Le gouvernement français a décidé de réorienter sa stratégie pour trouver un nouvel hébergeur du Health Data Hub, remplaçant ainsi Microsoft Azure, dont l'élimination était attendue depuis plusieurs années. Comme l'a rapporté L’Usine Digitale, l'exécutif a renoncé à un appel d'offres classique, optant plutôt pour un marché interministériel, le “Nuage public” de l'Union des groupements d'achats publics (UGAP).
Le ministère de la Santé a précisé que cette nouvelle approche vise à accélérer la migration des données du Système national des données de santé (SNDS), qui constitue la base du Health Data Hub. Les candidats ont désormais jusqu'au 30 mars 2026 pour soumettre leur devis à l'UGAP, avec une décision prévue trois mois plus tard. La transition vers un nouvel hébergeur est annoncée d'ici la fin de l'année.
Le passage par l'UGAP modifie le cadre de sélection habituel. Contrairement à un appel d'offres classique qui implique un cahier des charges détaillé et juridiquement opposable, la consultation via l'UGAP repose sur un catalogue d'offres existantes et la demande de devis à des prestataires déjà référencés. Ce choix permet à l'État de réduire les délais de sélection tout en élargissant le nombre de candidats potentiels.
C'est dans ce nouveau contexte que la controverse autour de la certification SecNumCloud a émergé. Cette certification, délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), garantit un haut niveau de sécurité pour les données. Cependant, selon L’Informé, la mention de cette certification ne serait plus clairement présente dans les documents de la consultation. L'objectif serait d'accueillir des candidats en cours de qualification, même s'ils n'ont pas encore obtenu cette certification, afin d'éviter de restreindre la concurrence de manière excessive.
Contacté à plusieurs reprises par L’Usine Digitale, le ministère de la Santé a affirmé que la référence à la certification SecNumCloud était toujours intégrée dans le dispositif, tout en refusant de fournir le texte détaillant les critères requis. Initialement, le gouvernement avait promis de publier ce document le 9 février, mais un fournisseur de services cloud a contesté cette affirmation, indiquant que, d’après une première analyse du document, SecNumCloud n'était pas mentionné explicitement. Cette déclaration semble corroborer les informations relayées par L’Informé.
Ce flou n'est pas surprenant. Depuis sa création, le Health Data Hub a été le théâtre de nombreux revirements, retards et décisions contradictoires qui ont obscurci la position de l'État sur l'hébergement des données de santé. Le choix initial de Microsoft, contesté dès 2020, a été suivi de promesses répétées de changement rapide qui n'ont jamais été concrétisées dans les délais prévus. Au fil des ans, le parcours a été modifié à plusieurs reprises : des annonces de transition suivies de reports, des solutions temporaires envisagées puis abandonnées, et des exigences qui ont varié entre durcissement et assouplissement.
Dans sa consultation du 31 janvier 2024 sur l'hébergement du Health Data Hub, la Commission nationale de l'informatique et des libertés (CNIL) avait recommandé, pour les bases de données de santé les plus sensibles, de privilégier des prestataires soumis exclusivement au droit de l'Union européenne ou bénéficiant de certifications de sécurité renforcées, mentionnant SecNumCloud comme référence pertinente.
Bien que le marché reste limité en termes financiers, il revêt une importance symbolique majeure. Le choix du futur hébergeur du Health Data Hub influencera la crédibilité de la stratégie française de souveraineté numérique et sa capacité à jouer un rôle significatif dans la mise en œuvre de l’Espace européen des données de santé (EHDS).
Alors que le gouvernement s'efforce de naviguer à travers ce processus complexe, la clarté et la transparence des critères de sélection, ainsi que la prise en compte des normes de sécurité, seront cruciales pour assurer le succès de cette initiative.
