Données de santé : le Health Data Hub français opte pour un cloud souverain européen en quittant Microsoft

Le changement d’hébergeur du Health Data Hub marque un tournant discret mais majeur pour la santé numérique en France et en Europe.

Données de santé et Health Data Hub : comprendre ce qui change en quittant Microsoft

Lorsqu’on parle du départ du Health Data Hub de Microsoft vers un cloud souverain, l’annonce peut sembler lointaine pour un patient, une infirmière libérale ou un proche aidant. Pourtant, derrière cette décision politique et technique, il est question d’un élément très intime : les données de santé, celles qui racontent des années de traitements, d’examens, de fragilités comme de guérisons.

Le Health Data Hub, aussi appelé Plateforme de données de santé, a été créé en 2019 avec une ambition simple à formuler, mais complexe à mettre en œuvre : rassembler, de manière sécurisée, une copie d’un grand nombre de bases de données de santé françaises, dont celles de l’Assurance maladie, pour permettre à la recherche d’avancer plus vite. Concrètement, il s’agit de donner à des équipes de recherche sérieuses, encadrées, la possibilité d’analyser des millions de parcours de soins afin de mieux comprendre des maladies, d’améliorer les prises en charge ou de repérer plus tôt des signaux faibles.

Jusqu’ici, cette grande “bibliothèque numérique” était hébergée sur les centres de données de Microsoft, via son service de cloud computing. Ce choix initial a rapidement fait polémique, car l’entreprise reste soumise au droit américain, notamment aux lois dites “extraterritoriales” qui autorisent, dans certains cas, les autorités des États-Unis à demander l’accès à des données, même si elles sont stockées en Europe. Sur le papier, les protections contractuelles étaient nombreuses, mais pour des informations aussi sensibles que les dossiers de santé, le doute suffit à fragiliser la confiance.

La Cnil, gardienne française des libertés numériques, a d’ailleurs tiré plusieurs fois le frein à main. Elle n’a jamais donné son accord à un transfert massif de l’ensemble des données de l’Assurance maladie vers le Health Data Hub tant que l’hébergement restait sous la dépendance indirecte du droit américain. Résultat : la plateforme a fonctionné, mais de façon partielle, avec des projets limités dans le temps et par thématique, loin du “grand entrepôt” imaginé au départ.

Avec l’annonce du passage à un hébergeur européen certifié SecNumCloud, le décor change. Ce label impose notamment que l’opérateur ne soit pas soumis à une législation non européenne. Les géants comme Microsoft, Amazon Web Services ou Google en sont de fait exclus. Ce recentrage vers un cloud souverain relève autant du symbole que du concret : symbole, car il affirme une volonté de souveraineté numérique européenne ; concret, car il clarifie enfin le cadre juridique et rassure sur la maîtrise des données.

Pour donner une image simple, imaginez un carnet de santé géant et anonyme, qui regrouperait les histoires de millions de personnes. Dans ce carnet, une chercheuse en cancérologie pourrait repérer que tel schéma de chimiothérapie fonctionne mieux à tel âge, ou qu’un médicament entraîne des effets secondaires inattendus au bout de plusieurs années. Si le carnet est gardé dans un coffre dont la clé peut être réclamée par un pays tiers, même théoriquement, la confiance est ébranlée. En le rapatriant dans un coffre contrôlé par l’Europe, avec des règles claires, le message envoyé est différent : la confidentialité reste une priorité non négociable.

Cette bascule ne vise pas seulement à rassurer les juristes. Elle répond aussi à une question très humaine : à qui confier le récit numérique de sa santé ? Les personnes vivant avec une maladie chronique, par exemple, voient leurs données s’accumuler : examens, passages aux urgences, prescriptions renouvelées. Savoir que ces informations, une fois pseudonymisées et agrégées, servent à avancer en recherche dans un cadre sécurisé, plutôt qu’à circuler dans un écosystème flou, change le regard.

