Qui veut, aujourd’hui, laisser ses données de santé les plus sensibles dépendre d’un acteur soumis au droit américain ? La réponse, pour l’État, est désormais non.

Un virage attendu depuis des années

La Plateforme des données de santé, ex-Health Data Hub, a annoncé le 23 avril 2026 qu’elle confiait à Scaleway, filiale française du groupe Iliad, l’hébergement de sa plateforme technologique. Cette migration doit remplacer Microsoft Azure, utilisé jusqu’ici pour une infrastructure devenue un symbole du débat sur la souveraineté numérique.

Le sujet ne sort pas de nulle part. En 2021 déjà, la CNIL rappelait que l’hébergeur choisi appartenait à un groupe dont la maison mère est située aux États-Unis, ce qui ouvrait la possibilité de demandes de communication de données par l’administration américaine. L’autorité recommandait alors, pour les bases les plus sensibles, un hébergeur soumis exclusivement au droit européen ou bénéficiant d’une qualification comme SecNumCloud, le visa de sécurité de l’ANSSI pour les clouds de confiance. Les avis de la CNIL sur l’hébergement du Health Data Hub l’avaient déjà posé noir sur blanc.

SecNumCloud n’est pas un simple label marketing. L’ANSSI explique que cette qualification vise des services cloud capables de résister à des menaces techniques, mais aussi à une injonction fondée sur des lois extraterritoriales. Pour des données de santé, l’enjeu est simple : protéger les données, mais aussi protéger leur accès contre des pressions venues de l’extérieur de l’Union européenne. L’ANSSI détaille sa doctrine sur le cloud de confiance.

Ce que change l’arrivée de Scaleway

La Plateforme des données de santé affirme que ce changement est la suite logique d’une stratégie de réversibilité engagée dès 2019. Autrement dit, l’architecture avait été pensée pour pouvoir quitter son hébergeur initial sans reconstruire tout l’outil à zéro. Cette précaution n’est pas qu’un détail technique. Elle permet d’éviter qu’un service public critique ne reste enfermé chez un fournisseur unique.

Dans son communiqué, la plateforme dit avoir mené un processus de sélection de deux mois et demi, avec plus de 350 exigences techniques, et avec l’appui d’experts de la DINUM, d’Inria et du ministère de la santé. L’offre retenue est jugée la plus adaptée en matière de sécurité, de scalabilité et de résilience. Scaleway, de son côté, a engagé sa démarche SecNumCloud début 2025, ce qui montre que le marché français du cloud de confiance avance, même si tout n’est pas encore au niveau des géants américains.

Concrètement, ce choix peut bénéficier à deux camps. D’abord aux chercheurs, qui espèrent un accès plus fluide à des données de santé mieux sécurisées. Ensuite à l’État, qui récupère une partie de la main sur un outil stratégique. Mais il profite aussi à Scaleway, qui gagne un dossier emblématique et renforce sa crédibilité sur un marché où la réputation compte autant que la puissance technique.

En face, la contrepartie reste claire : quitter Microsoft ne règle pas tout. Migrer un entrepôt de cette taille demande du temps, des arbitrages techniques et une vigilance constante sur les droits d’accès, les clés de chiffrement et les sous-traitants. La CNIL rappelle d’ailleurs que le cloud ne transfère pas la responsabilité de sécurité au seul fournisseur : le client doit aussi cartographier ses données, verrouiller ses habilitations et vérifier les garanties du prestataire. La CNIL détaille ces précautions de sécurité pour le cloud.

Pourquoi la souveraineté numérique pèse autant

Le débat dépasse largement ce dossier. Depuis plusieurs années, la France cherche à réduire sa dépendance aux infrastructures américaines pour les données les plus sensibles. Dans le secteur de la santé, cette dépendance est plus explosive qu’ailleurs, parce qu’elle mêle secret médical, recherche publique et confiance des patients.

Pour l’État, le basculement vers Scaleway sert donc un objectif politique autant que technique : montrer qu’il existe désormais des alternatives européennes capables d’héberger des données critiques. Pour les entreprises françaises du cloud, c’est une vitrine précieuse. Pour les hôpitaux, les organismes de recherche et les porteurs de projets, cela peut ouvrir un accès plus simple à l’écosystème public des données de santé. Mais la promesse n’a de valeur que si la migration tient ses délais et si la sécurité suit vraiment.

Le calendrier publié par la plateforme donne un horizon clair : elle vise à gérer en autonomie une copie de la base principale du SNDS entre la fin de 2026 et le début de 2027. C’est le point à surveiller. Si cette échéance est tenue, le transfert marquera la fin d’un long feuilleton politique et juridique autour du Health Data Hub. Si elle glisse, le débat sur l’indépendance numérique reviendra immédiatement au premier plan.

En attendant, le message envoyé est net : pour les données de santé, l’époque du compromis avec les grands cloud américains touche à sa limite. L’État veut désormais un hébergement européen, maîtrisé et réversible. Reste à voir si le nouveau dispositif tiendra, dans la durée, la promesse de souveraineté qu’il affiche.