La part du citoyen

Le dossier · Chapitre 3

Chapitre 3 · 4 / 11

Où vivent tes données de santé ?

La dernière fois que tu as fait une prise de sang, que tu es passé aux urgences, que tu as retiré une boîte de médicaments à la pharmacie, ça a laissé une trace. Cette trace, avec celle de presque tous les Français, est rangée dans un grand coffre numérique de l'État. Et depuis le premier jour, ce coffre est posé sur les ordinateurs d'une entreprise américaine, Microsoft. Ce n'était pas censé durer. Ça dure depuis sept ans.

Un mot d'honnêteté avant d'ouvrir le dossier : ce que tu vas lire vient d'une commission d'enquête qui avait déjà une idée en tête — la France dépend trop des géants américains. Ce ne sont pas des vérités tombées du ciel, ce sont des témoins sous serment, avec chacun sa position. Notre travail, ici, c'est de séparer ce sur quoi ils sont tous d'accord de ce sur quoi ils se disputent.

Le fait : ton dossier de santé vit chez Microsoft

Établi La base de données de santé la plus sensible de France est hébergée sur Microsoft Azure depuis sa création, et l'était encore au moment des auditions.

Commençons par le décor, parce qu'il faut deux ou trois sigles pour comprendre. Il existe en France un Système national des données de santé — appelle-le le SNDS : c'est l'immense registre où sont regroupées les traces de santé de presque tout le monde (remboursements de la Sécu, passages à l'hôpital, causes de décès). Pour ouvrir ce registre aux chercheurs, l'État a créé en 2019 une plateforme, le Health Data Hub (aujourd'hui rebaptisée Plateforme des données de santé). Et cette plateforme, il a fallu la poser quelque part : sur un cloud, c'est-à-dire les ordinateurs géants d'un hébergeur. Le cloud choisi, c'est Azure, propriété de Microsoft, entreprise américaine.

Ce n'est pas une rumeur militante : c'est la présidente du gendarme français des données personnelles qui le constate, sous serment, devant les députés.

« Or, à ce jour, l'hébergement s'effectue toujours sur le cloud de Microsoft, Microsoft Azure. »

Marie-Laure Denis (présidente de la CNIL, Mme Marie-Laure Denis, 2026-04-15)

(présidente de la CNIL, l'autorité qui protège tes données personnelles — elle défend que les données les plus sensibles, comme la santé, ne devraient pas rester à portée d'une loi étrangère.)

Le mot important, dans sa phrase, c'est « toujours ». Parce que la CNIL a « toujours considéré », de son côté, que ce coffre-là devait être tenu par un opérateur européen. Il y a donc, dès le départ, un écart entre ce que la doctrine dit et ce que la réalité fait. Cet écart, tout le dossier consiste à l'expliquer.

Pourquoi ça inquiète, concrètement ? À cause d'un rouage juridique qu'on démonte en détail dans une autre pièce du dossier : une loi américaine, le Cloud Act, permet à un juge des États-Unis de réclamer des données détenues par une entreprise américaine, même si ces données sont stockées à Paris. Peu importe où est le coffre : ce qui compte, c'est la nationalité de celui qui en tient la clé. Ce risque n'est pas une vue de l'esprit inventée par la commission. Le directeur de la plateforme à l'époque, Laurent Vilbœuf, l'a reconnu lui-même devant les députés, lors de sa propre audition — c'est même la raison qu'il donne au futur déménagement : quitter Azure pour se protéger des lois extraterritoriales. Et la Ligue des droits de l'homme l'a rappelé devant la commission :

« j'ai pris connaissance de l'audition de M. Vilbœuf devant votre commission, au cours de laquelle il a reconnu l'existence d'un risque d'accès par une autorité étrangère aux données contenues dans cette plateforme. »

Maryse Artiguelong (Ligue des droits de l'homme, des associations sur le thème de la protection des données personnelle, 2026-03-25)

Attention à ne pas sur-jouer ce point. Que le risque existe en droit, c'est établi et personne ne le conteste. Que ce risque soit un jour utilisé — qu'un bouton soit vraiment pressé pour couper l'accès — c'est une autre question, et là le corpus se divise. On la garde pour la pièce sur le « kill switch ». Ici, on reste au fait : la porte existe.