Ce mouvement de sortie de Microsoft s’inscrit dans un contexte plus large : en Europe, de nombreuses voix appellent à bâtir une vraie autonomie dans le cloud computing, notamment pour les secteurs critiques comme la santé. La migration du Health Data Hub vers un nouvel opérateur européen peut ainsi servir de cas d’école pour d’autres projets de santé numérique à venir.

En filigrane, c’est une question de confiance sociale qui se joue : sans confiance, pas de partage de données ; sans partage, pas de recherche robuste ; sans recherche, des années perdues pour mieux soigner. C’est ce cercle vertueux que ce changement d’hébergement cherche enfin à débloquer.

Cloud souverain européen et SecNumCloud : quels bénéfices concrets pour la protection des données ?

Le terme cloud souverain est parfois perçu comme un slogan politique. Pourtant, appliqué au Health Data Hub, il recouvre une réalité très concrète pour la protection des données de santé. Derrière cette notion, il y a l’idée que l’infrastructure technique, la gestion des serveurs et la gouvernance juridique restent sous maîtrise européenne, sans angle mort lié à une autre législation.

Le label SecNumCloud, délivré en France par l’ANSSI, est au cœur de cette démarche. Il ne s’agit pas seulement de vérifier que les serveurs sont situés en Europe, mais aussi que l’opérateur respecte des exigences élevées en matière de sécurité, de chiffrement, de gestion des accès et d’indépendance juridique. Les candidats potentiels au nouvel hébergement du Health Data Hub sont donc des acteurs comme OVH, Cloud Temple ou Sens (un opérateur porté par Thales, basé sur une technologie de cloud de Google mais encapsulée dans une structure de droit français).

Pour bien comprendre l’enjeu, il peut être utile de revenir sur trois dimensions de la sécurité des données de santé : la technique, la juridique et la symbolique. Techniquement, un cloud computing certifié doit pouvoir démontrer une résilience face aux attaques, des sauvegardes fiables, des plans de reprise d’activité en cas d’incident et un contrôle strict des personnes pouvant accéder physiquement ou logiquement aux serveurs. Juridiquement, l’hébergeur ne doit pas pouvoir être contraint de transmettre les données à des autorités extérieures à l’Union européenne. Symboliquement enfin, il s’agit de redire que la santé ne relève pas d’un simple actif économique, mais d’un bien commun.

Pour un patient, ces notions peuvent sembler abstraites. Pourtant, elles se traduisent dans des situations très simples : un jour, un chercheur pourra peut-être repérer grâce aux données du Health Data Hub qu’un médicament couramment prescrit aux personnes âgées augmente le risque de chute chez un certain profil. S’il peut mener cette analyse dans un environnement sécurisé et juridiquement maîtrisé, les résultats pourront être partagés plus sereinement, sans conflit permanent sur la légitimité de la plateforme.

Dans les établissements de soins, les professionnels ont déjà vécu la transition vers des systèmes d’information hospitaliers plus robustes, avec des sauvegardes régulières et des accès tracés. Le passage du Health Data Hub vers un cloud souverain peut être vu comme la version “recherche” de ce mouvement : stabiliser l’infrastructure pour que les équipes puissent se concentrer sur la science plutôt que sur les polémiques.

Voici, de manière synthétique, ce que change ce choix d’hébergement dans le contexte de la santé numérique :

• 🔐 Moins de risque juridique lié aux lois extraterritoriales : les opérateurs choisis ne sont pas soumis directement au droit américain.
• 🧩 Cadre plus lisible pour la Cnil : cela facilite l’autorisation de projets de recherche plus ambitieux.
• 🏥 Signal fort envoyé aux soignants : la sécurité des données patients est traitée comme un pilier, pas comme une option.
• 🤝 Meilleure acceptabilité sociale : les patients acceptent plus facilement que leurs données anonymisées servent la recherche quand ils savent où elles sont hébergées.

