NIS2 pour les collectivités : ce que ça change concrètement pour votre parc numérique
La plupart des collectivités qui ont équipé leurs établissements scolaires il y a trois ou quatre ans ont déployé un MDM. À l’époque, c’était la bonne réponse : quelques centaines de tablettes Android à gérer, un parc homogène, des besoins limités à l’installation d’applications et au verrouillage à distance.
Depuis, le parc a évolué. Des ordinateurs Windows sont venus s’ajouter aux tablettes. Les usages se sont diversifiés. Les exigences réglementaires ont monté : RGPD, NIS2, conformité des contrats prestataires. Et la question que se posent aujourd’hui de nombreux DSI de collectivité est simple : est-ce que ce qu’on a encore suffit, et est-ce que ça nous protège vraiment ?
Première surprise quand on creuse : beaucoup de collectivités ne savent pas exactement ce qu’elles ont. Le mot « MDM » est devenu un terme fourre-tout. La plupart des solutions vendues aujourd’hui comme des « MDM » font en réalité bien plus que de la gestion d’appareils, quand d’autres s’arrêtent à l’essentiel. Avant même de comparer des produits, il faut donc lever une confusion de vocabulaire que le marché entretient volontiers.
Cet article ne répond pas à la question « quel MDM choisir », un comparatif des solutions MDM pour l’éducation existe déjà sur ce sujet. Il répond à une question différente et plus stratégique : faut-il encore rester sur un MDM, ou passer à un UEM souverain, et qu’est-ce que ça change concrètement pour votre collectivité face aux obligations réglementaires actuelles ?
Ces trois acronymes désignent des solutions de gestion de terminaux qui se sont succédé dans le temps, chacune élargissant le périmètre de la précédente.
Le MDM (Mobile Device Management), ou gestion des appareils mobiles, est la brique de base. Il permet à un administrateur informatique de gérer à distance un parc de tablettes ou de smartphones : déploiement d’applications, mises à jour du système, verrouillage, effacement à distance, politiques de mots de passe. Le MDM opère au niveau de l’appareil. Il est efficace sur un parc homogène d’appareils mobiles appartenant à la collectivité.
L’EMM (Enterprise Mobility Management), ou gestion de la mobilité, est une évolution du MDM qui ajoute des couches de gestion sur les applications, le contenu et les identités utilisateurs. Il permet notamment de gérer des appareils personnels en séparant les données professionnelles des données personnelles. Dans la pratique commerciale, le terme EMM a largement disparu : ses fonctions ont été absorbées dans les outils vendus comme « MDM », sans changement de nom.
L’UEM (Unified Endpoint Management), ou gestion unifiée des terminaux, est la génération actuelle. Il couvre l’ensemble des terminaux d’un parc depuis une console unique : tablettes Android, ordinateurs Windows, MacOS, smartphones. C’est la réponse aux parcs mixtes que gèrent aujourd’hui la plupart des collectivités équipées depuis plusieurs années.
La tendance du marché est claire : l’évolution va vers l’UEM. Non pas pour une finalité technique en soi, mais parce que les parcs scolaires sont devenus hétérogènes et que les exigences de sécurité et de conformité ont monté d’un cran.
Ce qu’il faut retenir, et que les fiches produit ne disent jamais clairement : la frontière entre ces trois termes s’est brouillée. Beaucoup d’éditeurs ont enrichi leur « MDM » de fonctions EMM et UEM sans changer le nom commercial, parce que « MDM » rassure et reste plus simple à vendre. Conséquence concrète pour un DSI : quand vous demandez « un MDM », on vous propose souvent un UEM sans le dire. Et quand vous pensez n’avoir « qu’un MDM », vous en avez peut-être déjà davantage. La vraie question n’est donc pas l’étiquette, mais deux choses : le périmètre réellement couvert et, on va y venir, le cadre juridique de l’éditeur.
Un MDM reste pertinent dans un cas précis : un parc entièrement composé de tablettes mobiles du même système d’exploitation, avec des besoins de gestion basiques. Dès que ce périmètre s’élargit, les limites apparaissent.
