En février 2026, le gouvernement français a franchi une étape décisive dans sa stratégie de souveraineté numérique en lançant un appel d’offres pour transférer les données de santé des Français, actuellement hébergées par Microsoft, vers un hébergeur européen certifié. Cette décision, attendue depuis plusieurs années, marque un tournant dans la protection des données sensibles et répond à des enjeux géopolitiques, juridiques et technologiques majeurs. Entre risques extraterritoriaux, conformité réglementaire et ambition européenne, ce transfert soulève des questions essentielles sur l’avenir de la santé numérique en France.
Pourquoi quitter Microsoft ? Les risques des lois extraterritoriales
Le choix initial de Microsoft pour héberger le *Health Data Hub* (HDH), la plateforme française de données de santé, avait suscité de vives critiques dès son annonce en 2019. La principale préoccupation ? Les lois américaines, notamment le *Cloud Act* et le *Patriot Act*, qui permettent aux autorités des États-Unis d’accéder aux données stockées par des entreprises américaines, même si ces données sont hébergées en Europe. Pour la Commission nationale de l’informatique et des libertés (Cnil), cette situation posait un risque inacceptable pour la confidentialité des données médicales des Français.
En 2022, la Cnil avait d’ailleurs refusé un transfert global des données vers Microsoft, n’autorisant que des projets ponctuels et limités dans le temps. Cette position reflétait une méfiance croissante envers les géants technologiques américains, perçus comme des vecteurs potentiels d’ingérence étrangère. Comme le soulignait un rapport du Sénat en 2021, *"la dépendance aux infrastructures cloud non-européennes expose la France à des risques juridiques et stratégiques incompatibles avec sa souveraineté"*.
Le label SecNumCloud : une garantie de sécurité et d’indépendance
Pour répondre à ces enjeux, le gouvernement a imposé un critère strict dans son appel d’offres : le futur hébergeur doit être certifié *SecNumCloud*, un label délivré par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Ce label, créé en 2016, garantit que les données sont hébergées dans des infrastructures souveraines, protégées contre les accès non autorisés et soumises uniquement au droit européen.
Parmi les exigences du label :
- Localisation des données : les serveurs doivent être situés en Europe, de préférence en France.
- Exclusion des législations extraterritoriales : les hébergeurs ne doivent pas être soumis à des lois étrangères pouvant contraindre l’accès aux données.
- Conformité RGPD : respect strict des règles européennes en matière de protection des données personnelles.
- Certification HDS : pour les données de santé, une certification spécifique (*Hébergeur de Données de Santé*) est également requise.
Cette double certification (SecNumCloud + HDS) réduit considérablement les risques d’espionnage ou de fuites, tout en alignant la France sur les ambitions européennes en matière de *cloud souverain*.
Qui sont les candidats pour héberger les données de santé françaises ?
Plusieurs acteurs européens et français se positionnent pour reprendre le marché actuellement détenu par Microsoft. Voici les principaux prétendants :
1. OVHcloud : le champion français du cloud
- Atouts : Premier hébergeur européen en termes de parts de marché, OVHcloud est déjà certifié SecNumCloud et HDS. Son modèle économique, basé sur des infrastructures 100 % européennes, en fait un candidat naturel.
- Défis : L’entreprise a connu des incidents de sécurité par le passé (incendie d’un data center en 2021), ce qui pourrait jouer en sa défaveur pour un projet aussi sensible.
2. Cloud Temple (en partenariat avec Atos) : une alliance franco-européenne
- Atouts : Ce consortium, soutenu par le groupe Atos, mise sur une offre hybride combinant expertise française et couverture européenne. Cloud Temple est déjà certifié SecNumCloud et travaille avec des acteurs publics.
- Défis : Atos traverse une période de restructuration financière, ce qui pourrait inquiéter sur la pérennité du projet.
3. Orange Business : l’opérateur historique
- Atouts : Fort de son expérience dans les télécoms et les infrastructures critiques, Orange Business dispose d’un réseau de data centers en France et en Europe. Son expertise en cybersécurité est un atout majeur.
- Défis : Moins spécialisé dans le cloud que ses concurrents, Orange devra prouver sa capacité à gérer un volume aussi important de données sensibles.
4. 3DS Outscale (filiale de Dassault Systèmes) : le spécialiste des données industrielles
- Atouts : Déjà certifié SecNumCloud, 3DS Outscale héberge des données sensibles pour des secteurs comme l’aéronautique ou la défense. Son approche "cloud souverain" est alignée sur les attentes du gouvernement.
- Défis : Moins connu du grand public, ce candidat devra convaincre sur sa capacité à gérer des données de santé à grande échelle.
