L’École française au défi des « géants du numérique » – J.-F. Cerisier
Version longue de l’article paru dans le numéro 180 (2023/4) de la revue Administration & Éducation, p. 71-78
Les institutions éducatives au défi des GAFAM, des NATU et des BATX
Jean-François CERISIER
Les données précises manquent mais la réalité est là ! L’utilisation à des fins professionnelles que les personnels et les usagers de l’École font des services proposés par les plus grandes entreprises mondiales du numérique est massive. Elle l’est depuis longtemps et ne faiblit pas. Le plus souvent, à partir de comptes privés et gratuits qui échappent à l’emprise réglementaire de l’institution. Selon les pays et leurs politiques éducatives, les enjeux soulevés par ces pratiques font débat ou restent invisibles. Cela se traduit ou non par des offres de service alternatives et par l’édiction de dispositions déontologiques plus ou moins contraignantes. La situation française actuelle reste pour le moins contrastée avec l’attitude ambigüe des pouvoirs publics. Si ceux-ci courtisent depuis toujours ces entreprises étrangères à taille planétaire en espérant bénéficier d’un effet d’entraînement économique, ils dénoncent dans le même temps les risques éthiques, économiques et démocratiques que la situation monopolistique de ces entreprises fait craindre. L’accueil d’Elon Musk (Tesla, SpaceX, Twitter) à l’Élysée par le président de la République le 16 juin 2023 à Paris à l’occasion du salon VivaTech[1] et les interventions d’Emmanuel Macron le 30 juin 2023 auprès des plateformes de réseaux socionumériques TikTok et Snapchat afin qu’elles retirent les contenus « les plus sensibles » lors d’émeutes urbaines attestent cette tension.
Au-delà des considérations macroéconomiques et géopolitiques, les arguments des tenants de l’utilisation de ces services et leurs détracteurs s’opposent, aussi bien sur les plans fonctionnel, logistique ou éthique. La plupart des observateurs[2] soulignent l’excellence des services proposés, pensent impossible d’entraver des dynamiques d’usages trop fortement ancrées dans l’expérience numérique des utilisateurs et n’imaginent aucune alternative crédible. D’autres dénoncent le risque d’aliénation du secteur de l’éducation aux intérêts des entreprises et de leurs actionnaires et l’acceptation de dérives potentiellement néolibérales voire illibérales. Parfois, ce sont les mêmes !
Concrètement, la politique des institutions éducatives françaises reste peu lisible et peut sembler versatile. L’État adapte périodiquement son discours – et ses actes dans une moindre mesure – à des considérations qui mêlent étroitement des préoccupations légitimes de protection des élèves et de l’ensemble des acteurs de l’éducation à des options idéologiques, sans jamais prendre en compte ou presque les enjeux pédagogiques sous-jacents. Les collectivités, en première ligne quand il s’agit de pourvoir aux besoins en équipements des établissements scolaires, peuvent adopter des positions différentes de celles de l’État et les divergences entre collectivités ne manquent pas. Si les uns comme les autres n’affichent pas de ligne politique claire, ils ne semblent pas non plus disposer de stratégies de régulation efficaces. Ni par l’offre, en proposant une gamme de services de substitution convaincante portée par la puissance publique, ni en accompagnant efficacement une réflexion collective et collégiale qui conduirait à desmodifications comportementales des personnels, ni même par la contrainte normative règlementaire.
Pour autant, l’actualité ne cesse de souligner l’importance des enjeux liés à ces entreprises et aux services qu’elles proposent, enjeux qu’il convient d’identifier afin de se donner la possibilité d’y faire face, choisir plutôt que de subir. Cet article explore les relations complexes et tumultueuses des institutions éducatives avec les plus grandes entreprises mondiales du numérique et leur offre de service éminemment attractive pour tous les personnels de l’Éducation nationale et ses élèves.
En grande partie rédigé en juin 2023, cet article a fait l’objet d’une révision notable en juillet 2023, à la suite d’une décision prise par la Commission européenne le 10 juillet 2023 sur le transfert des données depuis les pays de l’Union européenne (UE) vers les États-Unis d’Amérique (USA) qui ouvre la voie à l’utilisation légale des offres de services numériques des entreprises américaines dans les établissements scolaires européens. Cette décision communautaire reconnaît que les modifications apportées récemment par les USA à leur législation nationale permet aux entreprises américaines de respecter les exigences européennes en matière de protection des données personnelles, ce que contestent déjà la plupart des agences nationales européennes et des organisations non gouvernementales engagées dans la lutte pour la protection des données personnelles.
Cartographie des plus grandes entreprises et des enjeux qu’elles soulèvent pour l’éducation ?
Des institutions éducatives en prise directe avec l’offre des GAFAM
On connait les efforts séculaires qui transcendent les régimes politiques pour maintenir une forme scolaire infrangible, destinée à préserver au mieux les institutions éducatives des soubresauts sociétaux (Maulini et Perrenoud, 2005, p.165). Pour autant, celles-ci ne peuvent faire abstraction du fait social et culturel total que représente le numérique. Bien au-delà des techniques elles-mêmes, leur utilisation massive et leur disponibilité permanente induisent des transformations de nos représentations, de nos connaissances, de nos valeurs et de nos comportements (Cerisier, 2011). Il en va ainsi de l’offre de service des GAFAM[3] qui percole l’ensemble des structures sociales et des institutions dont celles du champ de l’éducation. GAFAM dont l’acronyme a fait florès et suscite autant de fascination que de rejet. Ensemble de cinq entreprises concurrentes dont la somme des chiffres d’affaires annuels dépasse largement le PIB d’un pays comme le Japon, 3e pays le plus riche du monde en 2022 selon le FMI. Et a fortiori celui de la France ! Entreprises dont le caractère monopolistique, l’emprise internationale réticulaire, les « petits arrangements » avec les lois de certains des pays où elles sont déployées et les stratégies d’optimisation (voire d’évasion) fiscale incarnent les processus de globalisation économique dans leur acception la plus radicale (Goffi et Colin, 2020), mais dont l’influence s’étend à des transformations d’ordres politique et culturel. Bien des transformations récentes des normes sociales qui construisent notre identité, notre professionnalité et l’architecture sociale de notre pays sont imputables à la transition numérique de notre société et implique les services des GAFAM comme d’autres entreprises particulièrement influentes du domaine. Les exemples sont nombreux et l’on peut s’arrêter ici, à titre d’illustration, sur l’utilisation du moteur de recherche de Google qui concentre aujourd’hui 91,5 % des requêtes effectuées en France avec des algorithmes et un corpus de référence dont l’empreinte sur notre rapport à l’information ne peut être que déterminante.
