Health Data Hub sur Scaleway : quand la souveraineté cloud passe de la rhétorique aux actes

# Health Data Hub sur Scaleway : quand la souveraineté cloud passe de la rhétorique aux actes

Pendant des années, la souveraineté numérique européenne a surtout existé sous forme de résolutions, de livres blancs et de débats de colloques. Le Health Data Hub qui bascule ses infrastructures d'Azure vers Scaleway, c'est autre chose : un signal politique devenu décision opérationnelle, avec toutes les frictions que ça implique. Pour les DSI et CTO qui se posent la même question depuis leur côté de la table, il vaut la peine d'examiner ce qui s'est réellement passé — et ce que ça change.

Un dossier qui traîne depuis 2020

Rappel des faits. Le Health Data Hub — la plateforme française qui centralise les données de santé pour la recherche — avait été lancé en 2020 dans l'urgence du Covid sur Microsoft Azure. À l'époque, la décision avait déclenché un tollé immédiat : le Conseil d'État avait lui-même pointé le risque de transfert de données vers les États-Unis, en raison du Cloud Act américain, qui autorise les autorités fédérales à réclamer des données à des entreprises américaines, où qu'elles soient hébergées physiquement.

La CNIL avait suivi. Des associations de défense des droits numériques aussi. Microsoft avait proposé des garanties contractuelles, des enclaves sécurisées, des architectures dites "souveraines" sur ses datacenters français. Le débat juridique et technique s'était enlisé, comme souvent dans ce genre de dossier où les intérêts sont considérables et les certitudes rares.

En 2026, la migration vers Scaleway marque la fin de cette période de suspension. Ce n'est pas une décision prise à la légère : les données de santé de dizaines de millions de Français sont en jeu, et la sensibilité politique du sujet reste maximale.

Ce que "souverain" veut dire — et ce que ça ne veut pas dire

Avant d'aller plus loin, une clarification s'impose. Scaleway n'est pas immune à toute contrainte légale. C'est une filiale du groupe Iliad, entreprise française cotée, soumise au droit français et européen. Ce que ça change par rapport à Microsoft Azure, c'est l'élimination du risque de compétence extraterritoriale américaine. Le Cloud Act ne s'applique pas à une entreprise de droit français sans activité substantielle aux États-Unis. C'est un gain juridique réel, pas une garantie absolue d'impénétrabilité.

Dit autrement : choisir Scaleway plutôt qu'Azure, c'est résoudre un problème de droit international privé. Ce n'est pas rendre les données inviolables. La distinction est importante, parce que beaucoup de DSI ont tendance à confondre souveraineté et sécurité. Ce sont deux dimensions qui peuvent se recouper, mais qui ne sont pas synonymes.

L'autre point qui mérite d'être dit franchement : Scaleway a fait d'énormes progrès ces dernières années sur la maturité de son offre — certifications HDS (Hébergement de Données de Santé), conformité SecNumCloud sur certains de ses services, investissements massifs en infrastructure. Mais la comparaison avec l'ecosystème de services managés d'Azure ou d'AWS reste asymétrique. Ce n'est pas un reproche, c'est un fait que tout DSI doit intégrer dans sa réflexion.

Pourquoi maintenant, pourquoi ça tient

La question "pourquoi 2026 ?" a plusieurs réponses, qui se cumulent.

Premièrement, le cadre réglementaire européen s'est durci. L'entrée en application effective du Data Governance Act et les premières décisions d'application du règlement européen sur les données de santé ont rendu le statu quo juridiquement plus risqué pour les acteurs publics. Continuer à héberger des données de santé chez un opérateur soumis au Cloud Act devenait un sujet de gouvernance que les administrateurs publics ne pouvaient plus ignorer.

Deuxièmement, Scaleway a atteint un seuil de maturité technique qui rend la migration crédible. Il y a cinq ans, demander à un opérateur de cette taille de porter une infrastructure critique de données de santé à l'échelle nationale aurait été un pari risqué. Aujourd'hui, les certifications sont là, les SLA ont évolué, et la plateforme a démontré sa capacité à gérer des charges significatives.

Troisièmement — et c'est peut-être le plus important — la volonté politique française s'est traduite en arbitrages budgétaires concrets. Ce type de migration ne se fait pas gratuitement, ni facilement. Le fait qu'elle se concrétise dit quelque chose sur le niveau de priorité accordé au dossier.

Ce que ça change pour les DSI du privé

La question n'est pas de savoir si vous devez faire pareil. La question est de comprendre ce que ce précédent dit de l'environnement dans lequel vous opérez.

Sur le plan réglementaire, la migration du Health Data Hub va vraisemblablement accélérer la doctrine des autorités françaises et européennes sur les données sensibles. Si vous traitez des données de santé, même indirectement — une mutuelle, un prestataire de services RH, un éditeur de logiciels pour le secteur médical — la question de votre hébergement va se poser avec une acuité croissante. La CNIL a déjà signalé sa vigilance sur ce point. Les prochains mois pourraient apporter des clarifications doctrinales qui remettront en question certains choix d'architecture actuels.

