Klaerenn
⌘K
Klaerenn
Tribunes

L'affaire Polytechnique : quand l'ambiguïté des "données sensibles" fragilise notre souveraineté numérique

Polytechnique migre vers Microsoft 365. Sous tutelle du ministère des Armées. Au cœur du débat : qu'est-ce qu'une donnée sensible ? L'affaire révèle nos confusions collectives.
L'affaire Polytechnique : quand l'ambiguïté des "données sensibles" fragilise notre souveraineté numérique

L'audition récente de Laura Chaubard, directrice générale de l'École polytechnique, devant la commission d'enquête du Sénat illustre parfaitement le dilemme français face à la souveraineté numérique. La décision de migrer les services administratifs de cette grande école, sous tutelle du ministère des Armées, vers Microsoft 365 a déclenché une vive controverse.

Le nœud du problème : qu'est-ce qu'une "donnée sensible" ?

Au cœur de ce débat se trouve une question apparemment simple mais fondamentalement complexe : qu'est-ce qu'une donnée sensible dans une institution publique stratégique ?

  • L'approche pragmatique de la direction : Mme Chaubard défend une vision restrictive où seules les données des laboratoires classés en Zone à Régime Restrictif (ZRR) méritent une protection souveraine. Les données administratives seraient, selon elle, suffisamment protégées par les garanties contractuelles de Microsoft.
  • L'approche stratégique des sénateurs : Pour eux, toute donnée d'une école formant des ingénieurs pour la défense nationale présente potentiellement un intérêt d'intelligence économique et mérite protection.

Cette divergence n'est pas anodine. Elle révèle l'exploitation d'une zone grise réglementaire qui permet à chacun d'interpréter à sa convenance l'Instruction Interministérielle n° 901/SGDSN/ANSSI.

Une ambiguïté réglementaire problématique

Cette instruction définit les systèmes d'information sensibles comme ceux qui "traitent d'informations dont la divulgation à des personnes non autorisées, l'altération ou l'indisponibilité sont de nature à porter atteinte à la réalisation des objectifs des entités qui les mettent en œuvre."

Cette définition présente trois faiblesses majeures :

  1. Elle est fonctionnelle plutôt que catégorielle : pas de liste précise de types de données
  2. Elle comporte une dimension subjective : la notion d'atteinte aux objectifs est interprétable
  3. Elle ne hiérarchise pas les niveaux de sensibilité contrairement au régime du secret défense

Malgré les tentatives de clarification par la récente loi SREN (mai 2024), le flou persiste et permet aux institutions de minimiser leurs obligations en matière de protection des données.

Au-delà des définitions : un choix de société

Ce débat technique masque un choix fondamental pour notre pays : privilégions-nous le pragmatisme à court terme ou l'autonomie stratégique à long terme ?

L'argument principal de Mme Chaubard est l'absence d'alternatives souveraines offrant des fonctionnalités équivalentes à Microsoft 365. Cet argument, recevable sur le plan opérationnel immédiat, révèle le cercle vicieux dans lequel nous sommes enfermés :

  • Les institutions choisissent les solutions américaines pour leur efficacité
  • Ce choix affaiblit la demande pour des solutions souveraines
  • Sans demande forte, les solutions souveraines peinent à se développer
  • L'écart fonctionnel persiste, justifiant de nouveaux choix non-souverains

La réaction de Proton, offrant gratuitement ses services à Polytechnique suite à cette controverse, souligne l'existence d'alternatives européennes qui mériteraient d'être explorées.

Pour une clarification nécessaire

Cette controverse met en lumière l'urgence d'une refonte de notre cadre réglementaire avec :

  1. Une typologie claire des niveaux de sensibilité des données publiques
  2. Des critères objectifs d'évaluation des risques
  3. Une gouvernance transparente des choix technologiques stratégiques

Sans ces clarifications, nos ambitions de souveraineté numérique resteront des vœux pieux, systématiquement sacrifiées sur l'autel du pragmatisme de court terme et des contraintes budgétaires.

Une question de volonté politique

Le cas de l'École polytechnique est emblématique d'un problème plus large : malgré un arsenal législatif croissant (loi pour une République numérique, loi SREN...), la souveraineté numérique française continue de reculer dans les faits.

La responsabilité n'incombe pas uniquement aux dirigeants d'institutions, mais aussi aux décideurs politiques qui doivent :

  • Clarifier les obligations réglementaires
  • Financer adéquatement la transition numérique souveraine
  • Imposer une cohérence entre discours et pratiques

À l'heure où la France et l'Europe affirment vouloir reprendre le contrôle de leur destin numérique, l'affaire Polytechnique nous rappelle que le chemin vers la souveraineté passe d'abord par des définitions claires et une volonté politique sans faille.

Initialement publié sur LinkedIn le 2025-05-20

More like this

Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

On January 7, 2026, the United States withdrew from the Hybrid CoE, the Freedom Online Coalition and the GFCE. Three Western cyber forums abandoned. European dependencies remain intact.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.