La gestion des données de santé représente aujourd’hui un pilier fondamental de la stratégie numérique nationale, mais elle se heurte à des questions de souveraineté de plus en plus pressantes. L’audition parlementaire du 17 mars a marqué un tournant décisif pour l’avenir du Health Data Hub (HDH), officiellement dénommé Plateforme des Données de Santé. Devant l’Assemblée nationale, Laurent Vilboeuf, qui assure la direction par intérim de l’institution, a dû répondre aux inquiétudes persistantes concernant la protection des informations médicales des citoyens français. L’enjeu central de cette séance consistait à justifier la dépendance structurelle actuelle envers la solution Azure de Microsoft, tout en traçant une trajectoire crédible vers une infrastructure nationale ou européenne. Ce débat s’est déroulé dans un climat de méfiance croissante vis-à-vis des législations extraterritoriales américaines, telles que le Cloud Act, qui pourraient théoriquement permettre un accès étranger à des données sensibles. La séance, orchestrée par la Commission d’enquête sur les dépendances structurelles, a mis en lumière la complexité de la gouvernance de cette entité stratégique. Laurent Vilboeuf, en poste depuis la fin de l’année précédente, a assumé l’héritage des choix techniques opérés par ses prédécesseurs. Bien que sa marge de manœuvre sur les décisions passées soit par nature limitée, son témoignage a permis d’éclairer les mécanismes ayant conduit une infrastructure aussi critique à s’appuyer sur un géant technologique étranger. Cette situation souligne la vulnérabilité systémique du secteur numérique français face à des solutions logicielles dominantes qui, bien que performantes, posent des problèmes de conformité avec les ambitions de souveraineté européenne.
L’accélération de la Transition vers un Cloud Souverain
Initialement, le Health Data Hub envisageait une étape de transition intermédiaire vers les infrastructures d’Oracle afin de faciliter techniquement le transfert des données avant de rejoindre, à terme, un hébergeur pleinement souverain. Cependant, sous l’impulsion de la Direction interministérielle du numérique (Dinum), ce projet de phase intercalaire a été officiellement abandonné au profit d’une stratégie plus directe. Les analyses de marché récentes ont en effet démontré qu’une migration vers une solution européenne est réalisable dans des délais quasiment identiques à ceux de l’étape transitoire initialement prévue, rendant l’option Oracle superflue et potentiellement coûteuse. Ce changement de cap opérationnel vise à éviter un détour technologique par un autre prestataire soumis aux lois américaines, ce qui aurait été perçu comme une incohérence stratégique majeure par les défenseurs de l’autonomie numérique. Un appel d’offres public a été lancé via l’Ugap en février dernier, avec pour objectif de sélectionner un nouvel acteur capable de garantir une autonomie totale dès la fin de l’année en cours. Cette démarche s’inscrit dans une volonté de rupture avec les schémas de dépendance passés, en privilégiant des partenaires capables d’offrir les mêmes garanties de performance que les géants d’outre-Atlantique, tout en restant sous une juridiction européenne protectrice.
Cette nouvelle trajectoire stratégique trouve son fondement juridique dans la stricte application de la loi SREN, qui vise à sécuriser et à réguler l’espace numérique en France. L’article 31 de ce texte législatif impose aux acheteurs publics d’exclure les prestataires soumis à des législations étrangères intrusives lorsqu’il s’agit d’héberger des données de santé ou des données d’une sensibilité particulière. En renonçant définitivement à la solution intercalaire Oracle, le Health Data Hub affirme sa volonté de placer le traitement des informations médicales sous une protection juridique imperméable aux pressions exogènes. Cette mise en conformité est perçue comme un acte essentiel pour restaurer la confiance des usagers et des professionnels de santé dans l’outil numérique public. Le passage direct vers un cloud souverain qualifié SecNumCloud par l’Anssi devient ainsi la priorité absolue, garantissant que le patrimoine numérique sanitaire de la nation ne puisse jamais être compromis par des injonctions administratives ou judiciaires étrangères. Le processus de sélection, qui devrait aboutir très prochainement, marque le début d’une phase de migration effective dont les premiers résultats techniques sont attendus entre la fin de l’année actuelle et le début de la période suivante, signifiant ainsi la fin programmée du cycle Microsoft pour la plateforme.
Les Justifications Techniques et Historiques du Choix Initial
Pour expliquer le recours initial aux services de Microsoft Azure, la direction intérimaire a rappelé que lors de la genèse du projet en 2019, aucune offre européenne ne présentait un niveau de maturité technologique et de profondeur fonctionnelle suffisant. Les exigences étaient alors particulièrement élevées, combinant la nécessité d’une homologation pour le Système National des Données de Santé (SNDS) et une certification Hébergeur de Données de Santé (HDS). À cette époque, seuls les leaders du marché américain possédaient la capacité de montée en charge et la diversité d’outils analytiques nécessaires pour lancer une plateforme d’une telle envergure dans des délais compatibles avec l’urgence des politiques de santé publique. Néanmoins, le paysage technologique a radicalement évolué depuis ces premières décisions, et les acteurs du cloud européen ont désormais rattrapé une grande partie de leur retard, étant aujourd’hui en mesure de rivaliser avec les standards de haute sécurité et de scalabilité exigés par le HDH. Cette évolution du marché permet dorénavant d’envisager une alternative crédible qui n’existait tout simplement pas il y a quelques années, validant ainsi la pertinence d’un changement de prestataire sans sacrifier l’efficacité opérationnelle de la plateforme de recherche.