Le rouage : comment « provisoire » devient « sept ans »

Établi Azure devait être une solution temporaire ; elle est devenue durable non par décision, mais parce que déménager s'est révélé, de l'aveu même des acteurs, techniquement lourd.

C'est le cœur du mécanisme, et c'est exactement le genre de rouage qu'on peut trancher ici, parce qu'il est factuel. Le meilleur exposé vient de la Cour des comptes, qui a passé le dossier au peigne fin.

(magistrat à la Cour des comptes, qui a piloté le rapport sur la souveraineté numérique de l'État — il défend une doctrine de « sobriété » : viser une performance suffisante, pas maximale, pour rester maître chez soi.)

« Cette solution devait être temporaire, mais aucun changement n'est advenu depuis sept ans : les services se sont probablement rendu compte que l'action de migrer était très complexe ; une simple décision politico-administrative ne suffit pas. »

Emmanuel Marcovitch (Cour des comptes, M. Emmanuel Marcovitch, 2026-03-17)

Voilà le piège, expliqué simplement : on entre dans un cloud « pour dépanner », le temps de trouver mieux. Puis on construit des choses dessus. Puis d'autres. Au bout d'un moment, tout déménager coûte si cher et prend tant de temps que « décider » de partir ne suffit plus — il faut pouvoir. C'est ce qu'on appelle l'enfermement, le lock-in : tu n'es pas prisonnier d'un contrat, tu es prisonnier de ce que tu as bâti. Et ce n'est pas la commission qui l'invente : Laurent Vilbœuf, le directeur de l'époque, l'a reconnu lui-même, en des termes remarquablement francs.

« le recours initial à un hébergement cloud Microsoft Azure l'a rapidement handicapée en raison de l'inquiétude engendrée par ce choix. »

Laurent Vilbœuf (directeur par intérim de la Plateforme des données de santé, M. Laurent Vilboeuf, 2026-03-17)

Traduction : le patron du coffre admet que le choix de l'hébergeur américain a, dès le début, pénalisé sa propre maison — non pas parce que la technique était mauvaise, mais à cause de la défiance qu'il a créée. Sur ce point, il n'y a pas deux versions. Le rouage est établi : un choix vendu comme provisoire s'est installé, et il a coûté en confiance.

Le grief : est-ce une faute ? (ici, les versions divergent)

Disputé Que le maintien sur Azure soit une « faute » — et de qui — n'est pas tranché : les témoins désignent des causes différentes.

C'est là qu'on arrête de trancher pour se mettre à écouter. Tout le monde constate le problème ; personne ne l'explique pareil.

Première version, la plus sévère : il n'y a jamais eu de vraie mise en concurrence, donc on ne peut même pas dire qu'aucune solution française n'existait — on ne l'a pas cherchée. Elle est portée par un industriel du cloud de confiance, qui connaît le sujet de l'intérieur.

« Mais il n’y a eu ni appel d’offres, ni mise en concurrence. Quand il n’y a pas de critères factuels sur la souveraineté comme l’indice de résilience numérique, quand il n’y a pas de concours, comment peut-on certifier qu’il n’existe pas de solution alternative ? »

Michel Paulin (filière des solutions numériques de confiance / Conseil national de l'industrie, M. Michel Paulin, 2026-04-07)

Deuxième version, plus indulgente sur les intentions : ceux qui ont choisi Microsoft ne cherchaient pas à brader quoi que ce soit, ils cherchaient à aller vite et à éviter la paperasse d'un marché public. La faute serait moins un choix stratégique qu'une facilité administrative. C'est la lecture de Henri Verdier, ancien patron du numérique de l'État.

« les personnes qui ont choisi l'unique solution référencée par l'Ugap ont agi ainsi pour gagner du temps et éviter la lourdeur des procédures de marché public »

Henri Verdier (Fondation Inria, ancien directeur du numérique de l'État, M. Henri Verdier, 2026-03-10)

Troisième version, celle de la Cour des comptes : le péché d'origine est d'avoir voulu la meilleure plateforme plutôt qu'une plateforme suffisante et maîtrisée. Et — c'est contre-intuitif, alors lis-le deux fois — la Cour affirme qu'une solution moins performante mais souveraine aurait sans doute mieux marché.

