Le Health Data Hub : enfin un pas vers la souveraineté numérique
Le Health Data Hub (HDH) est une plateforme publique créée en 2019 pour centraliser, structurer et mettre à disposition de manière encadrée les données de santé françaises à des fins de recherche, d’innovation et de pilotage des politiques publiques qui…

Ce matin, j’ai été invité par France Culture pour évoquer la procédure lancée par le gouvernement afin de trouver un nouvel hébergeur pour le Health Data Hub, la plateforme nationale des données de santé. Le format radio impose d’aller vite, trop vite. Je ne sais même pas si l'interview sera diffusée.
Cependant, je n’ai pas pu revenir sur plusieurs points essentiels : la valeur exceptionnelle de ces données, leur rôle stratégique pour l’intelligence artificielle, les enjeux juridiques réels liés au cloud américain, ni ce que signifie concrètement la migration annoncée ainsi que la notion de souveraineté numérique.
Ce texte est donc une mise à plat de ce qui est en jeu.
Qu’est-ce que le Health Data Hub ?
Le Health Data Hub (HDH) est une plateforme publique créée en 2019 pour centraliser, structurer et mettre à disposition de manière encadrée les données de santé françaises à des fins de recherche, d’innovation et de pilotage des politiques publiques.
Il s’appuie principalement sur le Système National des Données de Santé (SNDS), qui regroupe notamment :
- les données de remboursement de l’Assurance maladie,
- les données d’hospitalisation (PMSI),
- les causes médicales de décès,
- et d’autres sources médico-administratives.
Concrètement, cela concerne près de 99 % de la population française, soit plus de 67 millions de personnes.
Ce qui rend cette base unique au monde, ce n’est pas seulement son volume (des milliards d’enregistrements) mais sa qualité : données longitudinales, exhaustives, nettoyées, harmonisées selon des standards internationaux et mises à jour régulièrement. Peu de pays disposent d’un tel niveau de profondeur historique à l’échelle nationale.
Le HDH n’est pas un simple entrepôt : il fournit des environnements sécurisés de travail, permettant aux chercheurs, hôpitaux, startups ou institutions publiques d’exploiter les données sans les extraire, dans un cadre contrôlé.
Pourquoi ces données sont stratégiques
En 2026, les données de santé sont devenues un actif stratégique majeur pour l’intelligence artificielle.
Une IA médicale fiable nécessite des jeux de données :
- massifs,
- représentatifs,
- peu biaisés,
- et de haute qualité.
Le SNDS coche toutes ces cases.
Ces données permettent notamment :
- la détection précoce de cancers ou de maladies chroniques,
- l’optimisation des parcours de soins,
- l’analyse à grande échelle des effets secondaires de traitements,
- la modélisation d’épidémies,
- le développement de la médecine personnalisée.
La stratégie nationale IA & santé (2025-2028) repose largement sur cet actif. Le campus PariSanté fédère déjà plus de 1 300 acteurs autour de cet écosystème.
À l’échelle européenne, le futur Espace européen des données de santé (EHDS) s’appuiera directement sur des bases nationales comme la nôtre.
Ces données ne sont donc pas seulement un outil scientifique.
Elles sont un levier économique, industriel et géopolitique.

Le choix initial d’Azure : un problème juridique, pas idéologique
Lors de la création du HDH en 2019, le choix s’est porté sur Microsoft Azure. À l’époque, l’argument avancé était l’absence d’alternative européenne suffisamment mature.
Ce choix a immédiatement suscité une controverse et à juste titre.
Le problème n’est pas “Microsoft est américain”, mais le cadre juridique auquel Microsoft est soumis.
En tant qu’entreprise américaine, Microsoft est assujetti au CLOUD Act, qui permet aux autorités américaines d’exiger l’accès à des données détenues par une entreprise US, y compris si ces données sont hébergées en Europe, et sans passer par une décision judiciaire européenne.
