Données de santé & Health Data Hub
Le domaine des données de santé occupe dans le corpus une place à part : il agit comme cas d'école, presque comme métaphore, de la dépendance numérique de l'État français. Un fait unique, incontesté, en constitue le noyau : le Health Data Hub (Plateforme des données de santé, GIP) reste hébergé sur Microsoft Azure, alors que cette solution était présentée comme temporaire et dure depuis sept ans. Autour de ce constat se déploient toutes les lignes de force du débat : l'enfermement technique (la migration ne se décrète pas), le risque d'accès extraterritorial reconnu par la Plateforme elle-même, la tension entre performance fonctionnelle et souveraineté, la question de la gouvernance d'un opérateur public, et enfin la promesse répétée d'en sortir — désormais datée, avec le choix officiel de Scaleway le 23 avril 2026 et une migration prévue fin 2026-début 2027. Le domaine articule donc un versant critique (le passé) et un versant prospectif (la sortie, la convergence des certifications, le cadre européen, l'IA).
Une asymétrie documentaire structure toutefois la lecture : le premier sujet mobilise une douzaine d'intervenants et concentre les clivages, tandis que les quatre autres reposent largement, voire exclusivement, sur la voix de Mme Hela Ghariani, directrice de la Plateforme (audition de Mme Hela Ghariani). Les « tensions » de ces sujets sont donc souvent internes à son propre raisonnement plutôt que des affrontements entre courants.
Ce que chaque sujet apporte
- Health Data Hub : gouvernance et hébergement. Cœur critique et polyphonique du domaine. Accord unanime sur le fait (hébergement toujours chez Microsoft, doctrine constante de la Cnil pour un opérateur européen) et sur le risque extraterritorial. Désaccords sur les causes (Verdier : lourdeur de l'achat public ; Paulin : ni appel d'offres ni mise en concurrence) et les remèdes (Marcovitch : une plateforme souveraine même moins riche aurait mieux réussi ; Dulong de Rosnay : architecture décentralisée pair-à-pair). Points chiffrés : ROI attendu de 54 M€ ramené à 500 000 € (Chatelain) ; 302 hébergeurs HDS. Querelle de responsabilité Dinum (Schaer) / présidence (Latombe).
- Sortie de Microsoft et migration vers Scaleway. Versant prospectif et consensuel (Ghariani, Amiel, tous deux côté État). Choix officiel de Scaleway le 23/04/2026, migration fin 2026-début 2027, cadré comme l'aboutissement d'un travail de réversibilité engagé dès 2019. Éléments concrets : cahier de 350+ exigences qu'aucune offre ne satisfait entièrement, offre retenue « parmi les moins chères » (contre l'idée du surcoût du souverain), 250+ projets encore sur Azure durant la transition.
- Certification HDS/SecNumCloud et sensibilité des données. Voix unique (Ghariani). Données de santé comme « dernière frontière » et « pré carré » de souveraineté ; écart structurant de 302 hébergeurs HDS contre 9 certifiés SecNumCloud. Convergence jugée souhaitable sur le principe mais refus d'une bascule brutale qui effondrerait le marché ; à défaut, transparence contractuelle publiée par l'ANS ; refus de la banalisation des cyberattaques.
- Espace européen des données de santé (EHDS). Voix unique (Ghariani), de première main sur la négociation. Localisation européenne des données obtenue mais qualifiée de « victoire symbolique » partielle (pas d'exigence de type « cloud de confiance »). Dénonce une dérogation ouvrant l'hébergement à des acteurs sous législation étrangère, que la France dit refuser au nom de la loi Sren ; appelle à élever le niveau via les actes d'exécution.
- IA et données de santé. Sujet ponctuel (Chatelain, Ghariani). La donnée de santé comme « trésor » et carburant des modèles d'IA déplace l'enjeu vers la souveraineté. Ghariani plaide pour généraliser les données synthétiques anonymisées plutôt que d'alléger le cadre, refusant le « nivellement par le bas » lié à l'arrêt de la CJUE et au projet Omnibus.
Clivages majeurs
Le premier clivage oppose souveraineté par la performance et souveraineté par la sobriété : faut-il la meilleure plateforme (choix de départ, qui a mené à Azure) ou une solution souveraine même moins riche fonctionnellement (Marcovitch, Dulong de Rosnay) ? Le deuxième porte sur les causes de la dépendance : contrainte subie de l'achat public (Verdier) contre défaut de méthode et absence de mise en concurrence (Paulin). Le troisième, sur la gouvernance et la responsabilité : GIP de droit privé à réinterroger (Vilbœuf), et renvoi de responsabilité entre Dinum et présidence de la commission. Un quatrième clivage, plus implicite, sépare souveraineté par la loi et souveraineté par la localisation : la France qui invoque la loi Sren pour refuser la dérogation EHDS, contre le socle européen minimal jugé insuffisant. Enfin, sur l'IA, une tension latente entre protection renforcée (données synthétiques) et allègement réglementaire, la seconde option n'ayant toutefois pas de porte-parole dans le corpus. À noter : le clivage récurrent « cloud souverain réel vs washing » traverse le domaine (offre souveraine existante type Numspot/OVHcloud/Docaposte, coût du souverain contesté), mais le dossier santé, lui, bascule justement du washing dénoncé vers une réponse souveraine concrète.
Sujets couverts
- Health Data Hub : gouvernance et hébergement — hébergement toujours chez Microsoft depuis sept ans, risque extraterritorial reconnu, clivages sur causes, remèdes et gouvernance.
- Sortie de Microsoft et migration vers Scaleway — choix officiel de Scaleway (23/04/2026), migration fin 2026-début 2027, réversibilité engagée dès 2019, offre « parmi les moins chères ».
- Certification HDS/SecNumCloud et sensibilité des données de santé — 302 hébergeurs HDS contre 9 SecNumCloud, convergence souhaitée sans bascule brutale, transparence contractuelle à défaut.
- Espace européen des données de santé (EHDS) — localisation européenne « victoire symbolique » partielle, dérogation dénoncée, refus français au nom de la loi Sren.
- IA et données de santé — la donnée comme carburant des modèles, données synthétiques anonymisées contre allègement du cadre réglementaire.