Ce changement d’hébergeur n’annule pas les autres exigences : pseudonymisation, contrôle des accès, traçabilité des usages. Il vient plutôt compléter l’édifice. Un peu comme lorsqu’une équipe soignante change de local pour un cabinet mieux sécurisé : la qualité des soins tient à la compétence des professionnels, mais le lieu matériel joue quand même un rôle dans le sentiment de sécurité.

Au niveau européen, cette décision s’inscrit aussi dans un mouvement plus large, avec la création de l’espace européen des données de santé. L’idée est de faciliter, à terme, le partage contrôlé de données entre pays membres pour la recherche et la prise en charge. En faisant le choix d’un cloud souverain, la France se place dans le sens de cette dynamique plutôt que dans un modèle trop dépendant de solutions extra-européennes.

La protection des données n’est donc pas un frein à la recherche, mais un socle. Bien posé, il permet d’aller plus loin sans craindre de tout voir s’effondrer à la première alerte juridique.

Cette nouvelle base sécurisée ouvre ensuite une question essentielle : comment ce changement va-t-il concrètement aider la recherche médicale et, au bout de la chaîne, les patients ?

Recherche médicale, Health Data Hub et impact pour les patients : des promesses à rendre tangibles

Le Health Data Hub a parfois été décrit comme une “caverne d’Ali Baba numérique” pour les scientifiques. L’image est parlante : quelque part, dans un environnement sécurisé, reposent des millions de morceaux de vies médicales anonymisées, prêtes à être analysées pour faire émerger des tendances. Le départ de Microsoft vers un hébergeur européen doit permettre à cette caverne d’être enfin pleinement accessible, dans un cadre acceptable.

Pour les patients, l’impact se joue souvent à distance. Prenons l’exemple d’Élodie, 52 ans, qui vit avec un diabète de type 2. Elle ne verra jamais le Health Data Hub, ne se connectera à aucune interface de la plateforme. En revanche, un jour, une équipe de recherche pourra peut-être montrer, grâce à l’analyse de centaines de milliers de parcours comme le sien, qu’une combinaison précise d’activité physique, de régime alimentaire et de médicament donne de meilleurs résultats chez les femmes de son âge. Cette connaissance ne viendra pas d’un essai classique sur quelques milliers de personnes, mais d’une exploitation intelligente de données déjà là.

Pour que ce type de travaux se multiplie, plusieurs conditions doivent être réunies : un hébergement sécurisé (c’est l’objet du passage vers un cloud souverain), des règles claires d’accès aux données, une transparence sur les projets autorisés, et surtout un accompagnement pour les équipes mixtes, associant médecins, statisticiens, informaticiens. Le changement d’hébergeur n’est donc qu’une pièce du puzzle, mais une pièce structurante.

Concrètement, les domaines qui pourraient bénéficier de la montée en puissance du Health Data Hub sont nombreux :

• 🧠 Maladies chroniques : diabète, insuffisance cardiaque, maladies respiratoires, pour mieux adapter les parcours de suivi.
• 🎗️ Cancérologie : repérer quels protocoles sont les plus efficaces selon l’âge, les comorbidités, le type de tumeur.
• 👵 Gériatrie : comprendre les causes fréquentes de perte d’autonomie et les enchaînements d’hospitalisations.
• 🧒 Pédiatrie : mieux surveiller les effets à long terme de certains traitements chez l’enfant.

Pour les soignants de terrain, cette évolution peut paraître éloignée du quotidien fait de pansements, de perfusions, de consultations en retard. Pourtant, beaucoup de pratiques de soins d’aujourd’hui sont nées d’analyses de données anciennes : surveillance des interactions médicamenteuses, dépistage du cancer du sein, recommandations de vaccination. Le Health Data Hub vise à accélérer ce mouvement, à condition que le cadre inspire confiance.

