffit pas à garantir la conformité. Pour mieux comprendre les enjeux, voici les différences concrètes qui comptent réellement.

Critère Hébergement souverain (France/UE) Cloud opéré par une entreprise US
Juridiction applicable Droit français et européen (RGPD) Potentiellement droit américain (Cloud Act)
Accès par des tiers étrangers Impossible sans décision judiciaire française Possible sur réquisition US
Conformité CNIL Garantie si opérateur conforme À vérifier au cas par cas
Localisation des serveurs France ou UE Variable, même si « UE » affiché
Risque de transfert hors UE Très faible Élevé, même via filiale européenne
Niveau de certification Possible SecNumCloud (ANSSI) Non disponible pour les offres grand public

Le label SecNumCloud que l’ANSSI délivre constitue aujourd’hui le niveau de confiance le plus élevé en France pour les solutions cloud. Il garantit en effet que le prestataire ne peut pas être soumis à des législations extra-européennes.

5 critères pour choisir un outil numérique souverain

Avant de signer un marché d’équipement numérique, voici les cinq questions à poser systématiquement à tout prestataire.

  1. Les données sont-elles hébergées en France ou dans l’UE par une entité de droit européen ? La réponse doit figurer dans les conditions contractuelles, pas seulement dans les fiches commerciales.
  2. Le prestataire s’engage-t-il contractuellement à ne pas transférer les données hors UE ? Les CCT ou une décision d’adéquation doivent être mentionnées explicitement.
  3. La solution est-elle conçue sans collecte ni monétisation des données des élèves ? Certains outils freemium financent leur modèle via la valorisation des données d’usage, incompatible avec le cadre scolaire.
  4. Le prestataire dispose-t-il d’un DPO joignable ? Un DPO identifié et une documentation RGPD accessible sont des signaux de maturité.
  5. Le prestataire est-il référencé sur des centrales d’achat public (UGAP, RESAH) avec des clauses RGPD vérifiées ? Passer par une centrale d’achat simplifie le processus et apporte une garantie contractuelle préalable.

Conclusion

Cloud Act, RGPD, CNIL, NIS2 : ces acronymes ne désignent pas des contraintes bureaucratiques abstraites. Ils définissent un cadre juridique précis dont les collectivités sont responsables dès qu’elles déploient du numérique dans leurs écoles. C’est pourquoi choisir une solution souveraine n’est pas un luxe : c’est une exigence de conformité et une protection concrète pour les élèves, les enseignants et les élus.

Aller plus loin avec UNOWHY

UNOWHY est une entreprise française indépendante qui conçoit et déploie des solutions numériques exclusivement dédiées à l’éducation. Toutes les données traitées via SQOOL sont hébergées en France, sans collecte ni monétisation, en conformité avec le RGPD et les recommandations de la CNIL.

Le Club DSI UNOWHY rassemble les décideurs IT du public et du privé pour échanger sur les meilleures pratiques et faire avancer leurs projets IT, ensemble.

[Rejoindre le Club DSI]

Pour aller plus loin : numérique souverain au service de l’éducation et comparatif MDM 2026.

FAQ

Le Cloud Act est une loi américaine de 2018 qui autorise les autorités américaines à exiger d'une entreprise de droit américain l'accès à des données hébergées n'importe où dans le monde, y compris sur des serveurs situés en Europe. Pour les écoles, cela signifie que l'utilisation d'outils opérés par Google, Microsoft ou Amazon peut exposer les données des élèves à des réquisitions étrangères, sans information ni recours possible pour la collectivité ou les familles.

Ce n'est pas interdit en soi, mais cela suppose de vérifier plusieurs conditions : que des garanties contractuelles encadrent les transferts de données hors UE (clauses contractuelles types), que le DPO de la collectivité a analysé le risque, et que les paramètres de confidentialité sont configurés de façon conforme. Dans les faits, la CNIL a jugé que certaines configurations par défaut de ces outils ne sont pas conformes au RGPD.

Une collectivité responsable du déploiement numérique dans ses écoles doit : tenir un registre des traitements, désigner un DPO, vérifier la base légale de chaque traitement de données, encadrer contractuellement les prestataires, et s'assurer qu'aucun transfert de données hors UE n'est réalisé sans garanties documentées. Le non-respect de ces obligations peut entraîner une mise en demeure ou une sanction de la CNIL.

Un hébergement souverain désigne un service dont les données sont stockées sur des serveurs situés en France ou dans l'UE, opérés par une entité de droit européen qui n'est pas soumise à des législations extra-européennes comme le Cloud Act. Le label SecNumCloud de l'ANSSI constitue le niveau de certification le plus élevé en France pour qualifier ce type d'hébergement. Un hébergement "en Europe" assuré par une filiale d'un groupe américain ne répond pas à cette définition.

La directive NIS2, transposée en France en 2024, élargit le périmètre des entités soumises à des obligations renforcées de cybersécurité. Les collectivités territoriales de taille significative peuvent être concernées, en particulier celles qui gèrent des infrastructures numériques pour l'éducation. NIS2 impose notamment de mieux contrôler la chaîne de sous-traitance numérique ce qui inclut les prestataires d'équipements et de logiciels scolaires.

Ressources

* Champs obligatoires
Partager

Articles recommandés

Toutes les ressources