Health Data Hub et Scaleway : ce que ce partenariat dit vraiment de la souveraineté numérique française

# Health Data Hub et Scaleway : ce que ce partenariat dit vraiment de la souveraineté numérique française

Pendant des années, le Health Data Hub a incarné le paradoxe le plus gênant de la politique numérique française : une infrastructure nationale de données de santé hébergée chez Microsoft Azure. La controverse était connue, les injonctions du Conseil d'État et de la CNIL aussi. En 2026, ce chapitre est officiellement clos. Le Health Data Hub tourne désormais sur l'infrastructure de Scaleway, acteur français du cloud. Pour un DSI, la question n'est pas de savoir si c'est une bonne nouvelle sur le plan symbolique — c'est évident. La vraie question, c'est ce que ça change concrètement dans la manière de penser l'hébergement des données sensibles.

Ce qui s'est passé, et pourquoi ça a pris autant de temps

Le Health Data Hub — rebaptisé Plateforme des Données de Santé — est la structure qui centralise les données de santé des Français à des fins de recherche. Son histoire avec Microsoft Azure a démarré sous la pression de l'urgence : le partenariat avait été conclu en 2019, en partie parce qu'aucun acteur cloud européen n'était alors jugé suffisamment mature pour absorber un tel volume de données avec les garanties techniques requises.

La CNIL avait pourtant tiré la sonnette d'alarme dès 2020, pointant le risque de transfert de données vers les États-Unis en vertu du Cloud Act américain. Ce texte, adopté en 2018, permet aux autorités américaines d'exiger l'accès aux données stockées par des entreprises américaines, y compris sur des serveurs situés en Europe. L'argument « les serveurs sont en France » ne suffit pas : si l'opérateur est soumis au droit américain, la localisation physique des données ne constitue pas une protection juridique suffisante.

La migration vers Scaleway n'a pas été un choix par défaut. Elle a été précédée d'une qualification SecNumCloud — le référentiel de l'ANSSI pour les prestataires de cloud qui hébergent des données sensibles de l'État — et d'une mise à niveau significative des capacités de Scaleway sur les segments de stockage massif et de traitement de données. Ce n'est pas un détail : obtenir et maintenir cette qualification impose des contraintes organisationnelles, juridiques et techniques considérables.

La question du Cloud Act n'est pas réglée, elle est contournée

Soyons précis : migrer vers Scaleway ne résout pas le problème du Cloud Act pour tout le monde. Ça le résout pour le Health Data Hub, parce que Scaleway est une entité de droit français, sans maison mère américaine cotée au NASDAQ. Mais pour les milliers d'organisations publiques et privées qui continuent d'utiliser AWS, Azure ou Google Cloud pour leurs données sensibles, le risque juridique est intact.

C'est là que la décision du Health Data Hub devient un signal fort plutôt qu'une simple opération de communication. Elle valide, concrètement et à grande échelle, qu'un acteur cloud européen peut aujourd'hui répondre aux exigences des cas d'usage les plus contraignants. Pas en théorie, pas dans un cahier des charges. En production, avec des données de santé réelles, dans un cadre réglementaire parmi les plus exigeants qui soit.

Pour un DSI ou un CTO qui gère des données de santé, des données RH ou des données financières stratégiques, c'est une information opérationnelle. Il y a deux ans, l'argument « les cloud européens ne sont pas assez matures » avait encore une certaine validité. Aujourd'hui, cet argument est plus difficile à tenir.

Ce que ça change dans votre posture d'achat cloud

La vraie conséquence pour les décideurs IT n'est pas de migrer en urgence. C'est de reposer la question de la dépendance avec une grille de lecture mise à jour.

Le critère juridictionnel doit entrer dans vos appels d'offres

Beaucoup d'organisations évaluent encore leur cloud sur des critères essentiellement techniques et tarifaires. La localisation des données est souvent cochée comme une case. Mais la question pertinente n'est pas « où sont stockées mes données ? », c'est « quel droit s'applique à l'entité qui les opère ? ».

Un contrat avec un opérateur soumis au Cloud Act, même avec des clauses de confidentialité solides, n'offre pas les mêmes garanties qu'un contrat avec un opérateur soumis exclusivement au droit européen. Ce n'est pas une opinion : c'est une analyse juridique que votre DPO et votre conseil juridique peuvent valider. Si ce n'est pas encore fait, c'est le bon moment.

La qualification SecNumCloud n'est pas qu'un label politique

Le référentiel SecNumCloud de l'ANSSI est parfois perçu comme une contrainte administrative franco-française. C'est une erreur de lecture. Il impose notamment que l'opérateur cloud ne soit pas soumis à des législations extra-européennes susceptibles de compromettre la confidentialité des données. C'est exactement la protection que le RGPD, dans son état actuel, ne garantit pas à lui seul pour les transferts hors UE.