La migration hors de Microsoft répond à cette exigence de confiance. Pendant des années, le débat autour de la plateforme a été saturé par la question de l’hébergeur, reléguant au second plan les bénéfices potentiels pour la population. En tournant la page de ce choix initial contesté, l’exécutif espère recentrer le débat sur les usages : quels projets financer en priorité, comment associer les associations de patients, comment rendre des comptes sur les résultats obtenus.

Pour illustrer cela, voici un tableau comparatif simplifié entre la situation passée et la trajectoire actuelle :

Le fait que l’attribution du nouveau marché d’hébergement soit attendue d’ici fin mars 2026 donne aussi un horizon. Les chercheurs peuvent anticiper la montée en puissance de la plateforme, les autorités de régulation peuvent adapter progressivement leurs recommandations, et les citoyens peuvent suivre, au fil des mois, la façon dont la gouvernance se met en place.

Pour que tout cela ait un véritable impact sur la santé des gens, un fil rouge reste essentiel : ne jamais perdre de vue que derrière les données de santé, il y a des histoires vécues, parfois lourdes, parfois lumineuses. Utiliser ces histoires pour mieux soigner, sans jamais mettre en péril la confidentialité, voilà la boussole à garder.

Reste alors une question sensible : comment s’assurer que cette montée en puissance ne se fasse pas au détriment de la vie privée et du consentement des citoyens ?

Protection des données, confidentialité et confiance : ce que le cloud souverain change vraiment pour les citoyens

La migration du Health Data Hub vers un cloud souverain ne suffit pas, à elle seule, à garantir la confidentialité. La sécurité est un empilement de couches : hébergement, chiffrement, anonymisation, gouvernance, contrôles indépendants. Pour que le public adhère, chaque couche doit être expliquée de façon claire et honnête, sans minimiser les risques ni promettre l’impossible.

Dans le cas des données de santé utilisées par le Health Data Hub, il ne s’agit pas d’une consultation nominative de dossiers médicaux. Les informations sont pseudonymisées, agrégées, et les projets de recherche doivent suivre un circuit d’autorisation précis. À chaque étape, des questions sont examinées : les données demandées sont-elles proportionnées à l’objectif ? Le bénéfice pour la santé publique est-il réel ? Les biais éventuels de l’étude ont-ils été anticipés ?

Le passage vers un hébergement européen certifié SecNumCloud agit comme un verrou supplémentaire. Il réduit les zones grises juridiques où pourraient s’engouffrer des demandes d’accès inappropriées, notamment de la part de pays tiers. Il permet aussi d’affirmer, plus nettement, que la souveraineté numérique européenne en matière de santé numérique est prise au sérieux.

Pour les citoyens, certaines bonnes pratiques peuvent aider à mieux vivre cette transition :

• 📚 S’informer auprès de sources fiables : autorités de santé, Cnil, associations de patients, plutôt que rumeurs sur les réseaux sociaux.
• ❓ Poser des questions aux soignants : sur l’usage de leurs données, les registres auxquels elles peuvent contribuer.
• 📝 Vérifier les droits d’accès et de rectification : via l’Assurance maladie ou les établissements de soins.
• 🤝 Soutenir les projets de recherche transparents : qui expliquent clairement leurs objectifs et leurs garanties éthiques.

Du côté des professionnels de santé et des chercheurs, la responsabilité est tout aussi importante. L’utilisation des données de santé ne doit pas être présentée comme une évidence incontournable, mais comme un choix collectif, argumenté, qui vise à mieux soigner. Les comités éthiques, les associations de patients, les représentants d’usagers ont un rôle clé à jouer pour donner un avis éclairé sur les projets.

Le choix d’un cloud souverain peut aussi être l’occasion de renforcer la transparence : publication des projets autorisés, des résultats obtenus, des impacts concrets sur les pratiques de soins. Quand un registre de données permet de modifier une recommandation médicale, l’information devrait être relayée de façon claire, y compris dans les médias grand public. C’est ainsi que la population perçoit que le partage encadré de données n’est pas seulement un risque, mais aussi une chance.