D’autres entreprises influentes mais méconnues du grand public
La représentation sociale de l’industrie numérique est centrée sur les GAFAM. Ce faisant, elle focalise l’attention sur une situation déjà ancienne (plus d’un quart de siècle) qui a pourtant notablement évolué au cours des dernières années. Bien d’autres entreprises, de taille à peine plus modeste que celle des GAFAM, parfois créées dans la même période, se sont elles aussi immiscées au cœur de nos vies personnelles et professionnelles, le plus souvent en toute discrétion. Si l’on se réfère uniquement aux entreprises de la Silicon Valley, chacune des 100 plus grandes entreprises du numérique y emploient plus de 10 000 personnes et il s’y trouve plus de 10 000 entreprises, toutes tailles confondues, dans ce secteur d’activité. Pour illustrer cet arrière-plan, pourtant si influent, on peut citer l’exemple de TMSC[4], entreprise taiwanaise, pratiquement inconnue du grand public et pourtant leader mondial de la fabrication des semi-conducteurs qui équipent une grande partie des terminaux informatiques de nos établissements scolaires et universitaires (entre autres), quels qu’en soient les fabricants. On peut aussi évoquer CISCO, entreprise américaine de premier plan, qui fournit une grande partie des équipements nécessaires au fonctionnement des réseaux et de la téléphonie des mêmes établissements. Entreprises de première grandeur mais de deuxième ligne, au sens où elles sont contributrices à une offre de services portée par d’autres. Reprenant l’exemple du moteur de recherche de Google, qui connait le rôle de TMSC qui a fabriqué les puces qui équipent les IPad confiés à des élèves, quand toutes et tous savent qu’ils utilisent un terminal Apple ? Qui a repéré le rôle de CISCO dans une connectivité visiblement établie par l’opérateur public national RENATER avec un réseau local opéré par la collectivité territoriale ? Pour autant, ces deux exemples reposent sur la mobilisation de techniques critiques en termes de collecte, traitement, transport et stockage de données potentiellement personnelles et sensibles.
Les NATU et le paradigme de plateformisation des services numériques
Plus récemment, de nouveaux acteurs majeurs du numérique sont apparus dont l’activité repose sur la dématérialisation des relations entre fournisseurs et clients. Nouveau paradigme entrepreneurial, la plateformisation des services et la désintermédiation qu’elle opère ont installé un nouveau modèle économique qui change profondément les modes de production, de distribution et bouleversent les comportements. La plateformisation qui gagne tous les secteurs d’activité – dont l’éducation – parachève le passage d’une économie de stock à une économie de flux, d’une économie de biens à une économie de services, et transforme en conséquence les comportements individuels et collectifs. À l’instar des GAFAM, on évoque les NATU[5] pour désigner les cinq entreprises américaines les plus importantes et les plus connues du domaine. Le modèle de plateformisation dont ces entreprises sont porteuses questionne fortement les institutions éducatives. Ainsi l’orientation et la sélection des lycéens pour leur entrée dans l’enseignement supérieur (ParcourSup), celle pour l’entrée en master (MonMaster), le déploiement de parcours de formation continue des enseignants à distance (M@gistère, CanoTech) ou le recrutement d’enseignants contractuels (PARC, ACLOE…) sont autant de nouveaux dispositifs qui répondent à des logiques de plateformisation avec leur dimension technique mais aussi les transformations qu’elles impriment aux modes d’organisation et de management. Bruno Studer, alors président de la commission de l’Éducation à l’Assemblée nationale n’appelait-il pas de ses vœux en 2018 la création d’un « Netflix éducatif » ? Proposition reprise en 2020 par Stanislas Dehaene, alors président du Conseil scientifique de l’Éducation nationale lors des États généraux du numérique dans l’éducation organisés comme un retour d’expérience à l’issue des premiers confinements sanitaires dus à la pandémie de Covid.
L’irruption des BATX : géopolitique et soft power des grandes entreprises du numérique
L’autre illusion induite par une focalisation excessive de l’attention sur les GAFAM est géopolitique. Le mythe libertarien de la Silicon valley avec son brouillage idéologique a vécu. Les GAFAM ne sont pas porteuses de l’utopie californienne des débuts d’Internet analysée par Flichy (2001) mais seulement pragmatiques et opportunistes, comme le montre Alexandre (2023). Le rôle historique et la réussite mondiale des GAFAM sont bien réels mais une autre région du monde fait jeu égal avec les États-Unis d’Amérique. Plusieurs pays d’Asie concentrent une partie des principales entreprises du numérique, à commencer par la Chine. Cantonnée à la production industrielle de masse à bas coût des produits de sociétés souvent étatsuniennes, la Chine héberge aujourd’hui plusieurs des toutes premières entreprises mondiales du secteur. Depuis 2008, l’acronyme BATX[6] s’est installé aux côtés des GAFAM pour les désigner. L’ampleur de son marché intérieur, l’élévation du niveau moyen de formation de sa population, son protectionnisme économique (l’usage de la plupart des services des GAFAM est interdit en Chine) et l’autoritarisme du régime politique expliquent en grande partie la croissance rapide de ces entreprises qui s’internationalisent fortement aujourd’hui après une phase de conquête du marché intérieur. C’est ainsi, par exemple, que la popularité chez les jeunes français et françaises de la plateforme de réseau socionumérique chinoise TikTok (ByteDance) rivalise voire dépasse celle de l’américaine Snapchat (Snap Inc). Au-delà de la compétition que se livrent les deux premières économies du monde, ce sont deux idéologies et deux systèmes politiques qui s’affrontent et recourent au déploiement de services numériques comme vecteur d’influence. Jamais le « soft power » n’a aussi bien porté son nom !