Les parcs sont devenus mixtes. La plupart des collectivités gèrent aujourd’hui simultanément des tablettes Android et des ordinateurs Windows. Un MDM conçu pour le mobile ne couvre pas les postes Windows, ce qui oblige à multiplier les consoles et à fragmenter la gestion.
Les obligations de traçabilité ont augmenté. NIS2 impose de documenter l’état de conformité de chaque terminal, de journaliser les accès et d’être en mesure de produire des preuves en cas de contrôle. Un MDM basique ne génère pas ce niveau de reporting. L’ANSSI recommande une gestion centralisée et auditable de l’ensemble du parc, ce que seul un UEM permet réellement.
Les contrats prestataires sont scrutés différemment. Avec NIS2, votre solution de gestion de parc est un sous-traitant au sens réglementaire. Vous devez pouvoir documenter où sont hébergées ses données, qui y accède, et dans quel cadre juridique. Un MDM opéré par un éditeur américain ou une filiale européenne d’un groupe américain expose votre collectivité au Cloud Act, même si les serveurs sont physiquement en France.
C’est le point que les comparatifs génériques sur le marché n’abordent pas. Pour une collectivité, le choix entre MDM et UEM n’est plus seulement technique, il est réglementaire.
Ce basculement n’est pas une simple lecture d’éditeur. L’étude du Conseil d’État sur la souveraineté numérique (2024) a posé le cadre en rappelant que la maîtrise des données publiques et la dépendance aux fournisseurs extra-européens sont devenues des enjeux de souveraineté à part entière, pas seulement des questions techniques. Pour une collectivité, cela se traduit très concrètement au moment de choisir une solution de gestion de parc.
Le RGPD impose la conformité documentée de vos sous-traitants. Votre solution MDM ou UEM traite des données à caractère personnel, identités des élèves, usages des applications, données de connexion. Elle doit donc signer un contrat de sous-traitance conforme à l’article 28 du RGPD, précisant la nature des données, leur finalité, leur hébergement et les mesures de sécurité. Si votre éditeur MDM ne propose pas ce contrat spontanément, c’est un signal d’alerte.
NIS2 impose la sécurité de la chaîne d’approvisionnement. L’article 21 de la directive oblige les collectivités dans le périmètre à évaluer la sécurité de chaque prestataire numérique et à intégrer des clauses de cybersécurité dans leurs marchés. Votre solution de gestion de parc est directement concernée. Dans vos prochains appels d’offres, la conformité NIS2 de votre éditeur devra être justifiable.
Le Cloud Act américain est une exposition réelle. Toute solution MDM ou UEM proposée par une entreprise soumise au droit américain peut faire l’objet d’une demande d’accès aux données par les autorités américaines, quelle que soit la localisation des serveurs. Pour une collectivité qui gère des données d’élèves mineurs, cette exposition n’est pas acceptable.
La conséquence pratique est claire : le critère de souveraineté doit entrer dans votre grille de choix au même titre que les fonctionnalités techniques.
C’est le point aveugle de tous les comparatifs génériques : on parle de « souveraineté » comme d’un argument marketing, rarement comme d’un filtre appliqué aux acteurs réels. Or quand on passe en revue les principales solutions de gestion de parc du marché, le tri est net.
| Solution | Rattachement de l’éditeur | Souveraineté des données |
|---|---|---|
| Appaloosa | Français, hébergé sur SecNumCloud (ISO 27001) | ✅ Souverain |
| ManageEngine Endpoint Central | Éditeur hors UE, mais déploiement on-premise possible | ⚠️ Souverain uniquement en on-premise (données gardées en interne) |
| 42Gears SureMDM | Éditeur hors UE, on-premise possible | ⚠️ Idem : souverain seulement en on-premise |
| Microsoft Intune | Microsoft (États-Unis) | ❌ Exposé au Cloud Act |
| Jamf | États-Unis (parcs Apple) | ❌ Exposé au Cloud Act |
| Omnissa Workspace ONE | Issu de VMware (États-Unis) | ❌ Exposé au Cloud Act |
| Hexnode / NinjaOne | États-Unis | ❌ Exposé au Cloud Act |
| Samsung Knox | Samsung (Corée du Sud) | ❌ Législation extra-européenne |
Deux enseignements pour un DSI de collectivité :
Le piège de « l’Intune gratuit ». C’est le réflexe le plus courant : beaucoup de collectivités disposent déjà de licences Microsoft 365, dans lesquelles Intune est inclus. L’outil paraît donc « gratuit », et Microsoft y intègre d’ailleurs de plus en plus de fonctions au fil de ses évolutions de licences. Sauf que le coût nul à l’achat ne neutralise pas le risque juridique : ces données de gestion de parc (donc des données d’élèves) restent sous le régime du Cloud Act. Le vrai arbitrage n’est pas « gratuit contre payant », mais « commodité immédiate contre exposition durable ».
