Hébergement souverain et réversibilité des données
Sur ce sujet, le corpus est resserré (4 citations sourcées, 3 auditions) mais convergent : les intervenants qui s'expriment défendent le maintien des données sensibles dans un cadre d'hébergement souverain, et présentent la réversibilité comme la condition technique qui rend ce choix crédible. La position dominante, formulée en table ronde (des directeurs des systèmes d’information d’organismes de recherche), est que « les données sensibles sont et doivent rester hébergées dans un cadre souverain (France/Europe, on-premise, clouds régionaux labellisés, SecNumCloud), quitte à en assumer le surcoût », ce terrain étant décrit comme celui où la souveraineté est « largement gagnée ».
Trois lignes de justification ressortent. La première est réglementaire et sectorielle : selon Damien Rousset (Inserm, des directeurs des systèmes d’information d’organismes de recherche), le développement d'un cloud propre s'explique par des « réglementations plus contraignantes, nécessitant des infrastructures habilitées à traiter des données de santé ». Les données de santé imposent ainsi des infrastructures habilitées qui justifient un investissement souverain interne. La deuxième est stratégique et technique : Hela Ghariani, pour la Plateforme des données de santé / Health Data Hub (Mme Hela Ghariani), cadre le choix souverain comme l'aboutissement d'« un travail engagé dès 2019 » visant à « garantir techniquement la réversibilité de la plateforme, c'est-à-dire notre capacité effective à changer d'hébergeur », et à suivre l'évolution de l'offre de cloud française et européenne. La réversibilité y est présentée non comme un geste politique ponctuel mais comme une capacité construite dans la durée. La troisième est régalienne : le général Marc Boget (Anfsi, M. Tomasz Blanc) traduit le risque extraterritorial en termes de souveraineté d'État, rappelant que « le Cloud Act américain [...] confier nos données à des tiers revient à accepter que les justices étrangères puissent s'immiscer dans nos dossiers judiciaires et nos fichiers de police ».
Le point de tension le plus net n'oppose pas les intervenants entre eux, mais met en lumière une contradiction externe : selon Marie-Pierre Fontanel (CNRS, des directeurs des systèmes d’information d’organismes de recherche), « Microsoft nous pousse vers le cloud à partir de 2029, ce qui est orthogonal avec les injonctions de souveraineté ». Elle pointe ainsi le décalage entre la stratégie commerciale des grands fournisseurs (pousser vers le cloud) et les injonctions publiques de souveraineté imposées aux organismes.
Sur ce sujet précis, la fiche ne fait donc pas apparaître de clivage frontal entre camps : les intervenants partagent un même constat (les données sensibles relèvent d'un hébergement souverain) et convergent sur les leviers cités — SecNumCloud, infrastructures habilitées santé, réversibilité, on-premise et clouds régionaux labellisés. Les repères concrets mobilisés sont le Cloud Act (risque d'accès des justices étrangères aux fichiers de police), l'échéance de 2029 évoquée pour la pression au cloud de Microsoft, et l'exemple du Health Data Hub comme cas d'école de réversibilité travaillée depuis 2019. Le corpus reconnaît par ailleurs que ce choix a un coût, la position de des directeurs des systèmes d’information d’organismes de recherche assumant explicitement le « surcoût ».
Qui en parle
- Marie-Pierre Fontanel — CNRS (des directeurs des systèmes d’information d’organismes de recherche) : pointe la contradiction entre la stratégie commerciale de Microsoft (poussée vers le cloud dès 2029) et les injonctions de souveraineté.
- Damien Rousset — Inserm (des directeurs des systèmes d’information d’organismes de recherche) : justifie un cloud propre par les contraintes réglementaires sur les données de santé (infrastructures habilitées).
- Hela Ghariani — Plateforme des données de santé / Health Data Hub (Mme Hela Ghariani) : présente la réversibilité comme une stratégie technique de long terme (dès 2019) et la capacité effective de changer d'hébergeur.
- Général Marc Boget — Anfsi (M. Tomasz Blanc) : lit le risque extraterritorial (Cloud Act) sous l'angle régalien, accès étranger possible aux enquêtes et fichiers de police.
- Position de table ronde (des directeurs des systèmes d’information d’organismes de recherche) : les données sensibles doivent rester dans un cadre souverain (SecNumCloud, on-premise, clouds régionaux labellisés), surcoût assumé.