Qui est auditionné
Mme Hela Ghariani est entendue comme directrice générale de la Plateforme des données de santé (PDS, ex-Health Data Hub), fonction qu'elle occupe depuis « tout juste deux semaines ». Son parcours lui donne un angle de terrain sur le numérique public : responsable de la délégation ministérielle au numérique en santé (portage de « Mon espace santé »), puis passage par beta.gouv.fr sous Henri Verdier. La commission avait déjà reçu, en début de travaux, le directeur par intérim de la PDS, M. Laurent Vilbœuf. L'audition, ouverte à la presse, est présidée par M. Philippe Latombe, avec la rapporteure Mme Cyrielle Chatelain.
La substance
La thèse centrale de Ghariani est que le choix d'un hébergeur souverain français, Scaleway, annoncé une semaine plus tôt pour héberger la base principale du SNDS, n'est pas un geste politique opportuniste mais « le résultat d'un travail engagé dès 2019 », destiné à garantir la réversibilité (« notre capacité effective à changer d'hébergeur ») et à suivre la maturité de l'offre cloud. Ce choix est présenté comme « la rencontre » entre des besoins très exigeants et une offre enfin mûre.
Chiffres et faits marquants :
- Huit fournisseurs, plus de vingt-huit heures d'auditions depuis février, un cahier de « plus de 350 points ». « Aucune des offres ne satisfaisait l'intégralité de ces exigences » — aveu de maturité imparfaite du cloud souverain, jugée contournable.
- Calendrier : construction de l'infrastructure d'ici fin 2026 / début 2027, sous réserve de l'audit Passi et de l'autorisation Cnil pour copier le SNDS. Projet mené par des équipes internes (dont des freelances), deux experts Scaleway en immersion, sans intégrateur tiers (donc sans Capgemini).
- Dépendance résiduelle à Microsoft Azure : maintien de l'infra actuelle « pendant douze à dix-huit mois », car « plus de 250 projets y sont hébergés ». La sortie de dépendance est donc progressive.
- Coût : « L'offre que nous avons retenue faisait partie des moins chères » et « il n'y a pas de surcoût entraîné par la migration en tant que telle » — le surcoût se limite à la période transitoire à deux plateformes. Contre-narratif direct au postulat du souverain plus cher.
- HDS vs SecNumCloud : « 302 acteurs certifiés HDS, contre seulement neuf acteurs [...] certifiés SecNumCloud ». Une convergence immédiate serait industriellement impraticable ; elle « doit relever d'une décision industrielle prise avec mesure », avec révision du référentiel HDS attendue vers 2027 (en lien avec l'EUCS européen).
Sur la doctrine, elle érige les données de santé en « dernière frontière » et « pré carré » de souveraineté réelle, face à une « cannibalisation par les géants du numérique extracommunautaires », y compris pour les données pseudonymisées et anonymisées. Face à l'arrêt CJUE et au projet Omnibus qui requalifient certaines données anonymisées, elle privilégie la généralisation des données synthétiques « plutôt que d'essayer d'alléger le cadre réglementaire ». Elle affirme enfin que la France n'utilisera pas la dérogation de l'EHDS autorisant l'hébergement chez des acteurs soumis à des lois étrangères, « la loi Sren ayant déjà fixé notre cadre ».
Les enjeux et confrontations
Le ton reste courtois : peu d'affrontement frontal, mais des relances qui testent la solidité du discours. Chatelain pousse sur les déterminants réels du choix (« au-delà de la volonté politique »), sur le surcoût du souverain et sur une piste concrète : un « SecNumCloud légèrement moins strict » sur la protection physique mais plus exigeant contre les lois extraterritoriales. Ghariani esquive partiellement : « je n'ai pas d'opinion arrêtée », renvoyant à l'Anssi, à la DGE et au ministère. Elle ne sait pas combien des 302 hébergeurs HDS sont soumis à des lois extraterritoriales — donnée pourtant centrale — mais promet une transparence obligatoire et publique à venir.
Latombe presse sur les points sensibles : conflit de normes futur (partager des données avec la Hongrie ou des États au « socle minimum »), sur lequel elle admet qu'« une jurisprudence devra s'établir » ; le devenir du filtre Cnil, qu'elle défend intégralement (« ne déroge en rien au cadre réglementaire existant ») ; le budget cybersécurité, qu'elle ne chiffre pas isolément (« notre comptabilité analytique ne les étiquette pas »). Le détail des offres financières est renvoyé à l'écrit, au nom du secret des affaires.
Ce que l'audition apporte au dossier
Elle fournit un cas concret et documenté de bascule vers le souverain dans un secteur emblématique, avec deux données mobilisables : le souverain « parmi les moins chères » (démonte l'argument du surcoût) et l'écart 302 / 9 entre HDS et SecNumCloud (matérialise l'impasse d'une bascule brutale). Elle pointe les limites de la négociation européenne (localisation obtenue, exigences cloud refusées, « faible écho » des préoccupations françaises en 2021-2022) et une dépendance Azure encore réelle sur 12-18 mois. Elle défend une doctrine claire — santé comme ultime bastion de souveraineté, données synthétiques contre dérégulation, France plus exigeante que le socle EHDS — tout en laissant à d'autres administrations les arbitrages techniques les plus sensibles.