5. Autres acteurs européens : une ouverture à l’international ?
Bien que l’appel d’offres privilégie les acteurs français, des entreprises européennes comme SAP (Allemagne) ou T-Systems (filiale de Deutsche Telekom) pourraient également se manifester. Cependant, la préférence nationale semble jouer en faveur des candidats français, dans une logique de renforcement de l’écosystème local.
Un calendrier serré pour une migration complexe
Le gouvernement a fixé un calendrier ambitieux pour ce transfert :
- Février 2026 : Lancement de l’appel d’offres.
- Fin mars 2026 : Attribution du marché au nouvel hébergeur.
- Été/fin 2026 : Migration complète des données vers la nouvelle plateforme.
Cette rapidité s’explique par l’urgence de sortir de la dépendance à Microsoft, mais elle pose plusieurs défis techniques et organisationnels :
- Interopérabilité : Les données du HDH sont actuellement stockées dans des formats compatibles avec les outils Microsoft (Azure). Leur migration vers un nouvel environnement nécessitera des adaptations techniques.
- Continuité de service : Le HDH est utilisé par des chercheurs, des hôpitaux et des startups de la santé. Toute interruption pourrait perturber des projets en cours.
- Sécurité : La migration elle-même est une phase critique, où les données sont particulièrement vulnérables aux cyberattaques.
Pour limiter les risques, le gouvernement a prévu une période de transition où les deux hébergeurs (Microsoft et le nouveau prestataire) cohabiteront, permettant une bascule progressive des données.
Les enjeux au-delà de la santé : vers une souveraineté numérique européenne
Ce transfert s’inscrit dans une stratégie plus large de souveraineté numérique, portée par la France et l’Union européenne. Plusieurs initiatives récentes illustrent cette dynamique :
1. Le projet Gaia-X : un cloud européen souverain
Lancé en 2020, Gaia-X vise à créer un écosystème de cloud européen, indépendant des géants américains et chinois. Bien que le projet ait connu des retards, il reste une priorité pour Bruxelles, avec des financements dédiés dans le cadre du *Digital Europe Programme*.
2. Le règlement européen sur les données (Data Act)
Adopté en 2023, ce texte encadre l’accès et l’utilisation des données dans l’UE, avec pour objectif de réduire la dépendance aux plateformes étrangères. Il impose notamment des obligations de transparence et d’interopérabilité aux hébergeurs de données.
3. La certification SecNumCloud : un standard pour l’Europe ?
La France pousse pour que le label SecNumCloud devienne une référence européenne, au même titre que le RGPD pour la protection des données. Une harmonisation des certifications cloud au niveau de l’UE faciliterait les échanges de données entre États membres tout en garantissant leur sécurité.
4. Les tensions géopolitiques : une motivation supplémentaire
Les révélations sur l’espionnage américain (affaire Snowden, 2013) et les tensions commerciales entre l’UE et les États-Unis ont accéléré la prise de conscience des risques liés à la dépendance technologique. Comme le soulignait Thierry Breton, commissaire européen au Marché intérieur, en 2024 : *"Nous ne pouvons pas dépendre de solutions qui nous exposent à des lois extraterritoriales. La souveraineté numérique est une question de sécurité nationale."*
Quels bénéfices pour les citoyens et les professionnels de santé ?
Pour les Français, ce transfert présente plusieurs avantages concrets :
- Meilleure protection des données : Les risques d’accès non autorisés par des autorités étrangères sont réduits.
- Contrôle accru : Les données restent soumises au droit européen, avec des recours possibles en cas de violation.
- Soutien à l’innovation locale : En choisissant un hébergeur européen, la France renforce son écosystème technologique et crée des emplois qualifiés.
Pour les professionnels de santé et les chercheurs, les bénéfices sont également significatifs :
- Accès sécurisé aux données : Les plateformes certifiées SecNumCloud offrent des garanties de confidentialité et de disponibilité.
- Simplification des démarches : La centralisation des données dans un environnement souverain facilite leur exploitation pour la recherche médicale.
- Alignement avec les valeurs européennes : Ce choix renforce la cohérence avec les principes du RGPD et de l’éthique médicale.
> Encadré : Le Health Data Hub, c’est quoi ?
> Lancé en 2019, le *Health Data Hub* est une plateforme française qui centralise les données de santé (dossiers médicaux, résultats d’examens, données de remboursement) pour faciliter la recherche et l’innovation. Elle est utilisée par des hôpitaux, des laboratoires et des startups pour développer des outils d’intelligence artificielle en santé. En 2025, le HDH hébergeait les données de plus de 67 millions de Français.
