Le gouvernement acte un tournant stratégique. Après plusieurs années de controverses, la France s’apprête à retirer l’hébergement de ses données de santé de l’environnement des géants américains du cloud. La plateforme nationale de données de santé, le Health Data Hub, va quitter les infrastructures de Microsoft pour être confiée à un opérateur européen répondant aux exigences les plus strictes en matière de sécurité et de souveraineté.
L’annonce marque une inflexion majeure dans la politique numérique de l’État. Dès les prochains jours, une procédure de sélection sera engagée afin de désigner un nouvel hébergeur parmi les fournisseurs disposant de la qualification SecNumCloud, le plus haut niveau de certification de sécurité délivré par l’État.
Derrière ce changement d’opérateur, c’est une question hautement politique qui refait surface : celle de la protection des données de santé des Français face aux législations extraterritoriales.
Un hébergement incompatible avec la souveraineté européenne
Depuis son lancement en 2019, le Health Data Hub ambitionne de devenir l’infrastructure centrale de la recherche en santé en France. Sa vocation est d’offrir aux équipes scientifiques un accès sécurisé à des volumes massifs de données médicales, couvrant des périodes longues et des millions de patients.
Mais le choix initial de confier l’hébergement à un acteur américain a rapidement cristallisé les critiques.
En cause : l’application potentielle de textes juridiques américains permettant aux autorités des États-Unis d’exiger l’accès à certaines données hébergées par des entreprises soumises à leur droit national, même lorsque les serveurs sont situés en Europe.
Cette contrainte juridique concerne l’ensemble des grands acteurs du secteur, comme Amazon Web Services ou Google, également exclus de facto des marchés les plus sensibles.
C’est précisément pour éviter ce type de dépendance qu’a été créé le référentiel SecNumCloud, réservé à des opérateurs ne relevant que du droit européen.
Selon les ministres Stéphanie Rist, David Amiel et Anne Le Henanff, le futur prestataire sera sélectionné au terme d’un appel d’offres dont l’attribution est attendue à la fin du mois de mars 2026.
L’objectif affiché est clair : garantir que l’ensemble des données hébergées par la plateforme soient protégées par un cadre juridique exclusivement européen.
Une plateforme stratégique pour la recherche médicale
Pour les pouvoirs publics, l’enjeu dépasse largement la seule question technique de l’hébergement.
Le Health Data Hub doit, à terme, accueillir notamment une copie des bases de données détenues par l’Assurance maladie. Ces données couvrent les parcours de soins, les prescriptions, les hospitalisations et de nombreux indicateurs médicaux.
L’ambition initiale était de constituer un véritable entrepôt national de données, capable d’alimenter des projets de recherche de grande ampleur, qu’il s’agisse d’épidémiologie, d’évaluation des politiques publiques ou de développement de nouvelles stratégies thérapeutiques.
Pour les chercheurs, l’accès à ces informations est considéré comme un levier essentiel de compétitivité scientifique. La ministre de la Santé a d’ailleurs insisté sur la nécessité de concilier ouverture aux équipes de recherche et exigences renforcées de sécurité.
Un équilibre délicat, tant la confiance du public reste fragile dès qu’il s’agit de données médicales.
Le rôle central de la Cnil dans le blocage du projet
Dans les faits, le projet n’a jamais atteint sa pleine vitesse de croisière.
Dès les premières étapes, la Commission nationale de l’informatique et des libertés, la Cnil, a exprimé ses réserves sur l’hébergement chez un fournisseur soumis au droit américain.
Faute de garanties jugées suffisantes, l’autorité de protection des données n’a jamais autorisé un transfert massif et permanent de l’ensemble des données de l’Assurance maladie vers la plateforme.
Elle s’est limitée à délivrer des autorisations ponctuelles, projet par projet, et pour des durées strictement encadrées. Une approche prudente qui a profondément modifié la philosophie initiale du Health Data Hub, pensé à l’origine comme un entrepôt centralisé et pérenne.
Ce cadre restrictif a fortement freiné le déploiement opérationnel de la plateforme et contribué à entretenir le débat politique autour de sa gouvernance et de son hébergement.
Un appel d’offres attendu de longue date
Le principe d’une migration vers un hébergeur européen n’est pas nouveau.
En avril 2025, devant l’Assemblée nationale, l’ancienne ministre chargée du Numérique, Clara Chappaz, avait déjà annoncé la volonté du gouvernement de lancer un appel d’offres pour faire évoluer l’infrastructure vers un opérateur qualifié et souverain.
Cette fois, le calendrier est posé, et la sortie du cloud américain devient un engagement formel de l’exécutif.
Reste à savoir quels acteurs pourront réellement se positionner.
Plusieurs fournisseurs français disposent déjà de la qualification SecNumCloud. C’est notamment le cas d’OVHcloud, de Cloud Temple ou encore de S3NS, une coentreprise portée par Thales, qui s’appuie toutefois sur des technologies issues de Google.
Ce dernier point illustre l’une des principales tensions du dossier : bâtir un cloud souverain sans dépendre, même indirectement, de briques technologiques américaines reste un défi industriel majeur.
Un signal politique fort dans le débat sur la souveraineté numérique
Au-delà du seul Health Data Hub, la décision du gouvernement est observée de près par l’ensemble de l’écosystème numérique français.
Elle pourrait constituer un précédent pour d’autres projets publics manipulant des données sensibles, dans un contexte où la souveraineté numérique est devenue un axe stratégique assumé de l’action publique.
Après plusieurs années de débats juridiques et politiques, l’État semble désormais prêt à assumer un choix plus coûteux et plus complexe sur le plan industriel, mais jugé indispensable pour sécuriser durablement l’une des ressources les plus sensibles du pays : les données de santé de ses citoyens.