**Sur le plan commercial**, le signal envoyé aux grandes entreprises technologiques américaines est lisible : pour certaines catégories de données, l'argument du Cloud Act est devenu rédhibitoire dans le contexte européen. Microsoft, Google et AWS en sont parfaitement conscients et continuent de développer des offres dites souveraines — Microsoft avec son initiative « EU Data Boundary », AWS avec ses zones isolées. Ces offres répondent partiellement au problème, mais leur robustesse juridique reste contestée par certains experts en droit international. Le débat n'est pas clos.

Sur le plan de la négociation, les DSI qui ont des contrats avec des hyperscalers américains vont se retrouver avec un levier supplémentaire. Le précédent du Health Data Hub est le genre d'élément qu'un acheteur peut mettre sur la table pour faire bouger des positions contractuelles, obtenir des garanties plus solides, ou accélérer des certifications locales. Utilisez-le.

Les questions que votre board va vous poser

Si vous êtes DSI ou CTO d'une ETI qui manipule des données sensibles — pas nécessairement de santé, mais des données RH, financières, industrielles, ou relevant de secteurs régulés — anticipez les questions qui vont venir de votre direction générale ou de votre conseil d'administration dans les prochains mois.

"Nous, est-ce qu'on est dans la même situation ?" La réponse honnête est : peut-être, et vous devez le savoir avant qu'ils le demandent. Cartographier précisément où vos données sensibles sont hébergées, sous quelle juridiction, avec quels accès possibles — c'est un exercice de base qui reste étonnamment peu fait dans les PME et ETI de taille intermédiaire.

"Faut-il migrer vers un opérateur français ou européen ?" La réponse n'est pas automatiquement oui. Elle dépend de la nature de vos données, de votre secteur, de vos obligations réglementaires, et de votre appétit pour la complexité opérationnelle d'une migration. Une migration cloud est coûteuse en temps, en compétences, et en risques si elle est mal conduite. Faire bouger une infrastructure critique pour des raisons principalement symboliques est une mauvaise décision. Faire bouger une infrastructure parce que votre exposition légale est réelle en est une bonne.

"Scaleway, c'est suffisamment solide pour nous ?" Ça dépend de ce que vous en attendez. Pour du stockage de données réglementées avec certification HDS, la réponse est aujourd'hui oui pour beaucoup d'usages. Pour des workloads qui nécessitent l'équivalent des 200+ services managés d'AWS, la réponse est nuancée. L'écosystème européen progresse vite — OVHcloud, Outscale (filiale de Dassault Systèmes), et d'autres opérateurs certifiés SecNumCloud développent leurs offres — mais l'honnêteté commande de dire qu'il n'y a pas encore de parité fonctionnelle globale avec les hyperscalers américains. Ce gap se réduit, il n'a pas disparu.

Ce que ce précédent ne règle pas

La migration du Health Data Hub est une décision courageuse et cohérente. Elle ne résout pas tout.

La question des dépendances applicatives reste entière. Une grande partie de la valeur créée par l'IA médicale, par les outils d'analyse de données de santé, repose sur des modèles et des frameworks développés par des acteurs américains ou sur des infrastructures GPU dont l'Europe reste largement dépendante. Choisir où sont hébergées les données ne dit rien sur les outils utilisés pour les traiter.

La question de la réciprocité européenne est aussi posée. Les données du Health Data Hub seront sur des serveurs français. Mais les chercheurs qui les exploitent utilisent quels outils ? Des suites logicielles sous quelle juridiction ? La chaîne de valeur de la donnée de santé ne s'arrête pas à l'infrastructure de stockage.

Enfin, la question de la réversibilité reste ouverte pour toute organisation qui fait ce choix. Être souverain sur son hébergement, ça se travaille dans la durée : architecture, compétences internes, capacité à changer d'opérateur si nécessaire. La souveraineté cloud n'est pas un état qu'on atteint, c'est une posture qu'on entretient.

Ce que j'en retiens

Le Health Data Hub sur Scaleway, c'est la preuve que la souveraineté numérique peut sortir du registre du vœu pieux pour devenir une décision d'architecture. C'est utile, parce que ça donne un précédent concret, une référence technique et politique que les DSI peuvent citer dans leurs propres arbitrages internes.

Mais prenez-le pour ce que c'est : un signal, pas un modèle universel. Votre situation n'est pas celle du Health Data Hub. Vos données ne sont pas des données de santé nationales. Vos contraintes budgétaires, techniques et organisationnelles sont différentes.

Ce que ce moment appelle, pour un DSI ou un CTO en 2026, c'est moins une conversion précipitée au tout-cloud-européen qu'une revue sérieuse et documentée de vos expositions réelles. Où sont vos données les plus sensibles ? Sous quelle juridiction ? Avec quelles garanties contractuelles ? Et si la réglementation évolue encore dans les dix-huit prochains mois — ce qui est probable — quelle est votre capacité d'adaptation ?

Ce sont des questions d'adultes, qui méritent des réponses précises. Pas des réponses de catalogue.