Le 6 février 2026, le gouvernement français a officialisé l'arrêt de l'hébergement des données de santé sur les serveurs de Microsoft. Cette décision, attendue depuis plus de cinq ans, représente un tournant majeur dans la quête de souveraineté numérique de la France. Les ministres Stéphanie Rist (Santé), David Amiel (Réforme de l'État) et Anne Le Henanff (Numérique) ont cosigné un communiqué annonçant cette rupture historique.
Le gouvernement a lancé un appel d'offres pour sélectionner un nouvel opérateur, qui devra être certifié SecNumCloud, le label de cybersécurité délivré par l'ANSSI. Cette certification garantit que le prestataire fonctionne en dehors de toute juridiction extraterritoriale, excluant ainsi les géants américains du cloud tels que Microsoft, Amazon Web Services et Google de la compétition.
Selon les déclarations officielles, l'attribution du marché est prévue pour fin mars 2026, avec une migration effective programmée dès l'été 2026. Cette transition est facilitée par un marché intermédiaire évalué à 6 millions d'euros, qui vise à transférer la base de données vers un hébergement certifié avant de passer à un opérateur permanent.
Le Health Data Hub, créé en 2019, avait été confié à Microsoft Azure dans des conditions controversées. La CNIL n'avait jamais validé le transfert complet des données de la Sécurité sociale vers les serveurs américains, n'autorisant que des transferts limités pour des projets spécifiques en raison du Cloud Act, qui permet aux autorités américaines d'accéder à des données même hébergées à l'étranger.
D'après des informations du média L'informé, quatre consortiums ont été présélectionnés :
Cloud Temple/Atos et OVHcloud/Docaposte ont confirmé leur participation, tandis qu'Orange Business et S3NS n'ont pas souhaité faire de commentaires publics.
La loi SREN (Sécuriser et réguler l'espace numérique), adoptée en 2024, a contraint juridiquement le mouvement en obligeant tout gestionnaire de données sensibles à recourir à un prestataire offrant des garanties de souveraineté. Cette disposition a rendu insoutenable le maintien du statu quo avec Microsoft.
La décision de la France s'inscrit dans un mouvement plus large en Europe visant à reprendre le contrôle sur les actifs numériques stratégiques. Les données de santé, considérées comme un domaine régalien au même titre que la défense, ne peuvent rester indéfiniment sous la juridiction d'une puissance étrangère.
La question demeure de savoir si cette transition, maintes fois reportée, tiendra cette fois ses promesses. Au-delà de la sélection d'un hébergeur, c'est la capacité de la France à établir une véritable autonomie numérique qui est en jeu. Cela nécessitera un investissement soutenu, une volonté politique continue et une stratégie industrielle à long terme.
Alors que la France se lance dans cette nouvelle étape, il est crucial de suivre l'évolution de cette initiative qui pourrait redéfinir la gestion des données sensibles au sein du pays.