Utiliser un service numérique, une décision soumise à un conflit de rationalités
Différents modèles existent pour expliquer les décisions d’usage d’un artefact. Ils peuvent être mobilisés pour expliquer l’engouement de tous à l’égard des grands services numériques et en particulier celui des enseignants. L’un des modèles les plus cités est le Technologie Acceptance Model (TAM), modèle proposé par Davis (1993) avec différentes variantes plus récentes. Selon le TAM, la décision d’utiliser un artefact est un comportement qui dépend à la fois de la perception que l’utilisateur potentiel a de l’utilité d’y recourir (utilité perçue) et de la perception qu’il a de sa capacité à le faire (utilisabilité perçue). D’autres modèles plus récents nuancent et complètent le TAM mais celui-ci permet d’interroger les deux catégories de déterminants, conscientisées ou non, relatives aux choix des utilisateurs. On peut ainsi assimiler schématiquement le modèle TAM à un quotient profit/coût, où les profits s’expriment en termes de promesses quant au travail des enseignants et à la qualité de l’expérience d’apprentissage des élèves, et où les coûts sont multidimensionnels et intègrent les contraintes économiques, l’effort d’apprentissage, les risques juridiques, éthiques, citoyens ou politiques, les difficultés logistiques, les impacts environnementaux… Si certains de ces profits et coûts peuvent être quantifiés, d’autres non ou très difficilement. Les indicateurs et métriques manquent souvent pour échapper à des raisonnements qui, finalement, ne peuvent s’appuyer que sur des perceptions et des représentations assez subjectives, peu ou mal informées. Comment décider par exemple, toutes choses égales par ailleurs, si un risque de fuite de données personnelles concernant des apprenants (identité et adresse électronique par exemple) doit interdire l’utilisation d’un service numérique, quand celle-ci permettrait d’améliorer notablement l’efficacité du dispositif de formation considéré ? Réciproquement, quelle opportunité pédagogique serait suffisamment probante pour justifier ce risque ? La question n’est pas uniquement rhétorique, même si elle alimente bien des discussions et des discours. Elle structure aussi des choix effectifs ; elle modèle des comportements, autorise ou interdit des pratiques bien concrètes. Ce qui s’apparente à un conflit de rationalité qui opposerait une forme de surdétermination des promesses à une surdétermination des risques pour opérer des décisions d’utilisation, peut être analysé selon deux dimensions : externe et collective d’une part, interne et individuelle d’autre part. Le conflit de rationalité externe est manifeste, la perception des profits et des coûts étant différente selon les acteurs de l’éducation et les catégories d’acteurs auxquelles ils sont affiliés. L’intérêt fonctionnel qu’un enseignant est susceptible d’attribuer à tel ou tel service pourra par exemple être survalorisé, en raison des exigences propres à l’exercice de ses fonctions, le conduisant parfois à des pratiques induisant des risques. Inversement, une décision de l’État, fondée en premier lieu sur la prévention de certains risques, pourrait conduire à renoncer à des services potentiellement très utiles. Le conflit interne de rationalité, quant à lui, illustre les limites du principe de rationalité des décisions. Des travaux de recherche ont montré que les décisions complexes (et c’est le cas ici), qui impliquent la prise en compte de nombreux facteurs relèvent rarement d’une rationalité calculatoire (March, 1978) qui s’appuierait sur une évaluation rigoureuse de tous les déterminants de la situation. Au contraire, les décisions sont le plus souvent prises selon une rationalité procédurale limitée qui privilégie à chaque étape les choix qui ont déjà donné satisfaction au décideur dans des situations voisines antérieures ou dont il a connaissance. Ainsi, les utilisations jugées efficaces de certains services numériques dans la vie privée des acteurs de l’éducation (enseignantes, enseignants, cadres institutionnels et politiques) expliqueraient-elles très largement leur plébiscite dans le cadre professionnel.
Ce report d’une rationalité calculatoire idéale vers une rationalité procédurale est accentué par une série de contraintes identifiées par Weil (2008) dans d’autres contexte mais qui peuvent s’appliquer à celui de l’éducation. Explicatives, elles constituent aussi des points d’appui potentiels pour engager une réflexion sur la place à donner aux services des GAFAM et autres « géants du numérique » dans l’éducation et la formation :
- Le coût de l’information.
L’offre de services est foisonnante. Les acteurs de l’éducation et de la formation, et en particulier les enseignants et les formateurs, ne disposent pas du temps nécessaire à son exploration efficace ; - Les limites de l’espace d’exploration
Les contraintes temporelles font qu’ils ne peuvent que s’orienter vers les services les plus connus et les plus facilement accessibles, ceux promus par l’institution mais aussi et surtout ceux dont le capital de notoriété percole leur espace social ; - Les biais informationnels
Les informations disponibles défendent souvent les intérêts de ceux qui les publient et il n’est pas toujours aisé d’échapper aux biais qu’elles véhiculent. Ainsi, la communication des fournisseurs de services vantent-ils naturellement les qualités de leur offre et en minore les risques ; - La péremption rapide de l’information
Fonctionnalités, périmètres des offres, normes, règlementations, stratégies politiques et institutionnelles, tous ces points de repère évoluent rapidement, bien au-delà de la capacité d’appréhension des acteurs de l’éducation dont l’attention professionnelle est centrée sur d’autres problématiques plus prégnantes ; - La limitation des capacités cognitives
Sauf exception, les acteurs de l’éducation et de la formation ne sont pas des spécialistes de ces questions. Leurs connaissances et compétences sont limitées et les conduisent à se construire une représentation réduite et simplifiée des enjeux ; - Les contraintes temporelles
Souvent, les choix de services numériques, qu’ils nécessitent ou pas l’acquisition d’une licence d’utilisation, s’inscrivent dans des contraintes temporelles exigeantes (date butoir d’un appel à projets, annualité d’un budget, exigences d’un calendrier de formation…) ; - L’intrication des décisions
Choisir un service numérique n’a de sens qu’en fonction des utilisations projetées (activité d’apprentissage, préparation des cours, tâches administratives), celles-ci répondant à des logiques et à des temporalités différentes susceptibles de faire apparaître des contradictions.