« une plateforme disposant de moins de fonctionnalités mais souveraine aurait probablement permis un déploiement moins heurté et un usage plus répandu, ce qui aurait rendu plus facile d'atteindre les objectifs recherchés. »

Emmanuel Marcovitch (Cour des comptes, M. Emmanuel Marcovitch, 2026-03-17)

À cette dispute sur les causes s'ajoute une dispute sur l'argent. La Cour a chiffré une promesse de rentabilité qui aurait fondu comme neige au soleil — un facteur cent —, chiffre que la rapporteure met en avant et que la plateforme, elle, conteste (elle dit avoir transmis d'autres calculs).

« La Cour des comptes évoque un retour sur investissement attendu de 54 millions d'euros, qui ne s'élèverait en réalité qu'à 500 000 euros. »

Cyrielle Chatelain (rapporteure de la commission, M. Laurent Vilboeuf, 2026-03-17)

Et puis il y a la version la plus haute, celle qui sort du technique pour parler de société. Pour Bernard Benhamou, confier ce coffre-là à Microsoft n'est pas un détail de gestion : c'est le symbole d'une contradiction de l'État, qui prêche la souveraineté d'une main et reconduit ses dépendances de l'autre. Ce qu'il défend, au fond, c'est que les données de santé ne sont pas une marchandise comme une autre.

(secrétaire général de l'Institut de la souveraineté numérique, l'un des premiers à avoir employé le terme — il défend qu'il n'y a pas de règle qui tienne sans une industrie européenne pour lui répondre.)

« Notre protection sociale est un acquis civilisationnel, pas seulement un confort de vie. »

Bernard Benhamou (Institut de la souveraineté numérique, M. Bernard Benhamou, 2026-04-02)

Quatre versions, donc, pour un même fait. On ne choisit pas laquelle est « la vraie ». On note ce qu'elles ont en commun — le maintien sur Azure est jugé anormal par tous — et ce qui les sépare — la responsabilité, l'argent, la gravité.

La défense la plus forte : la sortie était préparée

Établi La plateforme quitte Microsoft pour un hébergeur français, Scaleway ; la décision est prise (23 avril 2026) et datée (migration fin 2026 - début 2027).

Un dossier honnête ne charge pas sans écouter la défense la mieux argumentée. Elle est portée par la nouvelle directrice de la plateforme, en poste depuis à peine deux semaines lors de son audition. Sa thèse : arrêtez de voir dans ce virage un coup politique de dernière minute — c'est l'aboutissement d'un travail commencé des années plus tôt.

(directrice de la Plateforme des données de santé, arrivée deux semaines avant son audition — elle défend que la sortie vers un hébergeur français était préparée dès 2019, pas improvisée.)

« Ce choix est avant tout le résultat d’un travail engagé dès 2019, destiné, d’une part, à garantir techniquement la réversibilité de la plateforme, c’est-à-dire notre capacité effective à changer d’hébergeur, et, d’autre part, à suivre assidûment l’évolution de l’offre de cloud française et européenne. »

Hela Ghariani (directrice de la Plateforme des données de santé, Mme Hela Ghariani, 2026-04-29)

Le mot-clé, c'est réversibilité : construire dès le départ la capacité de déménager, pour ne pas se retrouver prisonnier — exactement le piège décrit plus haut. Et la décision, elle, est bien réelle et bien datée, confirmée par le gouvernement :

« Le 23 avril 2026, la plateforme des données de santé a officiellement choisi Scaleway pour remplacer Microsoft Azure, la migration devant être effective entre la fin 2026 et le début 2027. »

David Amiel (gouvernement, Mme Anne Le Hénanff, 2026-05-20)

La directrice démonte aussi, au passage, une idée reçue : le « souverain », ce serait forcément plus cher. Pas ici.