On le voit dans d’autres domaines de la vie quotidienne : les gens acceptent plus volontiers de confier une information personnelle lorsqu’ils comprennent à quoi elle sert précisément, combien de temps elle est conservée, et qui y accède. La protection des données n’est pas seulement une affaire de firewalls et d’algorithmes, c’est une relation de confiance, nourrie par la clarté des engagements.

À l’heure où les scandales de fuites de données se multiplient dans d’autres secteurs, la santé ne peut se permettre la légèreté. La décision de quitter Microsoft pour un opérateur européen envoie un message dans ce sens : certaines frontières ne doivent pas être franchies. Reste à traduire ce message dans les faits, au quotidien, projet après projet, pour que chaque patient puisse se dire : “Mon histoire aide la recherche, sans être trahie.”

En filigrane, cette transformation invite chacun à trouver son équilibre entre prudence et solidarité : protéger sa vie privée, tout en permettant à la science d’apprendre des expériences vécues par des millions de personnes.

Souveraineté numérique, Europe et avenir de la santé numérique : comment se préparer, côté terrain

Le départ du Health Data Hub de Microsoft pour un hébergeur européen s’inscrit dans une trajectoire plus large : celle de la souveraineté numérique européenne. Dans la santé comme dans d’autres domaines sensibles (énergie, défense, justice), la question de la maîtrise des infrastructures techniques devient centrale. Le cloud computing n’est plus juste un outil, c’est un levier de pouvoir.

Pour les acteurs de terrain – infirmiers, médecins généralistes, pharmaciens, structures médico-sociales, associations – cette évolution peut sembler très lointaine. Pourtant, elle aura des répercussions concrètes dans les années à venir : nouveaux outils de suivi, plateformes de coordination ville-hôpital, espaces numériques de santé renforcés, dossiers partagés enrichis. Tous ces services s’appuieront, directement ou non, sur des briques similaires à celles du Health Data Hub.

L’Europe travaille déjà à un espace européen des données de santé, pour que, demain, un patient soigné à Marseille puisse, avec son accord, voir certaines informations utiles consultées à Lisbonne ou Berlin en cas d’urgence. Dans ce contexte, disposer d’infrastructures européennes robustes et de labels de confiance comme SecNumCloud est un préalable. Sans cette base, les promesses de la santé numérique restent fragiles.

Pour les professionnels et les structures de soins, quelques axes d’action peuvent aider à se préparer :

• 🖥️ Mettre à jour les pratiques numériques : s’assurer que les logiciels métiers sont compatibles avec les futures plateformes sécurisées.
• 🎓 Renforcer la culture “données” : comprendre ce que sont une donnée de santé, une métadonnée, une anonymisation, pour mieux dialoguer avec les équipes techniques.
• 🧩 Participer aux projets pilotes : essais de nouveaux registres, retours d’expérience sur l’usage des données en soins primaires.
• 🗣️ Inclure les patients dans la réflexion : réunions d’information, supports pédagogiques, échanges sur les craintes et attentes.

Les fournisseurs de solutions numériques de santé, eux aussi, sont directement concernés. Le basculement vers un cloud souverain pour le Health Data Hub envoie un signal : les solutions qui s’inscrivent dans ce modèle auront sans doute plus de facilité à s’intégrer dans les écosystèmes publics. C’est un appel à bâtir des outils pensés pour l’Europe, avec des exigences élevées de protection des données.

Au-delà des aspects techniques, cette transition invite à remettre l’humain au centre. Une plateforme de données, aussi sophistiquée soit-elle, n’a de sens que si elle sert des objectifs concrets : mieux prévenir, mieux diagnostiquer, mieux accompagner la fin de vie, limiter les hospitalisations évitables. Chaque acteur – soignant, patient, décideur, développeur – porte une part de cette responsabilité.