Malgré l’hébergement actuel sur les serveurs de Microsoft, des mesures de sécurité rigoureuses ont été déployées pour assurer la confidentialité absolue des dossiers médicaux traités. Le Health Data Hub a mis en œuvre un processus complexe de double pseudonymisation, rendant toute identification directe des patients impossible pour l’hébergeur, associé à un chiffrement intégral des informations tant au repos que durant leur transit entre les différents espaces sécurisés. De plus, un cloisonnement strict des accès physiques et logiques garantit que seuls les agents du Groupement d’Intérêt Public (GIP), de nationalité française et soumis au secret professionnel, peuvent manipuler les données brutes. Ces garanties techniques ont été validées à plusieurs reprises par le Conseil d’État, qui a estimé que les dispositifs mis en place interdisaient contractuellement et matériellement toute intrusion ou accès non autorisé de la part des ingénieurs de la firme américaine. Ce haut niveau de protection, bien que rassurant pour l’exploitation immédiate, ne remet pas en cause l’objectif de souveraineté à long terme, mais a permis d’assurer la continuité du service public de la donnée de santé pendant la phase de construction de l’écosystème numérique souverain que la France achève désormais de mettre en place.
Le Bilan Économique et l’Influence des Prestataires Privés
La question de la rentabilité financière du Health Data Hub a suscité de vifs débats parlementaires, notamment après la publication de rapports pointant un retour sur investissement jugé décevant au regard des sommes initialement engagées. Laurent Vilboeuf a toutefois contesté cette approche purement comptable en affirmant que la valeur réelle de l’institution doit se mesurer par ses bénéfices cliniques, tels que l’amélioration des protocoles de soins ou les percées dans la recherche médicale, plutôt qu’en revenus monétaires directs. Le coût de l’infrastructure fournie par Microsoft Azure est estimé à environ 21 millions d’euros sur une période de sept ans, un investissement soutenu majoritairement par l’Assurance Maladie via l’Ondam. Cette vision défend l’idée qu’une infrastructure de santé publique ne peut être soumise aux seules règles de la rentabilité commerciale classique, car sa mission première est de constituer un levier pour l’innovation thérapeutique et la prévention à l’échelle nationale. Le budget alloué au HDH reflète ainsi une volonté de doter la France d’un outil de recherche de pointe, capable de traiter des volumes massifs de données pour répondre aux grands enjeux de santé publique actuels, tout en préparant la transition vers des modèles de financement plus diversifiés.
L’audition a également permis de clarifier le rôle de la société Capgemini, dont l’influence sur les choix stratégiques et l’architecture technique du projet avait été régulièrement remise en question par certains observateurs. Le directeur par intérim a fermement démenti toute emprise indue du prestataire privé sur les décisions de la plateforme, précisant que son rôle s’était limité à un accompagnement technique nécessaire lors de la phase de démarrage. Si le recours à des consultants externes était massif au lancement pour compenser un manque critique de ressources internes spécialisées, la tendance actuelle est clairement à la réinternalisation des compétences stratégiques. Le nombre de consultants extérieurs a été drastiquement réduit au cours des derniers mois, marquant une étape supplémentaire vers la reconquête d’une pleine souveraineté opérationnelle et intellectuelle. Cette volonté de réduire la dépendance vis-à-vis des grandes sociétés de services numériques s’accompagne d’un effort de recrutement de profils techniques de haut niveau au sein même du GIP, garantissant ainsi que l’expertise reste au cœur de l’administration publique française pour les décennies à venir.
Le Health Data Hub se trouve aujourd’hui à la croisée des chemins, engagé dans une transition qui dépasse le simple cadre technique pour toucher à l’indépendance politique de la santé numérique française. Les prochaines étapes seront cruciales pour transformer les engagements pris devant la représentation nationale en réalités opérationnelles tangibles. Il convient désormais de finaliser la sélection du partenaire cloud souverain et d’amorcer sans délai la migration des bases de données existantes vers ce nouvel environnement sécurisé. Pour assurer le succès de cette mutation, la direction devra non seulement piloter le transfert technologique avec une rigueur absolue, mais aussi renforcer la transparence vis-à-vis du grand public sur l’usage et la protection de ses informations les plus intimes. La réussite de ce projet servira de modèle pour d’autres administrations confrontées à des dépendances similaires, prouvant que la France dispose des ressources nécessaires pour s’affranchir des monopoles technologiques étrangers. En consolidant son infrastructure autour d’acteurs européens, l’institution pourra enfin se concentrer pleinement sur sa mission d’excellence scientifique, garantissant que l’innovation en santé reste un bien commun protégé et valorisé sur le sol national.
