Health Data Hub et Scaleway : ce que le cloud souverain pour la santé change vraiment

# Health Data Hub et Scaleway : ce que le cloud souverain pour la santé change vraiment

Pendant des années, la question du cloud souverain en santé relevait davantage du discours politique que de la réalité opérationnelle. Les données de santé françaises transitaient — ou risquaient de transiter — via des infrastructures soumises au Cloud Act américain, et les DSI hospitaliers jonglaient entre injonctions réglementaires et offres techniquement matures venues d'outre-Atlantique. En 2026, le tableau a changé. Pas radicalement, pas sans ambiguïtés, mais de façon suffisamment concrète pour mériter qu'on s'y arrête sérieusement.

Ce qui s'est passé, et pourquoi maintenant

Le Health Data Hub (HDH) — plateforme nationale créée pour centraliser et valoriser les données de santé françaises à des fins de recherche — a officialisé son repositionnement sur une infrastructure Scaleway. Ce n'est pas un détail technique. C'est le résultat d'un chemin chaotique qui mérite d'être rappelé honnêtement.

Depuis sa création en 2019, le HDH avait fait le choix controversé de Microsoft Azure comme hébergeur principal. Ce choix avait immédiatement déclenché une levée de boucliers : la CNIL avait émis des réserves sérieuses sur les garanties offertes face au Cloud Act, des associations de patients avaient saisi les juridictions administratives, et le débat sur la souveraineté numérique en santé était entré dans le débat public avec une acuité nouvelle. Plusieurs années de pression institutionnelle, de contentieux et d'évolutions réglementaires — dont le Règlement européen sur les données de santé (EHDS, European Health Data Space) entré progressivement en application — ont finalement rebattu les cartes.

Scaleway, filiale du groupe Iliad, s'est positionnée comme l'alternative qualifiée HDS (Hébergeur de Données de Santé) capable d'absorber cette migration. L'hébergement HDS est une certification française exigeante, obligatoire pour tout acteur qui héberge des données de santé à caractère personnel pour le compte de professionnels ou d'établissements de santé. Scaleway la détient. Microsoft aussi, d'ailleurs — ce qui montre bien que la certification HDS seule ne suffit pas à trancher le débat de souveraineté.

Ce qui a changé la donne, c'est la combinaison de plusieurs facteurs concomitants : la pression réglementaire européenne accrue, une maturité technique enfin suffisante des acteurs cloud européens, et — il faut le dire — un contexte géopolitique qui a rendu les directions générales et les ministères beaucoup plus réceptifs aux arguments de souveraineté qu'ils ne l'étaient cinq ans plus tôt.

La souveraineté, de quoi parle-t-on exactement ?

Avant d'analyser ce que ça change pour les DSI, il faut s'entendre sur les mots. La souveraineté numérique est un terme fourre-tout qui recouvre des réalités très différentes selon qu'on parle de :

• La localisation physique des données : les serveurs sont-ils en Europe ?
• La juridiction applicable : quel droit s'applique en cas de réquisition ou de litige ?
• Le contrôle du code : qui développe, maintient et peut auditer les briques logicielles ?
• La dépendance économique : peut-on changer de fournisseur sans rupture opérationnelle majeure ?

Le passage du HDH vers Scaleway répond clairement aux deux premiers points. Les données restent sur le territoire français, dans des datacenters opérés par une entité juridique française soumise au droit européen. Le Cloud Act, qui permet aux autorités américaines de réclamer l'accès à des données détenues par des entreprises américaines, même stockées en Europe, ne s'applique pas à Scaleway.

Sur les deux derniers points, le tableau est plus nuancé. Scaleway s'appuie sur des couches logicielles open source (Kubernetes, des outils de la galaxie CNCF, etc.) qui offrent théoriquement une portabilité. Mais la portabilité théorique et la portabilité réelle sont deux choses différentes. Migrer une infrastructure de traitement de données de santé à grande échelle reste un projet lourd, quelle que soit la bonne volonté affichée.

Ce que ça change concrètement pour les DSI et CTO

Pour un directeur des systèmes d'information d'un CHU, d'un réseau de cliniques privées ou même d'une ETI active dans la medtech, cette évolution a plusieurs implications directes.

Premièrement, le cadre réglementaire se précise — et se durcit. L'EHDS crée un espace européen des données de santé avec des règles harmonisées sur le partage secondaire des données (pour la recherche, l'innovation, les politiques publiques). Les DSI doivent anticiper que leurs obligations en matière de traçabilité, de consentement et d'hébergement vont évoluer, parfois rapidement. Le choix d'un hébergeur cloud n'est plus une décision purement technique : c'est une décision de conformité à part entière.

