Les menaces de Donald Trump ont conféré un caractère d’urgence à la manière dont l’État traite l’hébergement de ses données. Après avoir présenté une nouvelle doctrine en matière d’achats publics, le gouvernement s’attaque au dossier de l’hébergement des données du Health Data Hub.
Cap vers un hébergement souverain
Le gouvernement a annoncé, le 5 février 2026, renoncer à la solution “intercalaire” et annule l’appel d’offres associé afin de basculer directement vers un hébergement présenté comme souverain et pérenne, certifié SecNumCloud.
Présentée comme “une accélération”, cette nouvelle stratégie doit permettre d’héberger la base principale du Système national des données de santé (SNDS) et de mettre à disposition des environnements de travail sécurisés pour les porteurs de projets.
Le Health Data Hub est le nom donné au groupement d’intérêt public (GIP), créé par la loi du 24 juillet 2019. Il est chargé d’organiser l’accès, le traitement et la sécurisation d’une immense base de données de santé éponyme. En pratique, le GIP opère comme tiers de confiance pour les producteurs des données, les utilisateurs (chercheurs, entreprises...) et la Commission nationale de l’informatique et des libertés (Cnil).
Le Health Data Hub, colonne vertébrale des données de santé
Le Health Data Hub contient les données du Système national des données de santé (SNDS), lequel compile les données de remboursement de soins de ville, les données hospitalières, les données sur les affections de longue durée ou encore les données sur les arrêts de travail et les invalidités.
L’objectif du Health Data Hub est de faciliter la recherche et l’évaluation du système de santé en donnant accès à des données massives et pseudonymisées afin de développer de nouveaux outils, tels que des modèles d’intelligence artificielle.
Azure, le choix qui a mis le feu aux poudres
La polémique principal de ce dossier est son hébergement. A l’origine, et sans que les raisons de ce choix ne soient très claires, c’est Microsoft Azure qui a été sélectionné. Or, en tant qu’entreprise américaine, elle est soumise aux lois extraterritoriales américaines, dont le CLOUD Act. Cette législation permet aux autorités de surveillance d’accéder, sous certaines conditions, aux données stockées dans des data centers quelle que soit leur localisation dans le monde.
A ces craintes se sont ajoutées des critiques sur le choix de l’Etat pour un opérateur non français et non européen, dans un contexte d’ultra domination par trois hyperscalers, Amazon Web Services (AWS), Google Cloud Platform (GCP) et Microsoft Azure.
Un calendrier sans cesse repoussé
Face à ce tollé, le gouvernement avait finalement annoncé qu’une migration allait avoir lieu. En novembre 2020, Olivier Véran, alors ministre de la Santé, avait dit vouloir trouver "une nouvelle solution technique" dans “un délai qui soit autant que possible compris entre 12 et 18 mois”.
Cette première échéance n’avait déjà pas été respectée à l’époque puisqu’en 2022, Stéphanie Combes, la directrice du Health Data Hub, avait déclaré qu’il fallait attendre “l’horizon 2025″ pour que les travaux de migration vers un cloud souverain soient mis en œuvre.
C’est finalement en juillet 2025 que l’appel d’offres tant attendu a été publié afin de trouver “une solution intercalaire” pour un montant de 6,2 millions d’euros, conforme aux référentiels SecNumCloud. Les candidatures étaient ouvertes jusqu’au 4 août 2025, pour un démarrage prévu début 2026.
La fin de la solution dite “intercalaire”
Une liste de candidats pré-sélectionnée a été révélée par L’Informé, parmi lesquels Cloud Temple avec Atos et Docaposte et OVHcloud. Cet appel d’offres tombe donc à l’eau puisque le gouvernement abandonne l’idée d’une solution transitoire au profil d’une offre pérenne.
Dans le détail, la solution dite “intercalaire” visait uniquement à héberger la base principale des données de remboursement de l’Assurance maladie sur une infrastructure souveraine, afin de soulager cette dernière de la gestion des demandes d’accès.
Cette architecture transitoire devait permettre d’aller plus vite. Elle a finalement produit l’effet inverse. Comme l’ont reconnu les équipes gouvernementales lors d’un brief, la solution intercalaire n’aurait couvert qu’une partie du besoin, en excluant les “bulles de travail” indispensables aux chercheurs, tout en repoussant l’échéance à mi-2027 dans le meilleur des cas.
Recours au marché “Nuage public” pour accélérer la migration
Or, les travaux menés par les ministères ont conclu qu’il était possible d’aller “plus rapidement vers une solution exhaustive”, couvrant à la fois l’hébergement des données et les environnements de traitement sécurisés.
D’où le choix du gouvernement d’un basculement direct vers la solution dite “cible” en s’appuyant sur les offres déjà référencées sur le marché “Nuage public” de l’Union des groupements d’achats publics (UGAP).
Dans les faits, il s’agit des services cloud qui ont déjà été sélectionnés et contractualisés par l’Etat dans le cadre d’un marché public. Ce marché permet aux administrations de recourir à des fournisseurs de cloud sans lancer d’appel d’offres spécifique pour chaque projet. Les prestataires y sont référencés à l’issue d’une procédure préalable.
En s’appuyant sur ce marché, le gouvernement estime pouvoir sélectionner plus rapidement un hébergeur pour le Health Data Hub, tout en respectant les règles de la commande publique. Le recours à ce marché permet de réduire significativement les délais de sélection : la phase de mise en concurrence est estimée “entre quatre et six semaines”.
Eviction des offres américaines
Interrogé sur la possibilité de recourir à des acteurs américains, le gouvernement a indiqué que les offres d’AWS, de Google Cloud et de Microsoft Azure étaient bien exclues de ce marché car elles ne sont pas qualifiées “SecNumCloud”.
Selon le gouvernement, la solution cible du Health Data Hub doit être pleinement opérationnelle d’ici fin 2026. Lors du brief, l’exécutif a précisé que la trajectoire précédente, fondée sur une solution intercalaire, aurait conduit à une mise en service “au mieux à mi-2027″, pour une solution limitée à l’hébergement des données. C’est ce différentiel de calendrier, combiné à la possibilité de déployer une solution complète via des offres déjà référencées, qui fonde l’argument “d’accélération”.
Une “accélération” à l’épreuve des faits
Pour autant, faut-il y croire ? Le gouvernement a déjà fait évoluer à de nombreuses reprises le calendrier de migration, au gré des arbitrages politiques et des contraintes juridiques. Ce qui invite à la prudence sur la promesse d’une plateforme pleinement opérationnelle fin 2026.
Si les ministères mettent en avant la rapidité permise par le recours au marché UGAP, l’attribution à un nouvel hébergeur n’est pas à l’abri des contestations, qu’elles soient liées à la procédure de mise en concurrence, aux critères techniques retenus ou à l’exclusion de certains acteurs.
S3NS, un choix qui pourrait rouvrir le débat
La question se pose si l’offre de S3NS, récemment qualifiée SecNumCloud, est retenue. S3NS est une coentreprise majoritairement détenue par Thales, qui s’appuie sur les technologies de Google Cloud, ce dernier n’étant pas actionnaire majoritaire mais fournisseur technologique clé. Dans un dossier aussi sensible que celui des données de santé, cette proximité capitalistique et technologique avec un acteur américain pourrait nourrir de nouveaux débats juridiques ou politiques, susceptibles de fragiliser une nouvelle fois le calendrier annoncé.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