Une appropriation expérientielle qui donne une large part aux GAFAM & BATX
Il semble inutile de retracer ici l’histoire de l’utilisation des techniques numériques par les enseignantes et les enseignants pour avancer qu’elles jouent un rôle important et croissant dans l’exercice de leur profession. On observe aussi depuis un demi-siècle comment elles colonisent progressivement leur environnement personnel de travail, à la mesure de la place qu’elles occupent dans l’intégralité du spectre de leurs activités. Dès la fin du siècle dernier, des enquêtes de l’INSEE (Rouquette, 1999) montraient que le premier contact des enfants avec les équipements numériques, qui s’opérait principalement à l’École jusqu’en 1989, avait lieu dans le contexte familial depuis. Avant 1990, la découverte du numérique était réalisée avec des équipements, services et ressources choisis, voire conçus et développés, par les services de l’État pour l’École. Depuis, elle s’opère essentiellement avec des artefacts conçus pour les usages personnels non scolaires et non professionnels. Selon les données collectées par la DEPP[7], l’âge moyen des enseignants était de 44 ans lors de l’année scolaire 2021-2022, les plus jeunes étant nés à l’orée des années 2000 et les plus âgés au début des années 60. Pour l’essentiel d’entre eux et pour tous ceux qui sont recrutés aujourd’hui, ce sont donc leurs expériences personnelles du numérique qui constituent le substrat des usages professionnels qu’ils en font. Et cette observation est encore plus probante en ce qui concerne les élèves. Explorer ce que sont ces pratiques personnelles et les services numériques sur lesquels elles reposent éclaire grandement les pratiques numériques professionnelles. Quelques statistiques relatives à l’utilisation actuelle des services de Google en France suffisent à appréhender le poids des services des principales entreprises mondiales du numérique dans l’expérience numérique personnelle des enseignants. Selon StatCounter (janvier 2023), le moteur de recherche proposé par Google (créé en 1998) concentre 91,5 % des requêtes sur Internet en France[8], et même 97 % des requêtes effectuées avec un smartphone, alors que des moteurs de recherche, présentés comme plus vertueux du point de vue éthique, comme Qwant représente moins de 0,5 % des requêtes. De même, le navigateur Chrome (Google) équipe plus de la moitié des internautes, plus de 80 % des smartphones fonctionnent sous Android (Google), près de 25 millions de français disposent d’un compte de courriel Gmail (Google) et l’utilisent, presque autant utilisent les services associés à ces comptes et en particulier l’espace de stockage Google Drive et ses services de bureautique connectée et collaborative. L’énumération pourrait être étendue à bien d’autres services que ceux proposés par Google mais cela n’ajouterait finalement rien de bien différent à la nature de l’expérience vécue depuis très longtemps par les enseignants, dont l’appropriation des techniques numériques repose en très grande partie sur l’offre de ces « géants du numérique ». Ils se sont acculturés aux techniques numériques avec ces services, les connaissent souvent depuis longtemps, les utilisent fréquemment alors que leur formation professionnelle au numérique reste très modeste.
Des opportunités difficiles à écarter
On le voit, l’estimation du rapport profit/coût explique le succès des services des GAFAM, entre ce qui peut en être fait (fonctionnalités, qualités ergonomiques, disponibilité, performances) et ce qui tout ce qui s’y oppose (effort d’apprentissage, coût financier pour l’utilisateur final), les facteurs juridiques, règlementaires et éthiques étant minorés voire ignorés par la plupart des utilisateurs. Difficile aujourd’hui, sauf peut-être pour quelques outils spécifiques, d’imaginer une alternative crédible avec un seuil d’acceptation si favorable à l’offre des GAFAM. On connait les difficultés d’appropriation des suites bureautiques libres et leur rejet hors régime d’obligation ou choix militants. Il faut bien reconnaitre que les services des GAFAM correspondent aux besoins fonctionnels de l’École dans un contexte où ni les moyens affectés aux établissements scolaires, ni le temps dont disposent les enseignants, ni les difficultés d’apprentissage et de comportement auxquels élèves et enseignants doivent faire face, ne permettent d’envisager sereinement l’utilisation de services numériques plus complexes, moins performants et plus chers.
Des risques à calculer
Risques individuels, risques collectifs
Les risques induits sont de différentes natures. Certains ont une portée essentiellement individuelle, même si le nombre de personnes potentiellement concernées peut être considérable. D’autres acquièrent d’emblée une dimension collective en agissant sur des déterminants à caractère politique, culturel ou citoyen. Les uns et les autres étant le plus souvent intriqués.
La question centrale des données personnelles
Les risques les plus souvent évoqués ont trait à la collecte massive de données personnelles, aux algorithmes qui sont utilisés pour les exploiter et aux finalités de ces traitements. Ces risques concernent l’ensemble des services, qu’il s’agisse de bureautique collaborative, de webconférence, de plateformes de réseaux socionumériques ou de tout autre service qui collecte des données personnelles à des fins « officielles » d’amélioration de l’expérience utilisateur. Ces données personnelles relèvent de différentes catégories : celles qui nous identifient et répondent à la question « qui ? » (nom, prénom, photographie, numéro de téléphone, adresse électronique, numéro de carte bancaire mais aussi adresse IP de notre smartphone ou de notre ordinateur, données de géolocalisation…), les données d’engagement qui décrivent nos interactions avec les différents services numériques et qui répondent à la question « quoi ? » (nos requêtes Google, nos courriels, nos publications sur les réseaux socionumériques, les prompts que nous adressons aux intelligences artificielles génératives comme ChatGPT ou Bard…), les données relatives à nos comportements numériques qui répondent à la question « comment ? » (nos habitudes et pratiques numériques) et tous les indicateurs attitudinaux qui peuvent être calculés à partir des données des trois premières catégories : nos attentes, nos opinions, nos critères d’achat mais aussi nos valeurs, nos orientations sexuelles, nos engagements politiques… Énumération à l’évidence incomplète !