Ce risque n’est pas théorique.
👉 En juillet 2025, devant une commission du Sénat français, Anton Carniaux, directeur des affaires publiques et juridiques l’a reconnu explicitement :
il ne pouvait pas garantir que des données hébergées en Europe ne puissent, dans certains cas, être accessibles aux autorités américaines.
À partir de là, le débat n’est plus idéologique.
Il est factuel.
À ce risque juridique s’ajoute un risque cyber bien documenté :
le secteur de la santé est l’un des plus ciblés au monde (environ 40 % des fuites de données majeures concernent la santé). Une compromission aurait des conséquences graves : usurpation d’identité médicale, chantage, exploitation malveillante à des fins d’IA.
Enfin, il y a un enjeu de concurrence stratégique : héberger des données de santé d’une telle qualité chez un hyperscaler américain, c’est accepter que l’écosystème extra-européen bénéficie indirectement d’un avantage décisif pour l’entraînement de modèles d’IA santé.
Sur le plan de la souveraineté numérique, c’était une anomalie majeure.
La migration vers un hébergeur souverain : un vrai tournant
Le 6 février 2026, le gouvernement a annoncé le lancement d’une procédure pour sélectionner un nouvel hébergeur du HDH.
L’appel d’offres est lancé, aujourd'hui, le 9 février 2026, avec une attribution prévue au printemps et une migration complète d’ici fin 2026.
Le critère central est clair :
👉 qualification SecNumCloud délivrée par l’ANSSI.
SecNumCloud impose notamment :
- un haut niveau de chiffrement,
- une localisation et une maîtrise européennes des données,
- une protection renforcée face aux lois extraterritoriales,
- des audits réguliers et exigeants.
En pratique, cela exclut les hyperscalers américains et privilégie des acteurs français ou européens (OVHcloud, Cloud Temple, offres souveraines de Thales, etc.).
Ce n’est pas un simple changement d’infrastructure.
C’est un choix politique et stratégique : protéger la vie privée des citoyens, renforcer la résilience cyber, et conserver en Europe la valeur scientifique et économique de ces données.
Une bonne décision… mais un virage pris beaucoup trop tard
La migration du Health Data Hub vers un hébergeur qualifié SecNumCloud est une excellente décision.
Mais c’est aussi une décision tardive, et ce retard a un coût.
Pendant des années, nous avons perdu du temps, de la crédibilité et surtout de la confiance.
Confiance des citoyens, qui ont vu leurs données les plus sensibles hébergées dans un cadre juridiquement contestable.
Confiance des chercheurs et des institutions, enfermés dans un débat permanent sur la légitimité même de la plateforme.
Confiance, enfin, dans la capacité de l’État à traiter le numérique comme un sujet stratégique, et non comme une simple ligne budgétaire ou un problème technique.
Ce choix initial a durablement fragilisé le Health Data Hub.
Il a transformé un projet d’intérêt général en symbole de dépendance technologique, et a nourri une défiance qui aurait pu être évitée.
Une dépendance structurelle toujours bien réelle
Il serait illusoire de croire que cette décision marque, à elle seule, une rupture nette avec notre dépendance aux géants américains du cloud.
Aujourd’hui encore, la majorité des appels d’offres publics sont rédigés de manière à favoriser, parfois implicitement, les hyperscalers américains.
Non pas par idéologie, mais par habitude, par facilité, et souvent par manque de culture technique et juridique au moment de la rédaction des besoins.
Les critères de performance, de scalabilité ou de services managés sont trop souvent pensés à travers le prisme des mastodontes américains, reléguant les acteurs européens au rang “d’alternatives”, quand ils devraient être considérés comme des choix stratégiques à part entière.
Le paradoxe est là :
on parle de souveraineté après coup, une fois les dépendances déjà installées.

Un changement de paradigme… plus européen que français
Il faut aussi être honnête : ce changement de direction ne relève pas uniquement d’une prise de conscience nationale.
