Votre MDM suffit-il encore ? MDM, UEM et souveraineté : le guide de choix pour les collectivités
C’est l’argument que l’on entend le plus souvent lors d’un appel d’offres numérique scolaire : « nos serveurs sont hébergés en France » ou « nos datacenters sont en Europe ». Pour beaucoup d’élus et de DSI de collectivité, cette formule rassure. Elle donne l’impression que les données des élèves sont protégées, conformes au RGPD, à l’abri des regards indiscrets.
Cette impression est fausse. Et elle expose chaque année des milliers de collectivités françaises à des risques juridiques réels, sans qu’elles en soient conscientes.
La localisation physique des serveurs est un critère nécessaire, mais insuffisant. Ce qui détermine réellement la protection des données scolaires, c’est le cadre juridique auquel est soumise l’entreprise qui les héberge, pas l’adresse de ses datacenters. Cet article explique pourquoi, et ce que vous devez vérifier à la place.
Imaginez un prestataire numérique scolaire qui héberge ses données dans un datacenter situé à Lyon. Ses serveurs sont physiquement en France, ses contrats sont rédigés en français, son site web affiche fièrement « hébergement souverain ». Mais si cette entreprise est une filiale d’un groupe américain, ou si elle est cotée sur un marché boursier américain, elle reste soumise au droit américain, quel que soit l’emplacement de ses serveurs.
C’est précisément le mécanisme du Cloud Act (Clarifying Lawful Overseas Use of Data Act), adopté aux États-Unis en 2018. Cette loi autorise les autorités américaines à exiger d’une entreprise soumise au droit américain qu’elle leur transmette des données stockées sur ses serveurs, y compris des serveurs situés en France ou dans l’Union européenne. Et ce, sans passer par une procédure de coopération judiciaire internationale, et sans en informer les propriétaires des données.
Concrètement : les données de vos élèves hébergées chez une filiale française d’un géant américain peuvent légalement être accessibles aux autorités américaines, même si les serveurs sont à Lyon ou Bordeaux.
Ce n’est pas un risque théorique. La CNIL a déjà mis en demeure plusieurs académies et établissements scolaires pour l’utilisation de Google Workspace et Microsoft 365, précisément en raison de l’exposition au Cloud Act. Google LLC et Microsoft Corporation sont des entreprises américaines, leurs filiales européennes restent soumises au droit américain.
Plusieurs académies ont d’ailleurs basculé vers des alternatives françaises ou européennes ces dernières années : Lyon, Toulouse, Bordeaux ont engagé des migrations partielles ou totales de leurs ENT (Espaces numériques de travail) vers des solutions souveraines, en partie pour répondre à cette problématique.
La CNIL intensifie par ailleurs ses contrôles dans le secteur éducatif depuis le renouvellement de son partenariat avec le ministère de l’Éducation nationale en décembre 2025. Les collectivités qui équipent leurs établissements avec des solutions exposées au Cloud Act sont dans le viseur.
Le RGPD impose que les données personnelles des citoyens européens soient protégées, y compris contre les accès par des autorités de pays tiers. Son article 48 stipule qu’aucun transfert de données vers un pays tiers ne peut avoir lieu sur simple demande d’une autorité étrangère, sans base juridique reconnue par le droit européen.
Le Cloud Act, lui, permet exactement ce que le RGPD interdit : un accès aux données sur demande des autorités américaines, sans information préalable des personnes concernées ni recours à une procédure de coopération judiciaire internationale.
Ces deux textes sont structurellement incompatibles. Un prestataire soumis au Cloud Act ne peut pas garantir une conformité complète au RGPD pour les données qu’il héberge, même si ses serveurs sont en Europe. C’est ce que la Cour de justice de l’Union européenne a confirmé dans l’arrêt Schrems II en 2020, qui a invalidé le Privacy Shield permettant les transferts de données UE-États-Unis.
Pour une collectivité qui gère des données d’élèves mineurs, cette incompatibilité est un risque juridique et politique concret.
Ces deux notions ne sont pas synonymes. Un hébergement en France signifie simplement que les serveurs physiques sont localisés sur le territoire français. Un hébergement souverain implique en plus que l’entreprise hébergeuse n’est pas soumise à des législations extraterritoriales, notamment le Cloud Act américain.
Pour qu’un hébergement soit réellement souverain au sens où une collectivité peut s’en prévaloir, trois conditions doivent être réunies simultanément.
L’entreprise doit être de droit français ou européen, sans détention majoritaire par un groupe américain ou soumis au droit américain. Une filiale française d’Amazon (AWS), de Microsoft (Azure) ou de Google (GCP) ne remplit pas ce critère, même si ses datacenters sont en France.
Les données doivent être hébergées physiquement en France ou dans l’UE. Ce critère seul est insuffisant, mais il reste nécessaire. Des données hébergées hors UE par une entreprise européenne restent exposées aux législations locales.
