Scaleway héberge le Health Data Hub : ce que ça dit vraiment de la souveraineté numérique européenne

# Scaleway héberge le Health Data Hub : ce que ça dit vraiment de la souveraineté numérique européenne

Quand l'État français confie ses données de santé les plus sensibles à un hébergeur européen plutôt qu'à un hyperscaler américain, ce n'est pas un acte anodin. C'est un signal politique autant que technique — et il mérite qu'on le décrypte sans angélisme ni condescendance.

Le fait, d'abord

Le Health Data Hub (HDH), la plateforme nationale qui centralise les données de santé des Français à des fins de recherche médicale, a migré son infrastructure vers Scaleway. Pour rappel, le HDH avait été lancé en 2019 dans un contexte tendu : hébergé initialement par Microsoft Azure, il avait immédiatement cristallisé les craintes des autorités de protection des données. La CNIL avait émis des réserves explicites, pointant le risque d'exposition aux lois extraterritoriales américaines — le Cloud Act en tête — qui permettent aux autorités américaines d'accéder à des données hébergées par des entreprises soumises au droit américain, même si les serveurs sont physiquement en Europe.

Scaleway, filiale du groupe Iliad, est un acteur cloud français dont les datacenters sont localisés en France et aux Pays-Bas. La société est qualifiée SecNumCloud par l'ANSSI — la qualification de référence en France pour les hébergeurs traitant des données sensibles — et répond aux exigences HDS (Hébergeur de Données de Santé) imposées par le code de la santé publique.

La transition vers Scaleway n'est pas une décision prise dans l'urgence. Elle s'inscrit dans un mouvement plus long, accéléré par le Règlement européen sur la gouvernance des données (Data Governance Act) entré pleinement en application, et par le règlement EHDS (European Health Data Space) qui structure désormais la circulation des données de santé au sein de l'Union.

Pourquoi maintenant, et pourquoi ça compte

On serait tenté de voir dans ce choix une victoire symbolique du cloud souverain sur les GAFAM. La réalité est plus nuancée.

D'abord, la pression réglementaire est devenue concrète. L'arrêt Schrems II de 2020 avait théoriquement remis en cause les transferts de données vers les États-Unis. Pendant des années, beaucoup d'organisations ont continué à opérer dans une zone grise, espérant que le Data Privacy Framework signé en 2023 tiendrait la route juridiquement. En 2026, plusieurs recours sont toujours pendants devant la CJUE, et la robustesse à long terme de ce framework reste un sujet de débat entre juristes spécialisés. Dans ce contexte d'incertitude, un acteur public qui gère des données de santé n'avait plus vraiment d'autre option viable que de se repositionner.

Ensuite, la maturité technique des acteurs européens a changé. Il y a cinq ans, choisir un hébergeur souverain pour une plateforme aussi critique que le HDH aurait soulevé des questions légitimes sur la capacité à tenir la charge, à garantir la résilience, à offrir les outils d'analyse de données dont les chercheurs ont besoin. Ce n'est plus le même débat aujourd'hui. Scaleway — comme d'autres acteurs européens — a significativement étoffé son catalogue de services managés. La question n'est plus binaire.

Enfin, et c'est peut-être le point le plus important pour les DSI de PME et d'ETI : ce que fait l'État sur ses données les plus sensibles crée de facto une référence. Si le HDH peut fonctionner sur une infrastructure souveraine, l'argument selon lequel « on n'a pas le choix, il faut aller chez AWS ou Azure pour avoir les bons outils » tient un peu moins bien.

Ce que ça change concrètement pour vous

Soyons honnêtes : si vous êtes DSI d'une ETI industrielle ou CTO d'une scale-up, vous n'hébergez probablement pas de données de santé au sens réglementaire du terme. Mais le raisonnement qui a conduit à ce choix vous concerne directement.

La question de la loi applicable devient incontournable. Le Cloud Act américain n'est pas une vue de l'esprit. Il permet aux autorités américaines d'obtenir des données auprès d'entreprises américaines, même pour des données hébergées en Europe. Pour des données commerciales sensibles — R&D, propriété intellectuelle, données clients dans des secteurs régulés — l'exposition est réelle. Peu d'entreprises ont fait cet audit sérieusement. C'est le moment de le faire.

La qualification SecNumCloud n'est pas réservée au secteur public. Elle représente un niveau d'exigence qui peut rassurer vos clients, vos partenaires, vos assureurs cyber. Dans certains secteurs — défense, énergie, finance — elle commence à apparaître dans les appels d'offres comme critère de sélection. Si vos clients sont eux-mêmes soumis à des contraintes réglementaires, votre choix d'infrastructure devient leur problème — ou leur argument commercial.

