Souveraineté des données : comment garder le contrôle sans ralentir les équipes ?
Dans le cadre de Think Education 2026, un webinaire, organisé en partenariat avec Efficy et consacré à la souveraineté des données, a permis à trois experts de partager les bonnes pratiques et les usages dans l’enseignement supérieur. François Stephan, directeur général de l’ECE École d’Ingénieurs et Group Chief AI Officer d’Omnes Education, Olivier Wong, vice-président Numérique à l’Université de Rennes, et Philippe Le Roux, responsable de comptes - expert ESR chez Efficy, ont débattu pour éclairer les enjeux associés aux données.
Le débat en Europe est désormais central : comment conserver une certaine indépendance face à des blocs concurrents, dotés d’un savoir technologique avancé et performant ? La question se pose quotidiennement dans l’ESR, au moment où la science et les données de la recherche s’imposent comme des atouts pour renforcer la souveraineté.
« La sécurité et la souveraineté sont des thèmes qui montent très fortement dans l’ESR. Gérer des relations avec les apprenants, les partenaires publics ou privés : tout cela engendre le traitement de données sensibles, qu’il s’agisse des informations concernant les étudiants, des données commerciales, voire des flux financiers. Mais aussi des informations liées à la recherche. Au regard de l’actualité, ces données doivent être protégées, si l’on observe simplement la multiplication des cyberattaques », introduit Philippe Le Roux.
Data Protection Officer
La notion de souveraineté est un élément à prendre en compte dans les universités. « Nous sommes assez proches de la vision de l’ANSSI, assez pragmatique. C’est une question de gestion des risques, notamment une histoire de maîtrise des dépendances et donc des fournisseurs extérieurs », indique de son côté Olivier Wong. « Aujourd’hui, il faut bâtir des relations de confiance avec les éditeurs de logiciels, avec qui nous devons trouver des compromis en nous appuyant sur des certifications comme SecNumCloud. Une chose est sûre : on ne peut pas avancer sans les autres pays. »
Dans les établissements, le sujet des données doit donc être pris très au sérieux. Chez Omnes, une structure centrale traite l’ensemble de ces enjeux afin d’homogénéiser les pratiques. Un DPO (Data Protection Officer) a par ailleurs été nommé à cet effet, avec pour rôle de s’assurer que les lois sont respectées. « C’est un sujet de gouvernance au-delà de la seule architecture technique », commente François Stephan.
Contamination de lois extraterritoriales
Face à ces enjeux, l’ESR a accéléré la prise en compte du sujet, notamment sous l’impulsion du RGPD. L’hébergement des données, dans le cloud ou sur site, fait désormais partie des questions structurantes. Certains acteurs décident même de créer leur propre cloud pour renforcer la sécurité. « Mais la question qui revient systématiquement est celle de la localisation des serveurs : en France, en Europe ou ailleurs ? L’opérateur est-il français ou étranger ? Est-il soumis au Patriot Act ? Le pays d’hébergement est fondamental ! », rappelle Philippe Le Roux.
Les processus d’instruction des projets numériques sont donc essentiels avant toute initiative : analyse technique et analyse fonctionnelle. « Pour les sujets d’hébergement de données et d’opérateurs, la notion de contamination par des lois extraterritoriales est effectivement très prégnante. En raison de ces lois, le risque d’ingérence est réel. Un acteur majeur américain ne pourra pas garantir une étanchéité totale », complète Olivier Wong.
« Depuis la crise sanitaire, nos choix se sont diversifiés pour les systèmes d’information. Pour les données de la recherche, nous privilégions par exemple des data centers régionalisés. L’arrivée de la loi européenne NIS 2 (Network and Information Security 2) nous poussera encore plus loin dans la démarche de sécurisation, en harmonisant le niveau de protection entre les États membres. »
Intelligence artificielle
La sécurité demeure un gage de souveraineté, selon François Stéphan. « Sans cela, nos SI ne sont pas protégés. Le problème est sans doute que nous sommes face à des problématiques de long terme, difficiles et coûteuses. »
Dans ce cadre, le schéma directeur imaginé est central pour sensibiliser l’ensemble des communautés et fixer des règles d’usage. « Une évolution notable, par exemple, consiste à sécuriser les applicatifs d’IA en favorisant des outils internes, quitte à avoir recours aux solutions existantes en mode protégé », souligne Philippe Le Roux.
Un changement de paradigme s’opère donc et nécessite des investissements importants et des budgets supplémentaires, mais également de nouvelles approches. La mutualisation entre les établissements publics constitue un levier efficace pour tenir compte des contraintes budgétaires. « Mais investir dans la sécurité est devenu fondamental », conclut François Stéphan.