En 2019, la France lançait le Health Data Hub, une plateforme nationale destinée à centraliser les données de santé pour stimuler la recherche médicale. Ce projet ambitieux visait à améliorer l’accès aux données de santé, cruciales pour les avancées scientifiques et épidémiologiques. Toutefois, le choix initial d’héberger ces données sensibles chez Microsoft a rapidement suscité des controverses majeures. En effet, la dépendance vis-à-vis d’un géant américain soumis à des législations comme le Cloud Act a soulevé d’importants doutes quant à la sécurité des données et à la confidentialité des informations personnelles des Français. Face à ces inquiétudes, la CNIL n’a jamais autorisé un transfert intégral et pérenne des données de l’Assurance Maladie vers la plateforme. Après plusieurs années de débats et d’atermoiements, le gouvernement français a enfin acté en 2025 la décision de confier l’hébergement du Health Data Hub à un opérateur européen qualifié SecNumCloud, garantissant une souveraineté renforcée et une meilleure protection des données de santé sensibles. Cette transition marque un tournant crucial dans la stratégie française d’informatique médicale et d’hébergement des données, symbole d’une rupture avec les dépendances technologiques américaines et d’une volonté affirmée de respecter une réglementation européenne stricte.
Les enjeux de la souveraineté numérique pour l’hébergement des données de santé en France
L’hébergement des données de l’Assurance Maladie implique des enjeux majeurs en termes de souveraineté numérique, un sujet devenu central dans l’écosystème numérique français et européen. En effet, la nature sensible des données de santé exige un contrôle étroit afin d’assurer la sécurité des données, la confidentialité des informations personnelles et la protection contre toute intrusion étrangère non conforme aux lois européennes. La dépendance à un prestataire non européen comme Microsoft, soumis à des lois extraterritoriales telles que le Cloud Act, a exacerbé les risques liés à l’exposition de données cruciales aux autorités américaines.
Pour comprendre l’impératif de souveraineté, il faut distinguer :
- La protection juridique : sauver les données de santé du champ d’application des lois étrangères non européennes
- La sécurité technique : garantir une infrastructure de cloud computing répondant aux exigences françaises et européennes en matière de cybersécurité
- La confiance publique : assurer aux citoyens français que leurs données médicales ne seront ni exploitées ni accessibles à des tiers non autorisés
Le cloud computing s’est imposé comme un outil indispensable pour gérer ces grandes masses de données. Cependant, tous les clouds ne se valent pas. En 2025, les exigences de sécurité et de réglementation européennes sont rassemblées sous le label SecNumCloud, décerné par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ce label certifie que l’hébergeur ne dépend d’aucune législation non européenne et dispose de garanties intransigeantes en matière de protection des données.
Le tableau suivant synthétise les différences entre un hébergement chez un hyperscaler américain et chez un opérateur certifié SecNumCloud :
| Critère | Hyperscaler américain (ex. Microsoft) | Opérateur certifié SecNumCloud |
|---|---|---|
| Réglementation applicable | Lois extraterritoriales américaines (Cloud Act) | Réglementation européenne stricte (RGPD, lois nationales) |
| Contrôle d’accès aux données | Possibilité d’accès par autorités américaines | Accès strictement encadré par l’ANSSI et la CNIL |
| Confiance et transparence | Crainte d’atteinte à la confidentialité | Garantie de souveraineté et protection renforcée |
Ce choix est au cœur d’une démarche plus large de renforcement de la sécurité des données en informatique médicale, où la confiance et la confidentialité sont des piliers non négociables.
Le parcours du Health Data Hub : un projet stratégique entravé par des controverses
Le Health Data Hub a été pensé comme un accélérateur pour la recherche médicale en France. Sa mission : offrir un accès centralisé à des données exhaustives, notamment celles de l’Assurance Maladie, pour faciliter les études épidémiologiques, le développement de traitements innovants et la gestion des crises sanitaires. Ce projet d’envergure publique et privée devait faire bénéficier chercheurs et professionnels de la santé d’un environnement informatique robuste et sécurisé.