L’on-premise, une voie de souveraineté souvent oubliée. La souveraineté ne se limite pas à « hébergé en France par un éditeur français ». Certaines solutions proposent un déploiement on-premise, où les données ne quittent jamais le système d’information de la collectivité. C’est une option pertinente pour les organisations publiques qui veulent une maîtrise totale, à condition d’avoir les ressources IT pour l’exploiter.
C’est une solution UEM dont les données sont hébergées en France ou dans l’Union européenne, opérée par une entreprise non soumise au droit américain (Cloud Act), conforme RGPD avec un contrat de sous-traitance disponible, et idéalement en cours de qualification ou qualifiée SecNumCloud par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Ces quatre critères sont ceux qui protègent réellement votre collectivité, pas seulement sur le plan technique, mais sur le plan juridique et politique. Un élu qui doit justifier ses choix d’équipement devant une assemblée délibérante, ou un DSI qui fait face à un contrôle CNIL, a besoin de pouvoir documenter ces quatre points.
Sur le marché, les modèles de gestion les plus « sans friction » sont ceux où le logiciel est directement intégré au matériel : la gestion du parc est fournie avec l’appareil, sans décision d’achat séparée, sans console tierce à intégrer. Plusieurs grands constructeurs mondiaux ont bâti leur offre sur ce principe, et l’avantage pour un DSI est réel : une chaîne matériel-logiciel cohérente, un déploiement simplifié, moins d’abonnements à négocier.
Le point faible de ces offres, vu d’une collectivité française, tient en un mot : elles sont pilotées par des éditeurs extra-européens. On gagne en simplicité, on réimporte l’exposition juridique. Le modèle réellement intéressant pour un parc scolaire serait donc la même intégration matériel-logiciel, mais opérée par un constructeur français, avec un hébergement et un cadre juridique français. C’est cette combinaison, rare sur le marché, qui réconcilie enfin simplicité de gestion et souveraineté.
Vous gérez un parc homogène de tablettes Android de moins de 500 équipements, dans une collectivité sous le seuil NIS2. Un MDM souverain peut encore suffire, à condition que l’éditeur soit conforme RGPD, hébergé en France et en mesure de signer un DPA (Data Processing Agreement). Vérifiez néanmoins que la solution pourra évoluer vers l’UEM sans migration lourde le moment venu.
Vous gérez un parc mixte tablettes et ordinateurs, ou votre collectivité entre dans le périmètre NIS2. L’UEM est la bonne réponse. Il vous donne une console unique pour l’ensemble du parc, un niveau de reporting conforme aux exigences de traçabilité, et une base solide pour vos audits de sécurité.
Vous renouvelez un marché public d’équipement numérique scolaire. C’est le moment d’intégrer l’UEM souverain dans votre cahier des charges. Exiger un hébergement en France, une qualification ANSSI, et un contrat de sous-traitance RGPD dès l’appel d’offres vous protège juridiquement et vous évite une renégociation coûteuse dans deux ans.
La console unique simplifie le pilotage. Fini la jonction entre deux outils pour gérer les tablettes d’un côté et les PC de l’autre. Une vue unifiée sur l’état de conformité de l’ensemble du parc, une seule procédure de déploiement, une seule interface pour les mises à jour.