La marchandisation des données
Pour les utilisateurs, la question est d’apprécier les risques qu’ils encourent avec la marchandisation de leurs données personnelles. L’aphorisme « Si c’est gratuit, vous êtes le produit » invite à identifier et évaluer la contrepartie de cette pseudo-gratuité. En réalité, les utilisateurs des services numériques dits gratuits acceptent de payer indirectement les services qu’ils utilisent et le font de différentes façons. Soulignons ici qu’ils l’acceptent plus qu’ils n’y consentent, tellement les documents contractuels de présentation des conditions générales d’utilisation (CGU) ou de vente (CGV) soumis à leur validation sont complexes, dépassent leurs compétences juridiques et excèdent le temps de lecture qu’ils sont prêts à y consacrer. Notons ici que les risques sont le plus souvent attachés à l’exploitation des données personnelles par des entreprises tierces qui les ont achetées à la plateforme qui les a collectées et qui les utilisent pour des finalités qui échappent totalement au consentement et au contrôle de ceux qui, le plus souvent à leur insu, les ont fournies. Rappelons enfin l’importance et le danger de toutes les fuites de données qui nourrissent des usages totalement illicites.
S’agissant de la marchandisation des données personnelles, leur vente à des organisations tierces (annonceurs en particulier) peut constituer une part notable du chiffre d’affaires de certaines des plus grandes plateformes numériques. Si le « secret des affaires » ne permet pas de disposer d’informations fiables quant au « prix du marché » de nos données personnelles, si celui-ci varie fortement en fonction de différents critères avec une valorisation qui s’inscrit dans une logique d’offres et de demandes, leur vente peut générer des milliards d’euros de recette annuelle pour les plus grandes plateformes. La masse compensant leur faible coût unitaire. Le coût unitaire de données d’identité de base est généralement estimé entre 0,0005 et 0,0007 euro, coût pouvant aller jusqu’à quelques euros ou quelques dizaines d’euros pour des données plus qualifiées. Bien au-delà de ce contexte légal, on trouve sur les Dark web toutes sortes de données, allant des mots de passe des services numériques que vous utilisez aux numéros et codes de vos cartes bancaires. Ce sont souvent les failles de sécurité des principales plateformes qui alimentent ce marché illégal des données. Si ces fuites de données ne sont pas intentionnelles de leur part, il leur est souvent reproché de ne pas prendre toutes les mesures de sécurisation nécessaire. Ainsi, 235 millions d’identifiants de comptes Twitter avec leurs mots de passe hackés ont-ils été vendus le 4 janvier 2023 pour une somme dérisoire selon une équipe de spécialistes du Daily Dark web[9]. Toutefois, la monétisation des données est aussi un processus économique et commercial officiel qui s’incarne dans la création de bourses de données (data brokers). Selon l’ONG Privacy Rights Clearinghouse[10], il existait 270 data brokers en 2021…
Des réponses législatives et règlementaires
Pour autant, les critiques formulées à l’égard des « géants du numérique » par nos autorités nationales ou européennes portent essentiellement sur l’exploitation que les entreprises font elles-mêmes des données qu’elles collectent dans des contextes nationaux parfois peu regardants, souvent au regard de motifs néolibéraux visant à préserver la liberté d’entreprendre ou illibéraux pour instrumenter des démarches autoritaires. Pour ce qui concerne la France, le règlement général sur la protection des données (RGPD), adopté par le parlement européen en 2016 et traduit dans le droit français en 2018, encadre toutes les opérations de collecte et de traitement de données personnelles. Cette protection des données personnelles des citoyens a été réaffirmée au sein de l’article 8 de la charte européenne des droits fondamentaux adoptée en 2020. L’analyse exhaustive de ces textes et de leurs conséquences « de terrain » pour l’éducation ne relève pas des objectifs de cet article, le lecteur pourra se reporter aux nombreux documents publiés sur ces questions, dont ceux du site web institutionnel Eduscol[11]. Pour autant, on peut noter les cinq principes de base relatifs au traitement des données personnelles édictés par le RGPD comme autant de points d’attention majeurs pour l’utilisation de services numériques à l’École : licéité, loyauté et transparence des traitements incluant le cas échant le consentement des personnes (avec la problématique propre aux utilisateurs mineurs) ; traitements exclusivement limités à des finalités explicites, légitimes, déterminées et consenties ; collecte réduite aux seules données nécessaires aux traitements annoncés ; utilisation de données justes et à jour ; durée de conservation n’excédant pas celle des traitements prévus ; sécurisation des données et des traitements.
Le transfert des données personnelles hors de l’EU au cœur des enjeux
Ces mesures de protection peuvent s’opposer à l’utilisation de services numériques qui transfèrent les données personnelles des utilisateurs hors de l’Union européenne, dans des pays où les lois, règlements et pratiques n’en garantissent pas une protection suffisante. La Commission nationale Informatique et libertés (CNIL) publie une cartographie[12] régulièrement mise à jour des pays dont les lois permettent aux entreprises d’héberger des données dans des conditions satisfaisant aux attendus du RGPD. La plupart des législations étrangères n’offrent pas ces garanties et si les lois de certains pays autorisent des pratiques conformes à ces exigences, elles ne les garantissent pas automatiquement, ce qui nécessite l’élaboration et le respect de dispositions contractuelles complémentaires. C’est le cas des USA vers qui il est possible depuis peu (10 juillet 2023) de transférer légalement des données personnelles, après un quart de siècle de valse-hésitation susceptible de nouveaux rebondissements dans les mois et années à venir. Rappelons cette histoire en quelques mots. Mis en place progressivement entre 1998 et 2000, face à une directive européenne sur la protection des données personnelles, le Safe Harbor permettait aux entreprises américaines dépendant de l’autorité du département du commerce des USA d’obtenir l’autorisation de transférer des données personnelles de l’UE vers les USA. Les principes de cet accord étaient proches de ceux du (futur) RGPD : information des utilisateurs ; demande de consentement pour le transfert des données à des tiers dans un but différent de celui de la collecte initiale ; limitation du transfert à des tiers respectant les mêmes principes ; haut niveau de sécurisation des données ; droits d’accès, de correction et de suppression accordés aux utilisateurs ; obligation de moyens pour la mise en œuvre et le contrôle de ces mesure par les entreprises. L’autorisation de transfert supposait l’obtention d’une certification renouvelable annuellement. Le Safe Harbor a été invalidé en 2015 par la Cour de justice de l’UE sous la pression des arguments portés par l’avocat et activiste autrichien Max Schrems, au motif du non-respect de leurs obligations par certaines entreprises (Facebook en particulier[13]) quant à la conservation des données personnelles mais aussi en raison des droits d’accès et d’exploitation des données par l’État fédéral américain à des fins de surveillance (activité de puissances étrangères, anti-terrorisme, prolifération nucléaire, cybersécurité, menaces contre les USA et ses alliés, crimes transnationaux). Rappelons que le Patriot Act, loi fédérale américaine votée le 26 octobre 2001 immédiatement après les attentats du World Trade Center, donne la possibilité aux services de renseignement d’accéder à toute donnée personnelle sans information ni consentement préalable. Un nouvel accord, le EU-US Privacy Shield a été accepté par l’UE le 12 juillet 2016. Il prévoyait notamment l’ouverture du droit, pour les citoyens européens, d’intenter une action en justice à l’encontre de sociétés américaines en cas de violation des principes de protection de leurs données personnelles. Fortement contesté, notamment quant aux possibilités de surveillance en masse des données personnelles laissées ouvertes aux services de sécurité américains et à l’impossibilité concrète pour un citoyen européen d’assigner en justice l’État américain, le Privacy Shield a été invalidé par la commission européenne le 16 juillet 2020. Une nouvelle négociation s’est alors engagée et une déclaration conjointe du président des USA et de la présidente de l’UE le 25 mars 2022 a annoncé un accord de principe visant à ménager un équilibre entre sécurité et protection des données personnelles d’une part, et à mettre fin à l’insécurité juridique qui « entrave l’activité des entreprises du numérique » d’autre part. Après deux ans de négociations, l’accord de principe s’est transformé le 10 juillet 2023 en un nouvel accord, le Data Privacy Framework(DPF), malgré des avis très réservés d’agences européennes comme la CNIL française ou d’organisations non gouvernementales qui annoncent déjà de nouveaux recours devant la Cour de justice européenne.
