Vendredi 13 juin 2025 au CNC, les agents comptables de la fonction publique ont abordé les problèmes liés à la sécurité et confidentialité des données personnelles et fiscales. Si les normes du « règlement général de protection des données » (RGPD) ont été avancées, les intervenants ont fini par avouer que celles-ci ne pouvaient être appliquées « qu’au niveau européen ». Or, le 6 juin 2025 une enquête du Sénat indique ceci :
« M. Dany Wattebled, sénateur et rapporteur : Le Contrôleur européen de la protection des données (EDPS) a constaté en 2024 que Microsoft 365 violait le règlement (UE) 2018/1725 en transférant des données hors de l’Union européenne (UE) sans garanties adéquates. Comment Microsoft France peut-il assurer à nos administrations qui achètent des services via l’Ugap que leurs données personnelles seront protégées ?
M. Anton Carniaux (Microsoft) : Le texte auquel vous faites référence n’est pas le règlement général sur la protection des données (RGPD). (…)
M. Dany Wattebled : Vous avez indiqué que Microsoft s’était engagée juridiquement contre toute demande inappropriée relative aux données européennes. Dans le cas d’une injonction américaine, qui serait fondée en droit, seriez-vous tenu de transmettre des données ?
M. Anton Carniaux : C’est la conclusion de ce processus que je vous ai décrit. Lorsque nous sommes obligés de les donner, nous les donnons. Mais aucune des entreprises européennes qui figurent parmi nos clients n’a été concernée par un tel cas.
M. Dany Wattebled : Monsieur Carniaux, en tant que directeur des affaires publiques et juridiques, vous représentez Microsoft France auprès des décideurs publics. Pouvez-vous garantir devant notre commission, sous serment, que les données des citoyens français confiées à Microsoft via l’Ugap ne seront jamais transmises, à la suite d’une injonction du gouvernement américain, sans l’accord explicite des autorités françaises ?
M. Anton Carniaux : Non, je ne peux pas le garantir, mais, encore une fois, cela ne s’est encore jamais produit.»
Malgré ces dangers d’ingérence évidents, la commande publique du CNC a un recours aveugle à Microsoft, c’est-à-dire à ceux qui mettent le plus en péril la sécurité des administrations françaises et de nos concitoyens. Cette situation est grave, des effets délétères sont déjà effectifs avec des dépenses publiques qui montent en flèche à cause de ces marchés pillards. Nous ne pouvons donc pas en plus accepter le non-remplacement du poste de responsable de la sécurité informatique au CNC, et nous suffire là-dessus des répliques moutonnières de notre administration qui le justifie ainsi : « cela se fait ailleurs ». Sur ce point, voici ce qui est constaté :
« … La police nationale a en effet fait le choix de Microsoft, qui proposait un prix d’appel inférieur à Linux. Résultat, avec le passage à Windows 11, la police nationale doit remplacer l’ensemble de son parc informatique, même les appareils fonctionnant parfaitement, avec des coûts supplémentaires importants qui rendent le choix de Microsoft finalement plus coûteux que celui qu’a fait la gendarmerie en optant pour Linux. « Les firmes américaines démarrent leurs offres plus bas, mais elles génèrent des surcoûts une fois que vous êtes captifs de leurs offres. En outre, niveau sécurité, tout le monde nous dit que la communauté de développeurs autour de Linux est bien plus performante », analyse Dany Wattebled.
Au-delà du prix et de l’efficacité du service, le recours aux géants américains pour des marchés publics pose évidemment un problème de sécurité. Les parlementaires citent à ce titre l’exemple dorénavant bien connu de la plateforme de stockage des données de santé (ancien Health Data Hub) pour leur utilisation dans la recherche. « Le choix de confier l’hébergement de cette plateforme à Microsoft – société exposée aux effets des lois extraterritoriales américaines pouvant conduire à des fuites de données, avec sa solution Azure – et non à un hébergeur souverain, constitue une erreur caractérisée, si ce n’est une faute politique », fustige le rapport de la commission d’enquête sénatoriale. « Compte tenu de l’extraterritorialité du droit américain, le gouvernement américain peut exiger ces données sans en informer leur propriétaire. Nous avons auditionné le directeur de Microsoft France qui n’a pas pu nous garantir que ces données ne pouvaient pas être transmises sans accord de la France », précise le rapporteur. »
Microsoft aussi se fait pirater, et pourtant le CNC continue de se faire saigner et désosser par l’installation massive de leurs outils coûteux et ouvertement hostiles à la sécurité nationale – comme les aspirateurs à données Chatbots IA. Nous redemandons que s’arrête cette politique suicidaire qui menace nos missions de Service public. Ainsi que nous l’avons rappelé à plusieurs reprises à l’administration, le CNC doit réinternaliser toutes ces missions à tous les niveaux conformément aux directives ministérielles .
Imprimer cet article