Il s’inscrit dans un mouvement beaucoup plus large, à l’échelle européenne, porté par :
- la montée des tensions géopolitiques,
- la judiciarisation croissante des flux de données,
- et la compréhension tardive mais réelle que le numérique est désormais un levier de puissance au même titre que l’énergie ou la défense.
Ce que nous observons en France est une tendance européenne de fond.
L’Allemagne, les pays nordiques, les Pays-Bas, l’Italie suivent la même trajectoire : réévaluer les dépendances, renforcer les exigences de contrôle, reprendre la main sur les infrastructures critiques.
Et ce mouvement ne vient pas seulement des États.
Il vient aussi du terrain.
La souveraineté n’est plus un slogan, c’est un besoin opérationnel
Chez Cresco Cybersecurity, nous accompagnons déjà des organisations publiques et privées confrontées à des besoins très concrets de souveraineté numérique :
- maîtrise des données sensibles,
- réversibilité réelle des infrastructures,
- conformité juridique durable,
- réduction de la dépendance technologique.
Ce ne sont plus des débats théoriques.
Ce sont des problématiques opérationnelles, posées par des DSI, des RSSI, des directions générales qui ont compris que le “tout cloud américain” n’est plus tenable à long terme.
La souveraineté numérique n’est pas une posture idéologique.
C’est une question de résilience, de continuité, et de responsabilité.
Un pas dans la bonne direction, mais pas une fin en soi
La sortie du Health Data Hub d’Azure est un signal fort.
Elle montre que l’État est enfin capable de reconnaître une erreur stratégique et de la corriger.
Mais ce virage arrive tard, et il ne doit pas rester isolé.
La souveraineté ne se décrète pas : elle se construit dans la durée, par la gouvernance, la transparence, la maîtrise technique et la capacité à dire non quand il le faut.
La souveraineté numérique ne se limite pas à un appel d’offres ou à un label.
Elle exige une transformation plus profonde :
- dans la manière de penser les architectures,
- dans la rédaction des marchés publics,
- dans la formation des décideurs,
- et dans le courage politique de sortir des dépendances installées.
Ce choix est salutaire.
Il doit maintenant devenir structurant.
Sans quoi, dans quelques années, nous risquerions de découvrir que nous avons simplement déplacé le problème sans jamais vraiment le résoudre.
Questions fréquentes
Qu’est-ce que le Health Data Hub ?
C’est une plateforme publique créée en 2019 pour centraliser, structurer et mettre à disposition de manière encadrée les données de santé françaises, à des fins de recherche, d’innovation et de pilotage des politiques publiques. Elle s’appuie principalement sur le Système National des Données de Santé (SNDS).
Pourquoi le choix de Microsoft Azure pose-t-il problème ?
Le problème n’est pas la nationalité de Microsoft mais le cadre juridique auquel l’entreprise est soumise. Le CLOUD Act permet aux autorités américaines d’exiger l’accès à des données détenues par une entreprise US, y compris lorsqu’elles sont hébergées en Europe.
Qu’a reconnu Microsoft devant le Sénat en juillet 2025 ?
Anton Carniaux, directeur des affaires publiques et juridiques, a reconnu qu’il ne pouvait pas garantir que des données hébergées en Europe ne puissent, dans certains cas, être accessibles aux autorités américaines.
Que change la migration annoncée en février 2026 ?
Le 6 février 2026, le gouvernement a lancé une procédure pour sélectionner un nouvel hébergeur, avec pour critère central la qualification SecNumCloud de l’ANSSI. Cela exclut de fait les hyperscalers américains et vise une migration complète d’ici fin 2026.
Cette décision met-elle fin à la dépendance au cloud américain ?
Non. Elle constitue un signal fort mais tardif et isolé. La majorité des appels d’offres publics continuent de favoriser les hyperscalers américains par habitude ou par manque de culture technique et juridique, et la dépendance structurelle reste réelle.

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