Si la question du transfert des données hors de l’UE focalise l’attention sur les USA, c’est en raison des GAFAM et des NATU mais aussi toutes les autres entreprises européennes qui utilisent des services numériques américains. Pour autant, la problématique du transfert des données est plus large et la question doit être posée systématiquement, quel que soit le service utilisé ; nombreux sont les services numériques français, par exemple, à transférer leurs données, pour du traitement ou du stockage, vers des installations situées à l’étranger. Cette question doit en particulier être posée s’agissant des BATX et plus largement de toutes les entreprises chinoises. La Chine dispose de règles sécuritaires très restrictives sur le transfert de données hors de Chine mais ses pratiques d’importation de données sont moins vertueuses. Après une période d’apparent libéralisme donnant une certaine indépendance aux entreprises du numérique, les BATX ont dû s’engager à « partager les intérêts du gouvernement chinois », comme l’ont fait les 478 entreprises membres de la Fédération Chinoise des Sociétés de l’Internet crée en mai 2018. Ainsi, la plateforme de réseau socionumérique TikTok (Bydance), dont l’implantation européenne se situe en Irlande afin d’éviter la censure des contenus opérée en République populaire de Chine, admet transférer en toute illégalité des données personnelles choisies en Chine, au mépris des principes du RGPD. C’est d’ailleurs le refus de TikTok de s’engager à ne transférer aucune donnée personnelle en Chine qui a conduit les trois questeurs de l’Assemblée nationale française à mettre en garde les élus quant à leur utilisation de TikTok mais aussi d’applications analogues comme Telegram (basé à Dubaï et créé par les fondateurs du réseau social russe Vkontakte) ou WhatsApp (Meta).
Les péripéties des transferts internationaux de données comme celles des accords et/ou des lois qui les encadrent (quand il en existe) fournissent les principales clés de lecture des risques auxquels se soumettent les utilisateurs des services des GAFAM, NATU, BATX et assimilés. D’une part, les risques encourus sont individuels. Chaque utilisateur est susceptible de voir ses données personnelles marchandisées à des fins auxquelles il n’a pas consenti, à commencer – mais ce n’est sans doute que le moindre des abus – par être la cible de publicités ciblées non souhaitées. D’autre part, on peut bien évidemment craindre des exploitations plus sophistiquées dont la diversité ne semble pas avoir de limite. On peut, à titre de simple exemple, évoquer la stratégie d’entreprises comme AWS (Amazon), Azure (Microsoft) ou Google Cloud pour l’hébergement des données de santé des pays européens. Au-delà de la dépendance à ces entreprises, faute d’alternatives, c’est la sécurisation de ces données personnelles sensibles qui est en jeu avec l’appétit potentiel de « tiers intéressés » comme des assureurs. Face à cela, les tenants d’une approche plus libérale défendent l’intérêt de disposer de masses de données de santé au service de la recherche médicale et des mesures de prévention individualisées. Les mêmes questions se posent pour l’éducation où les données de certains éditeurs de services et ressources pédagogiques hébergent leurs données chez des fournisseurs américains, même si les incitations répétées des services de l’État les conduisent à opter pour des hébergements européens.
Les autres risques liés aux GAFAM, NATU, BATX et autres « géants du numérique »
Pointons en premier lieu des risques attachés aux spécificités des applications utilisées comme l’exposition des jeunes à la pornographie, aux radicalismes, aux révisionnismes, aux violences, aux différents types de harcèlement ou bien aux complotismes et aux contre-vérités. Si la place manque pour une analyse en profondeur de toutes ces menaces éducatives dont l’influence s’étend bien au-delà de l’École, à commencer par la sphère familiale, au moins peut-on identifier le rôle qu’y jouent spécifiquement les grandes entreprises du numérique alors que bien d’autres facteurs y concourent également. Trois déterminants majeurs semblent s’imposer : l’ampleur (entre quelques millions et quelques milliards d’utilisateurs de chacun de ces services), la dimension réticulaire qui met possiblement tout en relation avec tout (information ou individu) et, enfin la désintermédiation qui a fait disparaitre des normes communicationnelles antérieures sans pouvoir ou vouloir mettre en œuvre de nouvelles régulations au service d’un idéal commun difficile à cerner, ce qui favorise la montée et la satisfaction des appétits économiques, idéologiques, souvent personnels ou communautaires.
