Dépendance du ministère du Travail à Microsoft : l'April poursuit les demandes CADA
En novembre 2023, l'April a demandé communication au ministère du Travail des études conduites ainsi que d'autres documents liés, justifiant sa dérogation pour le recours à des solutions Microsoft, conformément à la circulaire dite « Cloud au centre »1. L'April a obtenu communication de ces documents administratifs… et a lancé d'autres demandes CADA2 pour comprendre et mettre en lumière ce qui se fait, ou non, pour dépasser l'état de dépendance aux solutions Microsoft.
Télécharger les documents (.zip)
Parmi ces documents, une note du 21 janvier 2020 précise, selon l'administration, le besoin de « transformation de l'environnement bureautique de travail ». L'option, qui s'appuie sur des solutions d'informatique à distance, dites cloud, y est privilégiée plutôt qu'une « remise à plat complète de l'infrastructure ».
Un autre document, de « pré-cadrage », met en balance plusieurs options, dont une basée sur des logiciels libres, et retient, in fine, celle de Microsoft. Le recours à des logiciels libres sera exclu, car, selon le document, cela « nécessit[ait] une collection de services hétérogènes » et qu'il n'y avait pas « d'usages en ligne possibles nativement ». Toujours selon ce document, les choix possibles se limitaient à Google ou Microsoft – ce qui pose déjà un sérieux problème –, la différence principale étant que là où le recours à l'offre Microsoft est présenté comme permettant de la « continuité », celle de Google apparaît comme une « rupture ».
En réalité, comme souvent, ces documents semblent confirmer l'impression générale d'une décision politique de migrer vers les solutions Cloud de Microsoft – dont les logiciels sont déjà omniprésents à l'intérieur du ministère – que des études formelles sont ensuite venues confirmer. Pourrait-il en être autrement sans une « remise à plat complète » … ?
La note du 21 janvier 2020 présente, en effet, des indices de cette dépendance à Microsoft et à ses pratiques commerciales. Une des justifications du recours aux solutions cloud est que « Microsoft indique ainsi que toutes les versions supérieures à Windows 2019 ne seront disponibles que dans le cloud et n'existeront plus en version déployable sur des infrastructures propres ». Par ailleurs, le même document porte le constat – aveu d'impuissance – qu'« au plan politique et symbolique, le choix d'un modèle cloud pourrait être perçu comme une perte de souveraineté numérique, puisque le ministère confierait à des entreprises américaines, GAFA, la gestion de sa bureautique. Ce point est surtout symbolique, car l'ensemble des postes de travail et de la messagerie sont déjà sous licence américaine et portés très majoritairement par des matériels chinois ou coréens. ». Outre l'absence du « M » à « GAFA »3, alors même que l'on parle de bureautique, cela témoigne de l'absence d'une réelle perspective et d'ambition politique à propos de ce sujet. De là à dire que le ministère aurait vu se fermer sur lui un « piège Microsoft »… 4
On notera que « la question de l’évaluation du risque de dépendance de l’administration publique aux logiciels et aux services de Microsoft » est présente dans le document de pré-cadrage, en tant que « point ouvert » à l'issue de ces travaux. Il est évoqué de prévoir une « solution alternative crédible avant le renouvellement du contrat avec Microsoft (ex. Google) » – remplacer une dépendance par une autre ? –, de prévoir des clauses de réversibilité ou encore de « solliciter l'avis consultatif des organismes interministériels ». Ces points ne sont pas développés. S'agirait-il de vœux pieux ?
Rappelons, fait important, que la dérogation ne peut subsister « au-delà de 12 mois après la date à laquelle une offre de cloud acceptable (c’est-à-dire dont les éventuels inconvénients sont supportables ou compensables) sera disponible en France ». De là, il convient de savoir si d'autres études ont été conduites depuis pour s'assurer que de telles solutions ne sont effectivement toujours pas disponibles. Question à laquelle l'administration nous a répondu qu'elle « ne dispose d’aucune autre étude similaire menée postérieurement », mais, en revanche, que la Direction du numérique du ministère « participe activement aux travaux des autorités publiques (ANSSI, DINUM,5 etc.) compétentes en matière de solutions cloud pour l’État et œuvrant pour à la mise à disposition d’offres de services cloud en conformité avec les exigences SecNumCloud ; à ce jour, ces travaux n’ont pas permis d’identifier d’offres alternatives répondant aux conditions précitées. »
Fort bien. Il n'en fallait pas plus à l'April pour exercer à nouveau son droit d'accès aux documents administratifs. Passant par la Direction interministérielle du numérique, nous avons formulé une nouvelle demande de communication portant sur :
- tout document actant la conduite de ces travaux, et/ou les formalisant sous forme de groupe de travail ou autre mode d'organisation ;
- les comptes rendus des réunions relatives à « la mise à disposition d’offres de services cloud en conformité avec les exigences SecNumCloud » et à la recherche « d'offres alternatives » à celle de Microsoft. Ainsi que les correspondances relatives à la préparation de ces réunions.
Nous verrons alors dans quelle mesure les logiciels libres sont pris en compte dans ces travaux. Analyser, sérieusement, l'offre en logiciels libres est évidemment une étape essentielle. De même que faire un état des lieux des dépenses logicielles par administration6. Mais, dans ces situations de dépendance, malheureusement récurrentes, l'État ne peut pas se contenter d'être un observateur et un consommateur passif de solutions logicielles, y compris libres. Ce n'est qu'en mettant en œuvre une politique publique ambitieuse, passant par une priorité au logiciel libre et un soutien par l'investissement aux communautés et tissus économiques qui les font vivre, que l'on pourra répondre aux enjeux.
- 1. Circulaire n° 6282-SG du 5 juillet 2021
- 2. Les demande CADA sont des demandes de communication en vertu du droit d'accès au document administratif. Pour plus d'information vous pouvez consulter le site associatif Ma Dada, dont le délégué général, Xavier Berne, propose des chroniques dans l'émission Libre à vous !
- 3. L'acronyme GAFAM désigne les entreprises Google, Amazon, Facebook, Apple et Microsoft
- 4. Un récent rapport parlementaire de janvier 2024 sur « le défi de la cybersécurité » évoque ainsi un « piège Microsoft », du fait de ses pratiques commerciales. Lire le communiqué de l'April
- 5. Agence nationale de la sécurité des systèmes d’information et Direction interministérielle du numérique
- 6. Dans son communiqué sur le « piège Microsoft », l'April appelle les parlementaires à poser des questions écrites en ce sens aux différents ministères