« L’offre que nous avons retenue faisait partie des moins chères. »

Hela Ghariani (directrice de la Plateforme des données de santé, Mme Hela Ghariani, 2026-04-29)

Est-ce que ça règle tout ? Non, et elle ne le prétend pas — c'est ce qui rend sa défense crédible. D'abord parce que la dépendance ne s'évapore pas le jour de la signature : le temps de bâtir la nouvelle maison, l'ancienne reste debout, chez Microsoft.

« En effet, plus de 250 projets y sont hébergés, et il n’est pas question de les arrêter tant que la nouvelle infrastructure n’est pas capable de les accueillir. »

Hela Ghariani (directrice de la Plateforme des données de santé, Mme Hela Ghariani, 2026-04-29)

Ensuite, parce qu'on touche là au chiffre le plus commenté du dossier, et qu'il faut le lire exactement pour ce qu'il dit — ni plus, ni moins.

[ÉTABLI, tel que déclaré] Selon la directrice, on compte 302 hébergeurs autorisés à ranger des données de santé, mais seulement 9 titulaires du label le plus exigeant en matière de souveraineté.

« Cet historique explique qu’aujourd’hui, nous comptions 302 acteurs certifiés HDS, contre seulement neuf acteurs, sauf erreur, certifiés SecNumCloud. »

Hela Ghariani (directrice de la Plateforme des données de santé, Mme Hela Ghariani, 2026-04-29)

Deux labels, deux niveaux. Le premier, HDS (« hébergeur de données de santé »), c'est le permis de base pour héberger de la donnée médicale : sécurité, sérieux — mais il ne dit rien de la nationalité de l'hébergeur ni des lois auxquelles il est soumis. Le second, SecNumCloud, c'est le label haut de gamme de l'ANSSI, le gendarme cyber de l'État : lui exige, en plus, d'être à l'abri des lois étrangères. Image simple : HDS, c'est le permis de conduire ; SecNumCloud, c'est le permis plus le blindage.

Un mot pour le lecteur attentif : selon le témoin et la date, le nombre exact de labellisés « souverains » bouge un peu — sept fin 2025 côté CNIL, dix-sept pour la Cour des comptes, neuf ici. L'ordre de grandeur, lui, ne bouge pas : une poignée face à trois cents.

Le piège, avec ce chiffre, serait d'en conclure « la France n'a que 9 hébergeurs souverains, tout le reste est perdu ». Ce n'est pas ce qu'il dit. Il dit qu'une écrasante majorité du marché de la santé roule aujourd'hui sur le label de base, et qu'une poignée seulement a le blindage. D'où la position — prudente, et disputée — de la directrice : imposer du jour au lendemain le blindage à tout le monde ferait s'effondrer le marché. La convergence des deux labels, elle la juge souhaitable, mais elle veut la faire par étapes, « avec mesure ». C'est un choix de méthode ; d'autres témoins le trouvent trop lent. On le note comme un point ouvert, pas comme une vérité.

Ce qu'on peut trancher, ce qu'on laisse ouvert

Récapitulons. Sur le mécanisme, on peut trancher : oui, la base de santé la plus sensible du pays vit chez Microsoft depuis l'origine ; oui, ce « provisoire » a duré sept ans parce que déménager est techniquement lourd ; oui, le risque d'accès par une autorité étrangère existe en droit et a été reconnu ; oui, une sortie vers un hébergeur français est désormais décidée et datée. Rien de tout cela n'est sérieusement contesté.

Sur le fond, en revanche, on se tait et on laisse parler les parties : était-ce une faute, et de qui ? Fallait-il préférer une plateforme moins riche mais maîtrisée ? Faut-il imposer vite le label le plus dur, ou avancer par paliers ? Là, il y a des versions, toutes défendables, aucune « révélée ». Et il reste une question que même les experts renvoient — élégamment — à quelqu'un d'autre : toi.

« C'est une question pour les citoyens. Les citoyens français acceptent-ils que leurs données de santé soient hébergées sur des clouds qui ne sont pas européens ? »

Damien Lucas (Scaleway, des fournisseurs de cloud ., 2026-04-21)

Pose ta question au dossier.