De ces remarques peuvent être inférés les autres risques, souvent majeurs, imputables aux positions et activités des plus grandes entreprises du numérique. On peut mentionner ici aussi bien – et ce n’est pas contradictoire – la poursuite à marche forcée des conditions de l’individuation post-moderne et la montée de l’illibéralisme de régimes autoritaires fondés sur l’usage de techniques de surveillance généralisée, voire d’influence, de désinformation et de propagande. En référence aux travaux de Simondon (2005), l’individuation numérique serait le processus qui permet à tout individu de se distinguer des autres, l’émergence d’un double numérique qui cherche à tout prix la singularité. Laval (2012), quant à lui, reprend les arguments de Michel Foucault pour analyser l’utopie de la mise en données du monde comme une « nouvelle société panoptique ».
Le cas emblématique de l’utilisation scolaire de Microsoft Office 365 et de Google Workspace
L’utilisation à des fins d’enseignement et d’apprentissage des suites logicielles en ligne Office 365 (Microsoft) et Workspace (Google) alimente discussions et polémiques depuis des années. On se souvient de la polémique engagée à l’encontre de Mathieu Jeandron en 2017 lorsqu’il était Directeur du Numérique pour l’Éducation au ministère de l’Éducation nationale. Mathieu Jeandron incitait alors les établissements scolaires à l’utilisation des services des GAFAM[14] en affirmant que les contrats d’utilisation spécifiques à l’éducation protégeaient suffisamment les données personnelles des utilisateurs. Polémique qui a manifestement fortement contribué à son départ de la fonction publique… Position personnelle pourtant rationnellement construite sur une estimation où les gains d’usages étaient largement supérieurs aux risques encourus. Pour autant, ce type de débat est d’abord arbitré par des dispositions légales ou règlementaires, bien que celles-ci ne semblent pas systématiquement respectées. Loin s’en faut ! C’est ainsi qu’un évènement récent vient relancer, une fois encore, une question pourtant tranchée peu auparavant. Depuis le 10 juillet 2022, le nouvel accord entre l’UE et les USA qui rend possible le transfert de données entre l’UE et les USA ouvre la voie à l’autorisation de l’utilisation des services numériques de Microsoft et de Google selon des conditions contractuelles qui restent à établir. La décision inverse avait pourtant été affirmée quelques mois auparavant, par une réponse du ministre de l’Éducation nationale Pap Ndiaye le 15 novembre 2022 à une question du député Philippe Latombe. D’une part, le ministre motivait sa réponse par l’insuffisance des garanties apportées par les entreprises quant à l’utilisation des données personnelles collectées et par l’opacité de leurs pratiques. Ce premier élément de réponse du ministre venait en application de la dénonciation du Privacy Shield, déjà évoquée, et donc de l’interdiction de transférer des données personnelles sur le territoire des USA. D’autre part, le ministre rappelait les mesures protectionnistes[15] prises par la Direction interministérielle du numérique (DINUM) dans le cadre de sa doctrine « Cloud au centre » qui dispose que les services numériques de l’État soient hébergés dans l’un des clouds internes à l’État ou via des offres commerciales protégées de toute réglementation extracommunautaire et satisfaisant à des critères de sécurité définis par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Jusqu’au nouvel accord (DPF), l’utilisation de Google Workspace et de Microsoft Office 365 était donc proscrite pour les services de l’État et donc pour ceux de l’éducation, du moins tant que ces entreprises n’étaient pas en mesure de garantir que les données personnelles des utilisateurs transférées hors de l’Europe étaient suffisamment sécurisées avec des procédures respectant les attendus du RGPD. Cela semble chose faite ! Pour autant, bien des observateurs notent que le régime d’interdiction en vigueur entre 2020 et 2023 n’a eu pratiquement aucun effet sur les utilisations réelles de l’offre de service des GAFAM qui affirmaient d’ailleurs, jusque sur leurs sites web, respecter pleinement le RGPD. Pire, la prudence institutionnelle a souvent mécaniquement constitué un encouragement de facto à l’utilisation de comptes personnels. Comptes dont les garanties sur l’exploitation des données personnelles sont particulièrement faibles comparativement à celles attachées à l’utilisation de licences propres à l’éducation. Par ailleurs, l’emprise de l’interdiction prononcée par le ministre ne s’étendait pas au-delà des services de l’État, ce qui en limite la portée et ajoute de la confusion voire de la complexité aux situations de terrain. D’une part en raison de la délégation de compétence aux collectivités territoriales pour l’équipement des établissements scolaires, collectivités que le ministre a appelé à s’aligner sur les choix de l’État sans pouvoir les y contraindre. D’autre part, parce cette décision survient alors qu’une perméabilité est bien installée entre les pratiques numériques et privées au profit de l’importation dans le domaine scolaire des services numériques choisi pour les usages personnels.
