Qui est auditionné
Laurent Vilbœuf est auditionné comme directeur par intérim de la plateforme des données de santé (PDS), ex-Health Data Hub, GIP créé par la loi du 24 juillet 2019 (dans le sillage du rapport Villani-Longuet) pour faciliter l'accès des chercheurs aux données de santé. Inspecteur général des affaires sociales, il a pris une mission de transition à la tête de la structure (nommé le 1ᵉʳ décembre 2025, détachement jusqu'au 14 avril 2026), après un rapport de l'Igas dont il est lui-même issu. Il se présente donc en gestionnaire de crise arrivé « après la bataille », ce qui l'autorise à la fois à porter un regard critique sur le passé et à renvoyer certaines questions à des réponses écrites ultérieures.
La substance
Sa thèse centrale : la PDS opère un tournant souverain et « se trouve sur la bonne voie ». Elle a abandonné la solution intercalaire (réplication de la base Cnam sous Oracle) pour aller directement vers une « solution cible » hébergée chez un fournisseur de cloud souverain, via un marché Ugap à procédure d'aide au choix (expression de besoins le 9 février, auditions du 26 au 31 mars), avec un fournisseur annoncé mi-avril et une migration fin 2026 / début 2027.
Chiffres et constats marquants :
- Aveu sur Azure : le recours initial à Microsoft Azure « l'a rapidement handicapée en raison de l'inquiétude engendrée par ce choix » ; coût total ≈ 10,5 M€ HT (2019-février 2026).
- Capgemini : accompagnement ≈ 10 M€, jusqu'à dix personnes/mois au démarrage, aujourd'hui 0,6 ETP/jour.
- Financement : quatre sources, dominées par l'Ondam, très fluctuant (12,61 M€ en 2023, 29,61 en 2024, 20,61 en 2025, 12,61 en 2026) ; masse salariale ≈ 13 M€ ; forte dépendance jugée préoccupante.
- Sécurité : double pseudonymisation « quasiment irréversible », chiffrement des données stockées et des flux, anonymisation de tout ce qui sort, et « une fonctionnalité qui permet à la plateforme de refuser aux ingénieurs de Microsoft tout accès aux données ».
- Risque résiduel : le risque de réidentification est « très faible » (décisions du Conseil d'État), mais le vrai sujet est le kill switch — « les premières mises à jour qui disparaitraient seraient celles relatives aux mesures de sécurité ». La sortie d'Azure vers un cloud souverain répond à l'article 31 de la loi Sren, « afin de nous protéger contre les risques [...] liés aux lois extraterritoriales et aux pressions exogènes de toute nature ».
Les enjeux et confrontations
L'audition est un exercice contradictoire nourri, mené à deux voix.
Le président Latombe pointe frontalement le glissement du conseil vers la prescription : les documents « estampillés Health Data Hub [...] étaient produits par Capgemini, comme le prouvaient les notes en bas de page ». Vilbœuf corrige d'un mot défensif — « Ils les coproduisaient, pour être plus précis » — sans pouvoir dire si Capgemini a pesé sur le choix initial d'Azure (« Je n'ai pas de visibilité sur ce qui s'est passé avant 2020 »). Latombe met aussi en cause l'objectivité de l'étude de marché de 2024 (qui ne retenait qu'AWS et Azure), le surcoût du recours à l'Ugap « aux alentours de 30 % » (référencement Crayon + frais de gestion), et l'écart entre la promesse gouvernementale d'une migration « dans les 18 mois » et sa réalisation « plus de trois ans après la fin de la promesse ».
La rapporteure Chatelain pousse deux angles. Économique : le retour sur investissement « attendu de 54 millions d'euros, qui ne s'élèverait en réalité qu'à 500 000 euros » selon la Cour des comptes — que Vilbœuf conteste, disant avoir transmis d'autres chiffres à la DITP. Souverain : elle déplace le débat de la réidentification vers la valeur de la masse de données pour l'entraînement des IA, démonte le « cloud de confiance » (Bleu, S3NS « souverains dans leur entité et leur financement, mais qui utilisent des technologies américaines », donc non prémunis contre le kill switch), et propose d'aligner la certification HDS sur les exigences de souveraineté de SecNumCloud.
Les esquives sont assumées : Vilbœuf reste « prudent » sur Bleu/S3NS (marché en cours), ne peut confirmer si les données sont chiffrées pendant le traitement, ni si les équipes ont accès au code source — autant de points renvoyés à des réponses écrites.
Ce que l'audition apporte au dossier
Elle documente, de l'aveu même de l'opérateur, qu'un choix d'hyperscaler américain a durablement pénalisé une infrastructure d'État sensible, indépendamment de sa robustesse technique. Elle nomme le kill switch comme risque de souveraineté le plus concret, illustre la captation de la décision publique par les cabinets (Capgemini), et fournit deux pistes actionnables pour le rapport : conditionner la certification HDS à des critères de souveraineté, et distinguer souveraineté capitalistique et indépendance technologique réelle. Doctrine défendue par Vilbœuf : maintenir strictement l'utilisation secondaire des données « dans le cadre du RGPD » face à l'omnibus numérique européen — « c'est peut-être une approche naïve ou radicale, mais elle nous semble essentielle ».