La portabilité des données est le vrai risque opérationnel. Beaucoup d'organisations ont migré vers le cloud en pensant à l'agilité, sans anticiper le moment où elles voudraient partir. Les hyperscalers ont historiquement rendu cette sortie coûteuse et complexe — via des formats propriétaires, des services sans équivalent ailleurs, ou simplement des frais d'egress dissuasifs. Si vous êtes aujourd'hui fortement dépendant d'un seul fournisseur, la question n'est pas de savoir si vous devez partir, mais de savoir si vous *pouvez* partir le jour où vous le décidez.

Ce que ça ne règle pas

Il serait malhonnête de présenter ce choix comme une solution globale. Plusieurs points méritent d'être posés franchement.

Premièrement, la souveraineté juridique ne garantit pas la souveraineté technologique. Scaleway utilise des composants matériels — processeurs, équipements réseau — qui restent majoritairement produits hors d'Europe. La chaîne de dépendance ne disparaît pas, elle se déplace. L'Europe a engagé des efforts significatifs via le Chips Act pour réduire cette dépendance, mais les résultats industriels concrets sont encore partiels en 2026.

Deuxièmement, la qualification et la conformité ont un coût opérationnel. Migrer vers une infrastructure SecNumCloud ne se fait pas en claquant des doigts. Cela suppose des audits, une revue des architectures, parfois la réécriture de certaines intégrations. Pour une PME sans équipe dédiée, c'est un projet à part entière. Il faut le dimensionner honnêtement.

Troisièmement, la question des compétences reste entière. Les talents formés sur les environnements AWS, Azure ou GCP sont plus nombreux sur le marché que ceux maîtrisant les stacks d'acteurs comme Scaleway ou 3DS Outscale. Ce n'est pas une raison de ne pas y aller, mais c'est un paramètre de planification réel.

Pistes de réflexion pour les prochains mois

Plutôt que de vous donner une checklist en dix points, voici trois questions à poser à votre équipe — et à vos prestataires — dans les prochains mois.

Quel est votre périmètre de données vraiment critiques ? Toutes vos données ne méritent pas le même niveau de protection. La plupart des organisations n'ont jamais fait cette cartographie sérieusement. Commencez là : identifiez les 20 % de données dont la compromission ou l'exposition à une loi étrangère vous ferait vraiment mal — commercialement, réglementairement, réputationnellement. C'est sur ce périmètre que la question de l'hébergement souverain se pose en priorité.

Avez-vous lu vos contrats cloud récents ? Les conditions générales des grands hyperscalers ont évolué, souvent discrètement. Les clauses relatives aux demandes gouvernementales, à la notification en cas d'injonction, à la portabilité des données — tout cela mérite une relecture avec un juriste spécialisé en droit des données. Beaucoup de DSI signent par renouvellement automatique sans jamais revisiter ces termes.

Quelle est votre stratégie de sortie ? Pas forcément parce que vous comptez partir — mais parce que la capacité à partir est en elle-même une protection. Si vous pouvez démontrer à votre fournisseur actuel que vous avez un plan B crédible, vous négociez différemment. Et si vous ne pouvez pas démontrer cela, vous devriez vous demander pourquoi.

Pour conclure : un signal, pas une révolution

Le fait que le Health Data Hub héberge ses données chez Scaleway ne signifie pas que le cloud européen a gagné, ni que les hyperscalers américains vont perdre des parts de marché significatives demain. Les grandes entreprises européennes continueront à utiliser AWS, Azure et GCP pour une large part de leurs workloads — et souvent pour de bonnes raisons techniques.

Mais ce choix confirme une tendance de fond : la souveraineté numérique est passée du statut de slogan à celui de critère d'achat réel, au moins pour les données les plus sensibles. Et ce mouvement va continuer à s'accélérer à mesure que la réglementation européenne se précise et que les acteurs locaux montent en gamme.

La vraie question pour les DSI européens n'est pas de savoir s'il faut « choisir la souveraineté ». C'est de savoir, pour chaque périmètre de données, quel niveau de risque juridique, opérationnel et stratégique ils sont prêts à accepter — et d'assumer ce choix en connaissance de cause plutôt que par défaut.

C'est ça, faire de l'architecture responsable en 2026.

*Vous avez des retours d'expérience sur des migrations vers des infrastructures souveraines ? Des questions sur des cas spécifiques à votre secteur ? La conversation continue dans les commentaires ou directement avec la rédaction de RiffLab Media.*