Dans les années qui viennent, il sera utile de garder une question en tête : lorsqu’un nouvel outil numérique en santé est proposé, en quoi s’appuie-t-il – ou non – sur cet écosystème plus souverain, plus sécurisé, incarné notamment par le Health Data Hub nouvelle version ? La réponse permettra souvent de distinguer les solutions durables des effets de mode.

Ce mouvement de reprise en main des infrastructures n’est pas un repli. Il vise plutôt à construire une base solide pour coopérer à l’échelle européenne, sans être pieds et poings liés à des acteurs extérieurs. Un peu comme une équipe soignante qui organise d’abord ses protocoles internes avant d’ouvrir des coopérations avec d’autres services : l’autonomie renforce, plutôt qu’elle n’isole.

Pour chaque personne qui s’intéresse à la santé, l’idée à retenir est simple : la manière dont nos données de santé sont stockées et protégées n’est pas un détail technique, c’est une condition pour que la recherche progresse sans trahir la confiance. S’en souvenir au moment de signer un consentement, de paramétrer une appli de santé ou de répondre à un questionnaire médical en ligne est déjà une petite action concrète.

Qu’est-ce que le Health Data Hub, concrètement ?

Le Health Data Hub est une grande plateforme publique française de données de santé, destinée à la recherche. Elle rassemble, de manière sécurisée et encadrée, des données issues de différentes sources (Assurance maladie, hôpitaux, registres de maladies…) pour permettre à des équipes de recherche autorisées d’étudier, par exemple, l’efficacité de traitements ou les parcours de soins. Les données y sont pseudonymisées et utilisées dans un cadre strict, sous le contrôle d’instances comme la Cnil.

Pourquoi la France veut-elle quitter Microsoft pour un cloud souverain européen ?

Le choix initial d’héberger le Health Data Hub chez Microsoft a suscité de fortes critiques, car l’entreprise reste soumise au droit américain, qui peut, dans certains cas, permettre des demandes d’accès aux données. Pour des informations aussi sensibles que les données de santé, les autorités françaises ont décidé de privilégier un hébergeur européen certifié SecNumCloud, non soumis à une législation extra-européenne. L’objectif est de renforcer la protection juridique, la souveraineté numérique et la confiance des citoyens.

Mes données de santé individuelles sont-elles visibles dans le Health Data Hub ?

Non, les données utilisées dans le Health Data Hub ne sont pas consultées comme un dossier patient classique. Elles sont pseudonymisées, agrégées et exploitées dans le cadre de projets de recherche autorisés. Les chercheurs n’ont pas accès à votre identité, mais à des informations structurées (âge, pathologies, traitements, événements de santé) nécessaires à leurs études. Les projets sont encadrés et validés pour s’assurer du respect de la vie privée et de l’intérêt pour la santé publique.

Qu’est-ce que le label SecNumCloud dont on parle pour le nouvel hébergeur ?

SecNumCloud est une certification de l’ANSSI qui garantit un haut niveau de sécurité pour les services de cloud. Elle impose des exigences strictes en matière de protection technique (chiffrement, contrôle des accès, résilience), mais aussi d’indépendance juridique : les opérateurs certifiés ne doivent pas être soumis à une législation extra-européenne. Pour le Health Data Hub, cela signifie que l’hébergeur choisi devra respecter ces critères renforcés pour accueillir les données de santé.

En tant que patient, puis-je refuser que mes données soient utilisées par le Health Data Hub ?

Le cadre d’utilisation des données de santé en France repose sur plusieurs bases légales, notamment l’intérêt public et la recherche. Dans certains cas, un consentement explicite est requis, dans d’autres, un droit d’opposition peut s’exercer. Pour connaître précisément vos droits, il est recommandé de consulter les informations de l’Assurance maladie, de la Cnil ou de votre établissement de soins. Dans tous les cas, les données utilisées par le Health Data Hub le sont dans un cadre réglementé, avec pseudonymisation et contrôles éthiques.

Source: www.lefigaro.fr