Données de santé hébergées chez Microsoft : une souveraineté en question
Depuis plusieurs années, le Health Data Hub (HDH), plateforme centralisant les données de santé des Français, est au cœur d’une vive polémique en raison de l’hébergement de ses données sensibles chez Microsoft Ireland Operations Ltd, filiale européenne du géant américain. Le choix de ce prestataire, combiné aux enjeux croissants de souveraineté numérique et de respect du droit européen, suscite l’inquiétude d’élus et d’acteurs de la société civile.
Le choix contesté d’un prestataire américain
Lorsque le HDH a vu le jour, il a rapidement été confié à Microsoft la mission d’héberger les milliards de données de santé collectées. Bien que la filiale soit basée en Irlande, elle reste soumise aux législations américaines, notamment le Cloud Act, qui permet aux autorités américaines d’exiger l’accès à des données stockées à l’étranger par des entreprises américaines.
Cette dépendance technologique pose un risque d’extraterritorialité juridique. En d’autres termes, des informations aussi sensibles que les données de santé des citoyens français pourraient théoriquement être consultées par des autorités étrangères. Cette possibilité alarme des personnalités politiques comme Philippe Latombe, député MoDem, qui multiplie les courriers à l’administration pour obtenir des éclaircissements sur les mesures prises pour protéger ces données.
Une migration vers un « Cloud de confiance »… qui tarde
En 2022, le HDH a pourtant publié une feuille de route promettant une migration vers une solution de type « Cloud de confiance » d’ici 2025. Ce label garantit que les données restent soumises exclusivement au droit européen, hébergées par des entreprises non soumises à des lois extraterritoriales étrangères.
Cependant, à un an de cette échéance, aucun calendrier précis ni solution alternative n’a été confirmé. Dans ses échanges avec Philippe Latombe, la directrice du HDH, Stéphanie Combes, reste vague, évoquant la complexité du sujet et insistant sur l’importance de la sécurité globale plutôt que la seule souveraineté juridique.
« La souveraineté n’est pas la seule composante de la sécurité informatique », affirme-t-elle, soulignant que Microsoft apporte des garanties techniques élevées.
Souveraineté numérique vs sécurité opérationnelle
Ce débat met en lumière un dilemme fondamental : faut-il privilégier une solution ultra-sécurisée mais dépendante d’un acteur étranger, ou risquer une sécurité moindre pour une souveraineté totale ? Microsoft est l’un des leaders mondiaux du cloud, et ses infrastructures sont reconnues pour leur robustesse, ce qui complique la recherche de solutions équivalentes à l’échelle nationale ou européenne.
Par ailleurs, le marché français du cloud de santé peine encore à atteindre le niveau de maturité technique et de certifications requis pour accueillir des volumes aussi sensibles que ceux du HDH. Des acteurs comme OVHcloud, 3DS Outscale ou Scaleway travaillent activement à répondre à ces enjeux, mais peinent à convaincre face aux géants américains (Microsoft, AWS, Google Cloud).
Les enjeux stratégiques d’une autonomie numérique
Au-delà de la question sanitaire, c’est bien celle de la souveraineté numérique de la France qui se pose. Alors que les cyberattaques se multiplient et que la maîtrise des données devient un levier de puissance géopolitique, la dépendance à des solutions non-européennes est vue par beaucoup comme une faille stratégique majeure.
L’Union européenne tente d’y répondre par des initiatives telles que Gaia-X, un projet visant à créer une infrastructure cloud européenne souveraine. Toutefois, ces initiatives peinent encore à s’imposer sur un marché dominé par les GAFAM.
Vers un réveil politique et citoyen ?
L’action du député Philippe Latombe illustre un renouveau politique sur les enjeux numériques. Son insistance à obtenir des réponses concrètes montre que la vigilance parlementaire sur ces sujets progresse. Toutefois, cette mobilisation doit s’accompagner d’une prise de conscience citoyenne : la maîtrise des données personnelles n’est plus une option mais une nécessité.
De plus en plus de voix s’élèvent, notamment dans les milieux de la cybersécurité et des libertés numériques, pour demander que les données de santé soient hébergées sur des infrastructures souveraines, locales et transparentes.