Néanmoins, le choix du fournisseur d’hébergement a constitué un frein majeur. En optant pour Microsoft dès 2019, le gouvernement a sous-estimé les problématiques liées aux législations américaines sur les données numériques. Dès les premières annonces, la CNIL s’est montré très prudente, refusant d’autoriser un transfert complet des données. Elle n’a accordé que des dérogations limitées et encadrées, excluant un modèle d’entreposage centralisé selon les intentions initiales. Ce blocage administratif a ralenti l’utilisation optimale de la plateforme et a limité les projets de recherches pouvant tirer profit du Health Data Hub.
Cette situation a révélé plusieurs problématiques :
- L’incertitude juridique : les lois étrangères pouvaient contraindre Microsoft à divulguer des données de santé sensibles
- La défiance des acteurs publics : plusieurs institutions ont exprimé leur désaccord sur la sécurité globale offerte
- La complexité de la gouvernance numérique : un équilibre difficile à trouver entre innovation et protection des données
À travers ce cas, on mesure combien la gestion des données de santé nécessite une maîtrise complète de l’infrastructure et un cadre réglementaire clair. Le changement annoncé en 2025 illustre une prise de conscience politique forte et un réajustement nécessaire pour garantir la confidentialité et l’intégrité du système de santé numérique français.
Nouvelles directions : la migration vers un opérateur européen certifié SecNumCloud
Face aux enjeux de sécurité et de souveraineté, le gouvernement français a lancé dès février 2025 une procédure de sélection d’un nouvel hébergeur. Cette décision vise à confier le Health Data Hub à un prestataire européen, bénéficiant du label SecNumCloud, garantissant une indépendance totale vis-à-vis des législations étrangères non européennes. Cette démarche, pilotée conjointement par les ministères de la Santé, de la Réforme de l’État et du Numérique, traduit une ambition consolidée d’offrir une protection et une confidentialité accrues aux données de santé hébergées.
Le choix de cet hébergeur devra répondre à plusieurs critères clés :
- Certification SecNumCloud : assurance d’un hébergement sécurisé et conforme aux normes ANSSI
- Non-dépendance aux lois extraterritoriales : exclusion de tout acteur soumis à des juridictions américaines ou autres hors Union européenne
- Capacités techniques : infrastructure capable de gérer un volume massif de données avec performance et fiabilité
- Transparence et contrôle : modalités strictes de gouvernance et d’accès aux données
Plusieurs entreprises françaises sont déjà candidates potentielles. OVH, Cloud Temple et Sens (groupe Thales) représentent des acteurs solides, avec différentes approches techniques et business model. OVH, par exemple, dispose d’une infrastructure robuste en Europe et s’impose de plus en plus comme un leader régional du cloud computing souverain. Sens, quant à elle, malgré son usage de technologies issues de Google, s’appuie sur des dispositifs spécifiques pour garantir les exigences SecNumCloud.
Ce passage à un hébergeur européen offre plusieurs avantages spécifiques :
- Réduction des risques d’accès non autorisé aux données
- Renforcement de la confiance des citoyens et des professionnels de santé
- Mise en conformité avec la réglementation RGPD et autres normes européennes
- Possibilité d’intégrer de nouvelles technologies d’informatique médicale en toute sécurité
Impacts et perspectives pour la sécurité et la confidentialité des données de santé françaises
Le retrait de Microsoft de l’hébergement des données de l’Assurance Maladie marque une étape majeure dans la protection des données de santé en France. Ce choix vise à améliorer la sécurité des données et à limiter toute vulnérabilité liée à une réglementation extraterritoriale invasive. La confidentialité des informations médicales est un impératif renforcé par la nature même des données traitées, qui concernent la vie privée et la santé des citoyens.
Les effets attendus de cette transition sont multiples :
- Une meilleure maîtrise de la chaîne d’hébergement : du stockage aux accès, chaque étape sera contrôlée
- Une conformité renforcée avec les normes européennes : maintien et développement des standards de sécurité et de confidentialité
- Un regain de confiance de la part des usagers : la protection de leurs données de santé sera clairement assurée par des prestataires fiables
- Des perspectives accrues en matière de recherche médicale : avec un accès plus libre et sécurisé aux données, la recherche peut enfin pleinement s’épanouir
Par ailleurs, cette décision nécessite un effort logistique et technique important : migration des données, adaptation des systèmes, coopération entre acteurs publics et privés, et formation des professionnels de santé aux nouveaux environnements sécurisés. Cette opération sera donc suivie de près par l’ensemble des parties prenantes.
