Le gouvernement change de stratégie dans le dossier du Health Data Hub : Microsoft devra bien passer la main à un hébergeur « souverain » d’ici la fin de l’année.
C’est un nouveau changement plan dans l’épineux dossier du Health Data Hub (HDH), cette plateforme des données de santé des Français hébergée par le géant américain Microsoft. D’ici la fin du mois de mars 2026, le nom de la société qui remplacera Microsoft devrait être connu. Et la migration devra être effective d’ici la fin de l’année : une accélération du calendrier et un changement de stratégie actés par le gouvernement, dans un communiqué du jeudi 5 février. Il s’agit désormais d’accélérer « la souveraineté numérique des données de santé ».
Jusqu’ici, Microsoft devait continuer temporairement à héberger la plateforme, pendant qu’un autre hébergeur français ou européen devait, à court terme et d’ici janvier 2026, héberger une copie du SNDS, le système national des données de santé. Après la mise en place de cette « solution intercalaire » vers un fournisseur labellisé SecNumCloud, la plus haute certification de cybersécurité de l’État, un autre appel à projet devait s’atteler à migrer totalement la plateforme de Microsoft vers un hébergeur souverain, tel que défini dans la loi SREN.
À lire aussi : Health Data Hub : tout comprendre à la polémique sur la plateforme de données de santé des Français
Nos « données de santé ne peuvent être à la merci d’une puissance étrangère »
La stratégie en deux temps est mise aux oubliettes. « Afin de garantir dans la durée la protection, la résilience et l’autonomie stratégique dans le traitement de ces données de santé essentielles, (le HDH) va désormais migrer vers une solution d’hébergement en nuage sécurisée, résiliente et non soumise aux législations extra-communautaires, grâce à la qualification SecNumCloud délivrée par l’ANSSI », détaille le gouvernement dans son communiqué. Désormais, le choix d’un hébergeur « sécurisé et souverain » se fera en un seul coup. Ne comptez toutefois pas sur un appel d’offres : l’hébergement de la plateforme passera par le marché Nuage public de l’Union des groupements d’achats publics (Ugap).
L’UGAP a le rôle d’intermédiaire entre les acheteurs publics (administrations, ministères, collectivités…) et les prestataires (les entreprises privées qui peuvent fournir des équipements ou des services comme ici, des prestations informatiques). La centrale d’achats négocie en amont des contrats-cadres avec différentes sociétés, puis propose un catalogue de prestations aux administrations ou collectivités qui n’ont plus qu’à passer commande, en cas de besoin.
Les candidats pourront, à partir du 9 février, consulter les besoins du HDH, au sein d’un cahier des charges. D’ici la fin du mois de mars 2026, l’État devrait choisir le futur hébergeur. Le tout devra être opérationnel à la fin de l’année. Pour David Amiel, ministre délégué chargé de la Fonction publique et de la Réforme de l’État cité dans le communiqué : « Nous faisons le choix d’une stratégie claire de protection des données de santé de nos concitoyens qui ne peuvent être à la merci d’une puissance étrangère ». Si tout se passe comme prévu, la polémique qui dure depuis des années devrait prendre fin en 2026.
Une controverse née en 2019
Pour rappel, la controverse était née en 2019, année où le géant des logiciels et aussi du cloud, avec Azure, avait été choisi pour héberger le HDH et l’EMC2, sa version européenne. La décision constituait un non-sens pour de nombreuses associations et fournisseurs de cloud français, qui regrettaient que l’administration ne privilégie pas un fournisseur européen non soumis aux lois extraterritoriales américaines.
La décision avait fait l’objet de nombreux recours et discours. La CNIL et le Conseil d’État avaient toutefois validé le recours à cette entreprise américaine, mais pour trois ans et avec certains « regrets », pour la première. Le gendarme français de notre vie privée « déplorait alors qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le (HDH) ne protège les données contre l’application de lois extraterritoriales de pays tiers ».
À lire aussi : Le risque d’accès à nos données de santé, par les autorités américaines, est « hypothétique », selon le Conseil d’Etat
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.