Scaleway figure parmi les acteurs qualifiés ou en cours de qualification à ce niveau. OVHcloud, autre acteur français significatif, est également dans cette démarche. Ce sont des critères de filtrage légitimes, pas des préférences nationalistes.

Le lock-in reste un risque, même chez un acteur souverain

Attention toutefois à ne pas reproduire avec les cloud européens les mêmes erreurs commises avec les hyperscalers américains. La dépendance propriétaire n'est pas l'apanage d'AWS ou d'Azure. Un acteur cloud, quel qu'il soit, peut créer du lock-in via ses APIs propriétaires, ses services managés non interopérables ou sa tarification de sortie.

La vraie bonne pratique, indépendamment de la nationalité de l'opérateur, c'est d'architecturer ses systèmes avec une portabilité réelle : utiliser des standards ouverts, documenter ses dépendances, et tester périodiquement la réversibilité. La directive NIS2, qui s'applique désormais à un périmètre élargi d'organisations en Europe, intègre d'ailleurs des exigences sur la gestion des risques liés aux prestataires tiers, y compris les fournisseurs cloud.

Ce que les PME et ETI peuvent en tirer

On pourrait objecter que la migration du Health Data Hub concerne surtout les grandes organisations publiques, et que les DSI de PME ou d'ETI ont d'autres priorités. C'est une objection légitime — mais elle mérite d'être nuancée.

Premièrement, la réglementation sectorielle s'étend. Si vous opérez dans la santé, les assurances, la finance ou les infrastructures critiques, vous êtes déjà soumis ou vous le serez à des exigences croissantes sur la localisation et la protection des données. Attendre que la contrainte réglementaire soit incontournable avant de bouger, c'est se retrouver à migrer dans l'urgence, ce qui est toujours plus coûteux que d'anticiper.

Deuxièmement, la maturité des acteurs européens se traduit aussi sur des offres adaptées aux organisations de taille intermédiaire. Les architectures cloud souveraines ne sont plus réservées aux grands comptes avec des équipes d'architectes dédiées. Des offres managées existent, qui permettent de bénéficier des garanties juridictionnelles sans avoir à reconstruire toute une infrastructure from scratch.

Troisièmement — et c'est peut-être l'argument le plus concret — vos clients et partenaires vous posent de plus en plus la question. Un sous-traitant d'un hôpital, d'une mutuelle ou d'une collectivité locale peut se voir exiger des garanties sur le traitement des données qu'il manipule. Avoir une réponse claire sur la juridiction de votre cloud, c'est aussi un argument commercial.

Les limites qu'il faut regarder en face

Ce serait trop simple de conclure que la France a résolu son problème de souveraineté numérique. Ce n'est pas le cas.

Scaleway, aussi qualifié soit-il, n'est pas AWS. L'écart en termes de catalogue de services managés, de couverture géographique et de capacité à absorber des charges exceptionnelles reste réel. Les organisations qui ont construit des architectures complexes autour des services natifs d'Azure ou d'AWS ne peuvent pas migrer en quelques mois sans refactoring significatif.

Par ailleurs, la question de la souveraineté algorithmique reste entière. Héberger des données en France sur un cloud français, c'est bien. Mais si les modèles d'IA utilisés pour les analyser sont entraînés et opérés par des acteurs américains ou chinois, la souveraineté réelle reste partielle. C'est un débat qui commence à peine à structurer les appels d'offres publics, et qui va monter en puissance.

Enfin, la souveraineté a un coût. Pas nécessairement un surcoût systématique — les tarifs des acteurs cloud européens sont devenus compétitifs sur de nombreux segments — mais un coût en temps, en effort de migration et en adaptation des architectures. Ce coût doit être mis en face des risques juridiques et réputationnels d'une dépendance non maîtrisée. C'est un arbitrage, pas une évidence.

Pour aller plus loin

Le cas Health Data Hub / Scaleway n'est pas un aboutissement. C'est un signal que quelque chose a changé dans le rapport de forces entre les hyperscalers américains et l'écosystème cloud européen. Un signal que les acteurs européens ont fait leur retard sur des cas d'usage exigeants. Et un signal que les autorités de régulation — ANSSI, CNIL, Commission européenne avec le Data Act — sont en train de créer un cadre qui rend les arbitrages en faveur du cloud souverain plus faciles à défendre en interne.

Pour un DSI ou un CTO, la bonne question à se poser aujourd'hui n'est pas « est-ce que je dois tout migrer vers un cloud européen ? ». C'est : « pour quelles catégories de données et quels cas d'usage est-ce que je ne peux plus me permettre de ne pas avoir de réponse claire sur la juridiction applicable ? »

C'est cette cartographie-là qui devrait structurer votre prochaine revue de portefeuille cloud — avant que la contrainte réglementaire ou un incident vous oblige à la faire dans l'urgence.