Voici un tableau synthétique des bénéfices attendus pour chaque groupe concerné :
| Parties prenantes | Bénéfices majeurs |
|---|---|
| Citoyens | Garantie de confidentialité et tranquillité d’esprit quant à leurs données de santé |
| Professionnels de santé | Accès sécurisé et fiable aux données utiles pour le diagnostic et la recherche |
| Institutions publiques | Conformité avec les exigences légales et meilleure gouvernance des données |
| Chercheurs | Potentiel accru pour des projets de recherche de grande ampleur et sécurisés |
Le nouvel hébergement est donc un vecteur essentiel de modernisation et de fiabilisation du système d’informatique médicale français, répondant à des attentes sociétales fortes sur la sécurité et la protection des données.
Les défis futurs et la réglementation au cœur de la protection des données de santé
Alors que la migration du Health Data Hub vers un hébergeur européen se profile, la régulation de l’hébergement des données de santé demeure un défi de taille. L’équilibre entre innovation technologique et respect de la confidentialité impose une vigilance constante sur la réglementation, en particulier la RGPD mais également des normes émergentes adaptées aux spécificités des données médicales.
Les défis à relever sont nombreux :
- Maintenir un haut niveau de sécurité : face aux menaces cybernétiques toujours plus sophistiquées
- Respecter la vie privée : garantir le contrôle individuel sur l’usage des données personnelles
- Assurer la transparence : informer clairement les citoyens sur l’usage et la protection de leurs données
- Encadrer les partenariats : définir des règles claires avec les acteurs privés et publics afin d’éviter toute dérive
- Former continuellement : sensibiliser et former les professionnels de santé à la sécurité informatique et la réglementation
De plus, la coopération européenne s’intensifie pour tracer un cadre harmonisé, limitant la dispersion des normes et facilitant l’échange sécurisé des informations médicales transfrontalières. L’harmonisation des standards permet de mieux protéger les données de santé à grande échelle tout en soutenant la recherche médicale européenne.
Les prochaines années seront déterminantes pour la consolidation du cadre législatif et technologique autour de l’hébergement de ces données critiques. La France se positionne désormais en pionnière pour combiner innovation, sécurité et respect de la vie privée.
Cette vigilance nécessaire assure que l’hébergement du Health Data Hub ne soit plus seulement une question technique, mais une démarche intégrée et stratégique au service de la protection des citoyens et de l’excellence scientifique.
Questions fréquentes sur l’hébergement des données de santé en France
-
Pourquoi Microsoft est-il exclu de l’hébergement des données de l’Assurance Maladie ?
Microsoft est soumis aux lois extraterritoriales américaines, notamment le Cloud Act, qui permet aux autorités américaines d’accéder aux données hébergées. Cela soulève des risques importants pour la confidentialité et la protection des données sensibles des Français. -
Qu’est-ce que le label SecNumCloud et pourquoi est-il crucial ?
SecNumCloud est une certification délivrée par l’ANSSI qui atteste qu’un hébergeur respecte des exigences strictes de sécurité et qu’il n’est soumis à aucune législation extraterritoriale étrangère, garantissant ainsi la souveraineté numérique. -
Quels sont les avantages pour les chercheurs avec cette nouvelle migration ?
Un hébergement sécurisé et souverain facilite l’accès aux données de santé de manière régulée, permettant enfin des projets de recherche médicale plus ambitieux, tout en garantissant la confidentialité nécessaire. -
Comment la CNIL intervient-elle dans la protection des données de santé ?
La CNIL contrôle l’usage des données, autorise les transferts encadrés, et veille à ce que la confidentialité et la protection des droits des citoyens soient respectées dans le cadre des infrastructures de données de santé. -
Quels sont les défis à venir pour l’hébergement des données médicales en France ?
Ils incluent la lutte contre les cybermenaces, la conformité réglementaire constante, la transparence avec les citoyens, la formation des professionnels et l’harmonisation européenne des normes de protection des données.