Enfin, si Microsoft Office 365 et Google Workspace sont au centre des débats, bien d’autres services numériques sont concernés. Un grand nombre de ces services sont très utilisés par les acteurs de l’éducation, parfois dans le cadre de choix institutionnels, souvent plus personnels. Nombreux sont ceux qui transfèrent les données personnelles hors de l’UE. Le datascientist Zach Edwards, cité dans le quotidien anglais Financial Times le 29 mars 2023 estime à environ 50 000 le nombre d’applications disponibles sur les stores d’Apple (AppStore) et de Google (Google Play) intégrant le code produit par un kit de développement (AppMetrica) qui transfère en Russie des données personnelles. Que dire des applications comme Dropbox (USA), Zoom (USA), Discord (USA) ou Webex (USA) ? Et de combien d’autres encore…
Des nécessités des lignes de désir à la force de l’éthique professionnelle
Bien que sommaire, cette exploration de la situation des institutions éducatives face aux GAFAM et autres grandes entreprises du numérique dessine une situation complexe et fluctuante. Selon les positions (enseignant, élève, personnel de direction, inspecteur, recteur, ministre) et selon les postures (primat accordé à l’intérêt pédagogique, géopolitique, économique, culturel ou citoyen), les attentes et les choix varient. Si, en théorie, les dispositions législatives et règlementaires de l’État ne se discutent pas et devraient s’appliquer impérativement, on observe pourtant que les décisions d’utilisation sont souvent prises au mépris de ce cadre institutionnel par les acteurs de terrain, qu’il s’agisse des enseignants et des élèves mais aussi des autres personnels incluant les cadres de haut niveau. On connait le concept de « ligne de désir » théorisé par les urbanistes et les géographes (Gagnol et al., 2018) que chacun a pu expérimenter. Il désigne le chemin qui se trace par l’usage quand d’autres voies tracées arbitrairement ne répondent pas ou trop mal aux contraintes des usagers. Cette métaphore, plus riche qu’il n’y parait en première lecture, peut aider à penser le rapport des institutions éducatives avec les grands opérateurs du numérique. Même s’ils bravent les interdictions, les chemins du désir s’imposent car ils répondent mieux aux attentes des marcheurs, au mépris des signalisations officielles et au risque de faire de mauvaises rencontres ou de rentrer les pieds crottés. Pour autant, la situation n’est pas binaire et le chemin du désir reste un compromis pour vivre une expérience utilisateur optimale, entre imaginaire du tracé idéal et contraintes qu’il faut bien intégrer. Il s’impose uniquement en raison des trop grandes différences entre prescrit et attendu. Il en va ainsi aussi de l’utilisation des services des grands opérateurs numériques. C’est pourquoi le débat sur leur utilisation ne saurait se cantonner au registre législatif, règlementaire et contractuel aux plus hauts niveaux des institutions nationales, communautaires et internationales ainsi qu’aux négociations contractuelles avec les entreprises elles-mêmes. Il est urgent d’ouvrir le débat avec les acteurs de terrain pour établir ensemble le meilleur compromis. Restera ensuite à chacun et à chacune, « en ses grades et fonctions », d’exercer ses responsabilités éthiques pour d’opérer des choix au mieux des différents intérêts dont il a connaissance. À Jean-Louis Schaff (2022) qui ironise légitimement sur l’art consommé de l’institution de construire des autoroutes qui ne mènent nulle part ou des chemins bien trop sombres et chaotiques pour s’y engager avec enthousiasme (en fait il évoque « le retour à la chignole » comme métaphore de la difficulté à moderniser l’action publique), je réponds que seul le retour à une forme de collégialité qui organise le débat et prend ses conclusions au sérieux, sans les substituer pour autant au pouvoir d’arbitrage des instances de notre démocratie représentative, nous permettrait d’avancer.
Jean-François CERISIER
Unité de recherche Techné (UR-20297)
Université de Poitiers
Bibliographie
Alexandre, O. (2023). La Tech. Quand la Silicon Valley refait le monde, Paris : Seuil 560 p.
Cerisier, J. (2011). Acculturation numérique et médiation instrumentale. Le cas des adolescents français. https://hal.archives-ouvertes.fr/tel-00922778/
Davis, F. D. (1993). User acceptance of information technology: system characteristics, user perceptions and behavioral impacts. International journal of man-machine studies, 38(3), 475‑487. https://doi.org/10.1006/imms.1993.1022
Flichy, P. (2001). L’imaginaire d’Internet. La Découverte. https://doi.org/10.3917/dec.flich.2001.01
Gagnol, L., Mounet, C. & Mauz, I. (2018). De la piste animale aux lignes de désir urbaines. Une approche géoichnologique de la trace. L’Information géographique, 82, 11-38. https://doi.org/10.3917/lig.822.0011
Goffi, E. R., & Colin, L. (2020). GAFAM et BATX à la conquête: du monde numérique. Diplomatie, 104, 72–76. https://www.jstor.org/stable/26983598
Laval, C. (2012). Surveiller et prévenir. La nouvelle société panoptique. Revue du MAUSS, 40, 47-72. https://doi.org/10.3917/rdm.040.0047
March, J. G. (1978). Bounded Rationality, Ambiguity, and the Engineering of Choice. The Bell Journal of Economics, 9(2), 587. https://doi.org/10.2307/3003600
Maulini, O., Perrenoud, P. (2005). La forme scolaire de l’éducation de base : tensions internes et évolutions. In: Les formes de l’éducation : variété et variations. Bruxelles : De Boeck. https://doi.org/10.3917/dbu.mauli.2005.01
Schaff, J.-L. (2022, 12 décembre). Le retour à la chignole ? Ou comment rater encore la modernisation du service public de l’Éducation nationale, épisode 123 (un record du monde). Culture numérique. Étonnants microcosmes. https://www.culture-numerique.fr/?p=8226
Simondon Gilbert, L’individuation à la lumière des notions de forme et d’information, Grenoble, J. Million (Krisis), 2005.
Weil, T. (2008). Stratégie d’entreprise. https://doi.org/10.4000/books.pressesmines.1322
[1] https://vivatechnology.com/
[2] Dans la mesure du possible, la rédaction de ce texte fait appel à des formulations épicènes ou utilise des doublets féminin/masculin. Pour ne pas alourdir la lecture, le recours à ces procédés n’est pas systématique.
[3] GAFAM pour Google (devenu Alphabet en 2015), Apple, Facebook (devenu Meta en 2021), Amazon, Microsoft.
[4] Taiwan Semiconductor Manufacturing Company
[5] Netflix, Aibnb, Tesla et Uber
[6] Baidu, Alibaba, Tencent et Xiaomi
[7] Direction de l’évaluation, de la prospective et de la performance
[8] Source : StatsCounter
[9] https://bit.ly/3JSzjdi
[10] https://privacyrights.org/
[11] https://bit.ly/43rHRyO
[12] https://bit.ly/46JFlqF
[13] Max Schrems a montré en 2011 que Facebook avait conservé de nombreuses données le conservant vieilles de plusieurs années, y compris des informations qu’il avait lui-même effacées de son compte. Voir son site : https://schre.ms/
[14] Dans un courriel adressé aux Délégués académiques au numérique (DAN), Mathieu Jeandron écrivait « Je tiens à vous confirmer qu’il n’y a pas de réserve générale sur l’utilisation des outils liés aux environnements professionnels chez les grands fournisseurs de service du Web ». Pour Mathieu Jeandron, les conditions contractuelles spécifiques à l’Éducation nationale (CGU éducation) suffisaient à garantir la protection des données personnelles des élèves et des personnelles des établissements scolaires.
[15] https://bit.ly/3DcP1w4
Télécharger l’article au format pdf