La traçabilité est intégrée. Les tableaux de bord natifs d’un UEM produisent le niveau de reporting attendu par l’ANSSI dans le cadre NIS2 : état des mises à jour, liste des appareils non conformes, journalisation des accès.
La conformité est défendable. En cas de contrôle CNIL ou d’audit NIS2, vous pouvez produire la documentation sur votre solution de gestion : contrat de sous-traitance, localisation des données, mesures de sécurité. C’est la différence entre une posture de conformité subie et une posture choisie.
Le MDM a été la bonne réponse au bon moment. Pour de nombreuses collectivités, il a permis de déployer rapidement un parc de tablettes scolaires avec un niveau de contrôle acceptable. Mais les parcs ont évolué, les obligations réglementaires ont monté, et les exigences de traçabilité imposées par NIS2 dépassent ce que la plupart des MDM peuvent produire.
Passer à un UEM souverain, c’est anticiper ces évolutions plutôt que les subir. C’est aussi intégrer dans vos marchés publics les critères de conformité qui vous protègeront lors des prochains audits et renouvellements. Et, comme nous l’avons vu, c’est faire de la souveraineté un vrai filtre de décision plutôt qu’un argument de façade.
Vous préférez échanger entre pairs sur ces sujets plutôt que lire un guide ? Le Club DSI UNOWHY réunit des directions des systèmes d’information de collectivités autour de ces questions de souveraineté et de conformité.
La plupart des MDM historiques ont été conçus pour les appareils mobiles et gèrent mal les postes Windows. Certains éditeurs ont élargi leur périmètre vers l'UEM, mais la profondeur de gestion reste souvent limitée. Vérifiez auprès de votre éditeur quelles versions d'OS Windows sont réellement prises en charge et avec quelles fonctionnalités.
Le MDM gère les appareils mobiles depuis une console centralisée. L'UEM étend cette gestion à tous les types de terminaux, tablettes, PC Windows, ordinateurs portables, depuis une interface unique. Pour une collectivité qui gère un parc mixte, l'UEM est la solution qui correspond à la réalité du terrain. La différence devient stratégique quand on y ajoute la dimension souveraineté : un UEM souverain hébergé en France protège les données des élèves des législations extraterritoriales.
Intune est un excellent UEM sur le plan technique, et il est effectivement inclus dans plusieurs licences Microsoft 365, ce qui le rend quasi « gratuit ». Mais l'éditeur est soumis au droit américain : vos données de gestion de parc (donc des données d'élèves) restent exposées au Cloud Act, quelle que soit la localisation des serveurs. Le coût nul à l'achat ne compense pas ce risque juridique. Pour une collectivité, c'est précisément l'arbitrage à poser explicitement.
Non. L'hébergement physique en France ne suffit pas. Une filiale française d'un groupe américain, ou un éditeur américain hébergeant chez un cloud provider français, reste soumis au Cloud Act. La souveraineté se juge sur le droit applicable à l'éditeur, pas seulement sur l'adresse du datacenter. C'est la nuance que la mention « serveurs en France » masque souvent.
Non directement. NIS2 n'impose pas de changer d'outil. Elle impose de s'assurer que votre solution de gestion de parc répond aux exigences de sécurité de la chaîne d'approvisionnement : contrat de sous-traitance, audit possible, hébergement conforme. Si votre MDM actuel ne peut pas répondre à ces exigences, c'est le bon signal pour évaluer une migration.
Si votre parc est mixte et que votre collectivité entre dans le périmètre NIS2, oui. Le surcoût d'un UEM souverain est généralement compensé par la réduction de la complexité de gestion et la conformité réglementaire intégrée. Le bon moment pour effectuer cette transition est le renouvellement de marché, pas en cours de contrat.
Trois questions suffisent pour un premier filtre : l'entreprise est-elle soumise au droit américain ou détenue par un groupe américain ? Les données sont-elles hébergées physiquement en France ? L'éditeur peut-il fournir un DPA conforme RGPD signé avant le démarrage du contrat ? Si l'une de ces réponses est floue ou négative, la souveraineté n'est pas garantie.