Dans une démarche visant à remplacer Microsoft Azure, le gouvernement français a décidé de modifier son approche pour l'hébergement des données du Health Data Hub. Comme l'a rapporté L’Usine Digitale, l'exécutif a abandonné l'appel d'offres classique au profit du marché interministériel "Nuage public" proposé par l'Union des groupements d'achats publics (UGAP). Cette décision, selon le ministère de la Santé, a pour but d'accélérer la migration de la base principale du Système national des données de santé (SNDS), qui est le fondement du Health Data Hub.
Les candidats ont jusqu'au 30 mars 2026 pour soumettre leurs devis à l'UGAP. La décision sur le choix de l'hébergeur est attendue trois mois plus tard, avec un passage prévu d'ici la fin de l'année. Ce changement de méthode modifie les règles de sélection. Contrairement à un appel d'offres traditionnel qui permet de définir un cahier des charges détaillé et juridiquement contraignant, le marché "Nuage public" repose sur une consultation plus flexible, adossée à un catalogue d'offres existantes et à des demandes de devis de prestataires déjà référencés. Cette approche vise à réduire les délais et à élargir le vivier des candidats.
C'est dans ce contexte que la question de la certification SecNumCloud a émergé. Ce visa de sécurité, délivré par l’Agence nationale de la sécurité des systèmes d’information (Anssi), atteste du plus haut niveau de sécurisation des données. Selon L’Informé, la mention explicite de cette certification pourrait ne pas figurer clairement dans les documents de la consultation. L'objectif serait d'élargir la concurrence en permettant à des acteurs en cours de qualification de participer, même sans avoir obtenu ce précieux sésame.
Malgré plusieurs tentatives de contact par L’Usine Digitale, le ministère de la Santé a assuré que la référence au visa SecNumCloud était toujours incluse dans le dispositif, mais a refusé de fournir le texte précisant les critères requis. Initialement, le gouvernement avait promis de rendre public ce document le 9 février. Cependant, un fournisseur de services cloud a affirmé que, selon une première lecture du document, SecNumCloud n'était pas mentionné de manière explicite. Cette déclaration vient corroborer les informations recueillies par L’Informé.
Cette incertitude n'est pas surprenante. Depuis sa création, le Health Data Hub a été à l'origine d'une série de revirements, de retards et d'arbitrages contradictoires qui ont obscurci la position de l'État sur l'hébergement des données de santé. Le choix initial de Microsoft, contesté depuis 2020, a donné lieu à de nombreuses promesses de sortie rapide, mais sans résultats concrets dans les délais annoncés.
Au fil des années, la stratégie a été révisée à plusieurs reprises : des annonces de transition ont été faites puis reportées, des solutions temporaires ont été envisagées avant d'être abandonnées, et les exigences ont été tour à tour durcies puis assouplies. Dans une consultation du 31 janvier 2024 sur l'hébergement du Health Data Hub, la Commission nationale de l'informatique et des libertés (Cnil) avait recommandé que, pour les bases de données de santé les plus sensibles, des prestataires exclusivement soumis au droit de l'Union européenne ou ayant des certifications de sécurité renforcées soient privilégiés, citant SecNumCloud comme référence pertinente.
Bien que le marché reste financièrement limité, il revêt une importance symbolique majeure. Le choix du futur hébergeur du Health Data Hub influencera la crédibilité de la stratégie française en matière de souveraineté numérique et sa capacité à jouer un rôle dans la mise en œuvre de l’Espace européen des données de santé (EHDS).
Le Health Data Hub, en tant qu'initiative phare du gouvernement pour la gestion des données de santé, doit surmonter ces défis pour établir un cadre solide et sécurisé qui garantisse la protection des données tout en permettant une concurrence équitable parmi les prestataires de services cloud.
