Les récentes menaces de Donald Trump ont exacerbé l'urgence autour de l'hébergement des données de santé par l'État français. Après avoir instauré une nouvelle doctrine en matière d'achats publics, le gouvernement s'attaque de front à la question cruciale de l'hébergement des données du Health Data Hub.
Le 5 février 2026, le gouvernement a annoncé l'abandon de la solution "intercalaire" ainsi que l'annulation de l'appel d'offres associé. Cette décision vise à opérer un basculement direct vers une solution d'hébergement jugée souveraine et durable, certifiée SecNumCloud. Présentée comme une "accélération", cette stratégie devrait permettre d'héberger la base principale du Système national des données de santé (SNDS) tout en offrant des environnements de travail sécurisés pour les porteurs de projets.
Créé par la loi du 24 juillet 2019, le Health Data Hub est un groupement d'intérêt public (GIP) chargé de faciliter l'accès, le traitement et la sécurisation d'une vaste base de données de santé. En tant que tiers de confiance, le GIP collabore avec les producteurs de données, les utilisateurs (chercheurs, entreprises) et la Commission nationale de l'informatique et des libertés (Cnil).
Le Health Data Hub contient des informations cruciales, notamment :
L'objectif principal est d'encourager la recherche et l'évaluation du système de santé en offrant un accès à des données massives et pseudonymisées, propices au développement de nouveaux outils tels que des modèles d'intelligence artificielle.
La principale polémique autour de ce projet concerne son hébergement. Initialement, Microsoft Azure avait été choisi, suscitant des inquiétudes en raison des lois extraterritoriales américaines, notamment le CLOUD Act, qui permet aux autorités américaines d'accéder à des données, peu importe leur localisation. Ce choix a également été critiqué pour sa dépendance à un opérateur non européen dans un contexte de domination par trois grands acteurs : Amazon Web Services (AWS), Google Cloud Platform (GCP) et Microsoft Azure.
Face à la controverse, le gouvernement a annoncé une migration. En novembre 2020, Olivier Véran, alors ministre de la Santé, a évoqué la nécessité de trouver "une nouvelle solution technique" dans un délai de 12 à 18 mois. Cependant, ce calendrier n'a pas été respecté. En 2022, Stéphanie Combes, directrice du Health Data Hub, a déclaré que la migration vers un cloud souverain ne serait pas réalisée avant "l'horizon 2025".
En juillet 2025, un appel d'offres a été publié pour une solution intercalaire, d'un montant de 6,2 millions d'euros, conforme aux référentiels SecNumCloud. Cependant, ce processus est désormais annulé, le gouvernement optant pour une solution pérenne. L'architecture transitoire initialement prévue aurait limité le traitement des données et retardé la mise en œuvre jusqu'à mi-2027. Les travaux gouvernementaux ont montré qu'il est possible d'aller plus vite en optant directement pour une solution exhaustive.
Le gouvernement a donc décidé de se tourner immédiatement vers la solution cible, en s'appuyant sur les offres déjà référencées sur le marché "Nuage public" de l'Union des groupements d'achats publics (UGAP). Ces services cloud ont déjà été sélectionnés par l'État, ce qui permet de simplifier et d'accélérer le processus de sélection d'un hébergeur pour le Health Data Hub.
Concernant les acteurs américains, le gouvernement a confirmé que les offres d'AWS, de Google Cloud et de Microsoft Azure sont exclues du marché, car elles ne sont pas qualifiées SecNumCloud. La solution cible devrait être opérationnelle d'ici fin 2026. L'exécutif a souligné que le précédent calendrier, basé sur une solution intercalaire, aurait conduit à une mise en service "au mieux à mi-2027".
Malgré la promesse d'une mise en œuvre rapide, des doutes persistent quant à la capacité du gouvernement à respecter ses engagements. Les ajustements fréquents du calendrier de migration, influencés par des considérations politiques et juridiques, incitent à la prudence. De plus, l'attribution à un nouvel hébergeur pourrait susciter des contestations liées à la procédure de mise en concurrence, aux critères techniques ou à l'exclusion de certains fournisseurs.
La situation pourrait devenir plus complexe si l'offre de S3NS, récemment qualifiée SecNumCloud, était retenue. Cette coentreprise, majoritairement détenue par Thales, utilise les technologies de Google Cloud. Bien que Google ne soit pas actionnaire majoritaire, cette relation pourrait engendrer de nouveaux débats juridiques et politiques, remettant en question la solidité du calendrier annoncé.
Le secteur des données de santé en France est à un tournant. Les décisions prises par l'État dans les mois à venir seront cruciales pour assurer la souveraineté des données tout en garantissant la sécurité et l'efficacité du Health Data Hub.