Les défis à relever pour réussir cette transition
Malgré ses avantages, cette migration n’est pas sans risques. Voici les principaux défis à anticiper :
1. La cybersécurité : une cible de choix pour les hackers
Les données de santé sont parmi les plus convoitées par les cybercriminels. En 2023, le secteur de la santé représentait 20 % des cyberattaques en France, selon l’Anssi. Le nouvel hébergeur devra prouver sa capacité à résister aux attaques, notamment en :
- Renforçant les protocoles de chiffrement.
- Mettant en place des systèmes de détection des intrusions en temps réel.
- Formant les équipes à la gestion des crises cyber.
2. L’acceptation par les utilisateurs
Les chercheurs et les professionnels de santé, habitués aux outils Microsoft, pourraient résister au changement. Pour faciliter l’adoption, le gouvernement devra :
- Proposer des formations et un accompagnement technique.
- Garantir une compatibilité avec les logiciels existants.
- Communiquer clairement sur les bénéfices de la migration.
3. Le coût de la transition
Changer d’hébergeur représente un investissement important. Selon une estimation de la Cour des comptes en 2024, la migration du HDH pourrait coûter entre 50 et 100 millions d’euros. Ce budget inclut :
- Les frais de migration des données.
- Les adaptations techniques nécessaires.
- La formation des utilisateurs.
4. La pérennité du nouvel hébergeur
Choisir un acteur européen ne suffit pas : il faut s’assurer de sa stabilité financière et de sa capacité à innover. Les candidats devront prouver qu’ils peuvent :
- Maintenir leurs infrastructures sur le long terme.
- Investir dans la recherche et développement.
- S’adapter aux évolutions technologiques (IA, blockchain, etc.).
Conclusion : un symbole fort pour la souveraineté numérique
Le transfert des données de santé françaises de Microsoft vers un hébergeur européen est bien plus qu’une simple migration technique. Il s’agit d’un acte politique et stratégique, qui reflète la volonté de la France de reprendre le contrôle de ses infrastructures numériques. Dans un contexte marqué par les tensions géopolitiques et les scandales liés à la protection des données, cette décision envoie un message clair : l’Europe entend défendre sa souveraineté, y compris dans le domaine du cloud.
Pour les citoyens, cela signifie une meilleure protection de leurs données personnelles. Pour les professionnels de santé, une opportunité de travailler dans un environnement plus sécurisé et aligné sur les valeurs européennes. Pour l’industrie technologique française, une chance de renforcer son écosystème et de créer des emplois.
Cependant, le succès de cette transition dépendra de la capacité du gouvernement et des acteurs privés à relever les défis techniques, financiers et organisationnels. Si elle est menée à bien, cette migration pourrait servir de modèle pour d’autres secteurs sensibles, comme la défense ou l’énergie, et inspirer d’autres pays européens à suivre la même voie.
Et vous, que pensez-vous de cette décision ? Faut-il accélérer la souveraineté numérique en Europe, ou craignez-vous des risques de fragmentation technologique ? Partagez votre avis en commentaires et restez informés sur les évolutions de ce dossier en vous abonnant à notre newsletter.
—
Sources :
- [Politique Matin – Hébergement des données de santé et souveraineté](https://www.politiquematin.fr/hebergement-donnees-sante-souverainete)
- [01net – Health Data Hub : nos données de santé ne resteront pas chez Microsoft](https://www.01net.com/actualites/health-data-hub-nos-donnees-de-sante-ne-resteront-pas-chez-microsoft.html)
- [Usine Digitale – Qui reprendra les rênes de l’hébergement des données de santé ?](https://www.usine-digitale.fr/sante/health-data-hub-apres-microsoft-azure-qui-reprendra-les-renes-pour-lhebergement-des-donnees-de-sante-des-francais.AWYCXPSJXJBPBMK2WUKN2VGJ74.html)
- [Boursorama – Le gouvernement quitte Microsoft pour une solution souveraine](https://www.boursorama.com/actualite-economique/actualites/donnees-de-sante-des-francais-le-gouvernement-quitte-l-hebergeur-microsoft-et-cherche-une-solution-souveraine-europeenne-cd8db68dbab66ebd8603b8cd6f84f5fc)
- [20 Minutes – Cybersecurité : les données de santé françaises bientôt chez un Européen](https://www.20minutes.fr/sante/4200055-20260206-cybersecurite-bye-bye-microsoft-donnees-sante-francaises-bientot-chez-europeen)
- [Franceinfo – Appel d’offres pour une plateforme sécurisée européenne](https://www.franceinfo.fr/sante/le-gouvernement-lance-un-appel-d-offre-pour-confier-les-donnees-de-sante-des-francais-a-une-plateforme-securisee-europeenne_7786565.html)