Deuxièmement, la pression concurrentielle sur les acteurs cloud européens monte, et c'est une bonne nouvelle pour les acheteurs. Le fait que Scaleway ait décroché un contrat de l'envergure du HDH envoie un signal au marché. D'autres acteurs européens — on peut citer Outscale (filiale de Dassault Systèmes, certifiée SecNumCloud) ou OCI Europe via ses régions souveraines — vont devoir se positionner davantage sur ce segment santé. Pour les DSI, cela signifie que l'argument "les acteurs européens ne sont pas assez matures" tient de moins en moins la route comme justification pour rester sur AWS ou Azure.

Troisièmement, la certification HDS reste le plancher minimal, pas le plafond. Un point que beaucoup de DSI santé oublient encore : avoir un hébergeur certifié HDS est une obligation légale, pas un gage suffisant de souveraineté. Dans les appels d'offres, la tendance 2025-2026 est à l'ajout de critères complémentaires : localisation de la donnée, absence d'exposition au droit extraterritorial étranger, niveau de qualification SecNumCloud (le référentiel de l'ANSSI). Ce dernier point est particulièrement structurant : SecNumCloud exclut de facto les hyperscalers américains dans leur structure actuelle, car ils ne peuvent pas garantir l'imperméabilité au Cloud Act.

Quatrièmement, la question des outils d'IA sur les données de santé devient centrale. Le HDH n'est pas qu'un entrepôt de données : c'est une plateforme destinée à faire tourner des modèles, des algorithmes, des projets de recherche. Le fait qu'elle soit hébergée chez Scaleway soulève une question pratique que tout DSI medtech devrait se poser : quels sont les outils d'IA disponibles nativement sur cette infrastructure européenne, avec quelles garanties sur le traitement des données d'entraînement ? C'est un chantier encore ouvert, et les réponses ne sont pas toutes là.

Trois réflexions pour orienter vos décisions

Sans prétendre livrer une feuille de route clé en main — chaque contexte est différent —, voici les questions que je poserais à ma direction générale si j'étais DSI d'un acteur de santé en 2026.

Cartographiez vos données avant de choisir votre infrastructure. Toutes les données de santé ne se valent pas du point de vue réglementaire. Des données de recherche anonymisées, des dossiers patients actifs, des données de facturation sensibles : chaque catégorie a son régime. Avant de parler d'hébergeur, savoir précisément ce que vous stockez et sous quelle qualification vous place en position de décision éclairée, pas de réaction.

Interrogez votre chaîne de sous-traitance, pas seulement votre hébergeur principal. Un DSI m'a dit récemment quelque chose d'intéressant : "J'ai choisi un hébergeur souverain, mais mon logiciel métier SaaS appelle des API américaines pour le NLP." C'est le vrai risque de la souveraineté en pointillés. La cartographie des flux de données doit remonter jusqu'aux sous-traitants de rang 2 et 3.

Ne confondez pas souveraineté et performance. La question n'est pas "cloud américain ou cloud européen", comme si l'un était forcément meilleur que l'autre sur le plan technique. La question est : "pour ce cas d'usage précis, avec ces contraintes réglementaires et ce niveau de sensibilité des données, quel compromis entre performance, coût total, risque juridique et réversibilité suis-je prêt à assumer ?" C'est une décision de risk management, pas un choix idéologique.

Ce que ce dossier révèle d'une transformation plus large

L'affaire HDH/Scaleway est symptomatique d'un mouvement de fond que les DSI européens feraient bien de prendre au sérieux : l'émergence progressive d'un écosystème cloud européen viable, poussé autant par la réglementation que par une demande institutionnelle croissante.

Ce n'est pas encore la maturité totale. Les gaps techniques existent encore — notamment sur les services managés avancés, les capacités d'IA à grande échelle, ou les SLA pour des workloads ultra-critiques. Mais l'écart se réduit, et plus important encore, la pression réglementaire accélère la montée en compétence des acteurs locaux d'une façon que le seul jeu du marché n'aurait peut-être pas produite aussi vite.

Pour les décideurs IT, la vraie question de 2026 n'est plus "est-ce que le cloud souverain européen peut faire ce dont j'ai besoin ?" Elle est : "à quel rythme dois-je adapter ma stratégie cloud à une réglementation qui, elle, n'attend pas ?"

La santé est le secteur qui cristallise aujourd'hui toutes ces tensions. Mais la logique s'étend progressivement à l'énergie, à la défense, à l'éducation. Les arbitrages que les DSI de santé font aujourd'hui sont, d'une certaine façon, ceux que leurs homologues d'autres secteurs feront dans deux ou trois ans.

*Le débat reste ouvert : pensez-vous que les acteurs cloud européens peuvent tenir la promesse de souveraineté sur le long terme, ou le retard structurel sur les hyperscalers américains reste-t-il trop important pour les workloads les plus critiques ?*