Le prestataire doit être qualifié ou en cours de qualification SecNumCloud par l’ANSSI. SecNumCloud est le référentiel de qualification de l’Agence nationale de la sécurité des systèmes d’information qui certifie qu’un prestataire cloud répond à un niveau élevé de sécurité et garantit l’immunité aux législations extraterritoriales. C’est aujourd’hui le seul label français qui donne une garantie réelle sur ce point.
SecNumCloud n’est pas un simple label marketing. C’est un référentiel technique exigeant, audité annuellement par l’ANSSI, qui impose notamment que le prestataire ne soit pas soumis à des législations extraterritoriales susceptibles d’entrer en conflit avec le droit européen.
Concrètement, un prestataire qualifié SecNumCloud vous garantit que les autorités américaines ne peuvent pas légalement accéder à vos données via une demande directe au prestataire. C’est la seule garantie documentée et vérifiable sur ce point en France aujourd’hui.
La loi SREN du 21 mai 2024 a rendu obligatoire le recours à des prestataires qualifiés SecNumCloud pour les données sensibles des administrations d’État. Une proposition de loi en cours d’examen prévoit d’étendre cette obligation aux collectivités territoriales de plus de 30 000 habitants. Même sans obligation formelle aujourd’hui, anticiper ce critère dans vos marchés publics d’équipement scolaire est une décision de gestion du risque rationnelle.
Quand un prestataire vous dit « nos données sont hébergées en France », voici les quatre questions à poser systématiquement avant de signer.
Votre entreprise est-elle détenue par un groupe américain ou soumise au droit américain ? Une filiale française d’un groupe américain reste soumise au Cloud Act. Demandez une attestation sur la structure capitalistique et la juridiction applicable.
Disposez-vous d’un contrat de sous-traitance RGPD (DPA) prêt à signer ? Ce contrat, prévu à l’article 28 du RGPD, doit préciser la nature des données traitées, leur localisation, leur durée de conservation et les mesures de sécurité. Un prestataire qui ne le propose pas spontanément n’est pas en mesure de vous garantir la conformité.
Votre solution est-elle qualifiée SecNumCloud ou en cours de qualification ? C’est la vérification la plus directe sur la souveraineté réelle. La liste des prestataires qualifiés est publique sur le site de l’ANSSI.
Où sont physiquement localisés vos serveurs et pouvez-vous le garantir contractuellement ? La localisation seule ne suffit pas, mais elle reste nécessaire. Cette garantie doit figurer dans le contrat, pas seulement dans une fiche commerciale.
« Nos serveurs sont en France » est une condition nécessaire mais loin d’être suffisante pour garantir la protection des données scolaires de votre collectivité. Ce qui compte, c’est le cadre juridique auquel est soumise l’entreprise qui héberge ces données, et la seule garantie documentée et vérifiable sur ce point en France reste la qualification SecNumCloud de l’ANSSI.
Face à l’intensification des contrôles CNIL dans le secteur éducatif et à l’évolution du cadre réglementaire, les collectivités qui anticipent ces exigences dans leurs marchés publics d’équipement scolaire se donnent une longueur d’avance et évitent de devoir renégocier dans l’urgence.
Non. La localisation géographique des serveurs ne détermine pas le droit applicable à l'entreprise qui les opère. Si cette entreprise est soumise au droit américain, parce qu'elle est américaine ou filiale d'un groupe américain, les autorités américaines peuvent légalement demander accès aux données, quel que soit l'emplacement des serveurs.
Ces solutions font l'objet d'une vigilance accrue de la CNIL et ont donné lieu à des mises en demeure d'académies françaises. Google LLC et Microsoft Corporation sont des entreprises américaines soumises au Cloud Act. Leur utilisation dans un contexte scolaire public présente des risques de conformité RGPD réels, même avec des serveurs européens. Plusieurs académies ont engagé des migrations vers des alternatives souveraines pour cette raison.
Pas encore pour toutes les collectivités. La loi SREN impose aujourd'hui SecNumCloud pour les données sensibles des administrations d'État. Une proposition de loi en cours d'examen prévoit d'étendre cette obligation aux collectivités de plus de 30 000 habitants. Anticiper ce critère dans les marchés actuels est recommandé pour éviter une migration forcée.
La norme ISO 27001 certifie le système de management de la sécurité de l'information d'une entreprise. Elle est utile mais ne garantit pas l'immunité aux législations extraterritoriales. SecNumCloud va plus loin : il inclut une vérification explicite que le prestataire n'est pas soumis à des lois étrangères permettant un accès non consenti aux données. Pour une collectivité, SecNumCloud est donc le critère pertinent sur la souveraineté.
Selon le vademecum publié par l'État en 2026, les notes des élèves ne constituent pas des données sensibles au sens de la loi SREN. Elles restent néanmoins soumises au RGPD, qui impose des obligations précises sur leur collecte, hébergement et durée de conservation. Les données d'identité des élèves mineurs, elles, bénéficient d'une protection renforcée.