En bref
- Le Health Data Hub opère une rupture stratégique avec Microsoft pour adopter une infrastructure SecNumCloud, déployée sous la supervision de l’État français.
- Cette transition vise à accroître la sécurité des données et la confidentialité des données de santé, tout en renforçant la protection des données et la transformation numérique du système de santé.
- La décision vient après des années de blocages CNIL liés au Cloud Act et à des considérations de souveraineté, et elle s’inscrit dans un cadre européen plus large avec l’objectif d’un espace européen des données de santé (EHDS).
- Le processus se déroule via un appel d’offres public et une concertation avec des acteurs nationaux comme OVHcloud, Cloud Temple et S3NS, afin d’aligner la plateforme sur les exigences de l’Anssi et du référentiel SecNumCloud.
- Deux vidéos liées à ce dossier offrent des éclairages techniques et institutionnels, tandis que des ressources dédiées permettent de suivre l’évolution du projet et ses implications pour les professionnels de santé.
Le Gouvernement français franchit une étape historique en annonçant la migration totale du Health Data Hub vers une infrastructure souveraine qualifiée SecNumCloud par l’Anssi. L’abandon des solutions d’hébergement extraterritoriales, notamment celles associées à des partenaires américains, s’inscrit dans une logique de renforcement de la sécurité des données et de confidentialité des informations sensibles. Dès lors, l’État français met en œuvre une stratégie de bascule qui prévoit la conservation et l’intégrité du Système national des données de santé (SNDS) au sein d’un cloud strictement conforme aux standards européens et nationaux. Cette orientation s’accompagne d’un cadre juridique et opérationnel plus clair, d’un appel d’offres ciblé et d’un partenariat avec des opérateurs locaux capables de garantir la résilience, la traçabilité et la gestion des accès conformément au référentiel SecNumCloud.
La [première considération clé] est la durabilité du dispositif. Le montage prévoit une migration progressive, avec une architecture cloud qui assure une réplique fidèlement contrôlée des bases de données et des flux d’information. Cette approche vise à éviter toute rupture de service pour la recherche et pour les acteurs hospitaliers qui dépendent du SNDS pour des projets biomédicaux et épidémiologiques. En parallèle, l’objectif est de favoriser une meilleure interopérabilité entre les systèmes nationaux et les plateformes européennes, afin de soutenir l’initiative EHDS et de garantir une accessibilité sûre et autorisée des données pour les chercheurs et les autorités sanitaires. Dans ce cadre, les notions de données de santé et de protection des données s’inscrivent dans une architecture qui privilégie le moindre accès nécessaire, le journal des événements et une supervision continue par des équipes dédiées. La transformation numérique du secteur ne se limite pas à une migration technique, elle est aussi une révision du cadre de gouvernance, des processus d’audit et des mécanismes de contrôle. Cet ensemble vise à instaurer une culture de cybersécurité proactive et une meilleure assimilation des contraintes liées à la sécurité des systèmes d’information de santé.
Le passage à une solution SecNumCloud est présenté comme un investissement stratégique dans la sécurité des données et la confidentialité des informations sensibles, tout en renforçant la résilience opérationnelle du système de santé. Le projet repose sur des partenaires nationaux, une approche contractualisée et une supervision technique rigoureuse. Pour le lecteur, il est utile de comprendre que ce choix ne se limite pas à une contrainte de conformité ; il s’agit d’un choix d’organisation et de leadership public, visant à placer les données de santé sous une gouvernance européenne plus robuste et à offrir un cadre clair pour les usages chercheurs et cliniques, dans un esprit de transparence et de responsabilité. Enfin, il convient d’insister sur le fait que ce tournant s’inscrit dans une dynamique de sécurité numérique qui, au-delà de la conformité, recherche une performance opérationnelle et une meilleure expérience pour les patients, en termes de confidentialité et de sécurité des informations les concernant.
Parcours, enjeux et acteurs
Le chemin vers SecNumCloud s’ancre dans une articulation entre autorités, opérateurs et acteurs publics. Dès les premières analyses, l’objectif fut de mettre fin à une situation de dépendance vis-à-vis de prestataires étrangers et de réduire les risques liés au cadre législatif américain. La CNIL a été un interlocuteur clé dans le diagnostic des risques et dans l’élaboration des garde-fous nécessaires à la protection des données personnelles des patients. Par ailleurs, l’ANSSI, par le biais du label SecNumCloud, a établi les exigences de sécurité opérationnelle, incluant la gestion des identités et les contrôles d’accès, la sécurité du stockage et la traçabilité des accès, ainsi que les mécanismes de détection et de réponse aux incidents. Cette logique s’inscrit dans une gouvernance renforcée du numérique public, avec une utilisation plus restrictive et plus contrôlée des données sensibles.
Sur le plan opérationnel, l’État français mobilise le dispositif « Nuage Public » de la DINUM pour structurer l’appel d’offres et sélectionner les prestataires les plus compétents pour répondre à l’ensemble des exigences de sécurité et de conformité. Des acteurs tels qu’OVHcloud, Cloud Temple et S3NS participent à cette compétition, chacun apportant des architectures qui combinent résilience, cryptographie avancée, et auditabilité. Dans ce contexte, le rôle des hôpitaux et des instituts de recherche est repensé pour favoriser les échanges sélectifs et limitées autorisations d’accès, tout en maintenant l’intégrité des données et la continuité des activités de recherche.
La communication autour de ce basculement met aussi en évidence une dimension européenne, car le cloud souverain est perçu comme une étape vers un cadre commun plus sûr et plus transparent pour les données de santé à l’échelle européenne. Le cadre SecNumCloud se révèle comme un levier pour l’harmonisation des pratiques, la réduction des risques d’exportation non autorisée et l’amélioration de la digitalisation du système de santé. L’architecture envisagée prévoit que la copie complète du SNDS soit hébergée dans l’infrastructure cible d’ici la fin de l’année 2026, ce qui suppose une coordination robuste entre les opérateurs, les ministères et les organismes de régulation. Cette perspective s’inscrit dans une vision d’ensemble où la sécurité des données et la protection des informations sensibles deviennent des composantes essentielles de la confiance publique dans la transformation numérique du secteur.
Pour les professionnels et les parties prenantes, l’essentiel est la clarté des responsabilités, la traçabilité des décisions et la démonstration continue de conformité. Le système doit considérer les risques techniques, organisationnels et juridiques, tout en assurant des niveaux de disponibilité et de performance adaptés aux exigences de la recherche et des soins. Dans ce cadre, l’action publique s’accompagne d’un renforcement des capacités internes et d’un accompagnement des entités partenaires pour garantir une transition sans fracture et une compréhension partagée des enjeux.
Texte de transition et rappel des échéances. Le gouvernement poursuit les consultations et les tests de performance du système, avec une attention soutenue sur l’innovation et l’éthique des usages. Le lecteur trouve dans l’article des éléments concrets sur les étapes et les indicateurs attendus, en particulier sur les mécanismes de contrôle, la gestion des incidents et la sécurité de l’accès.
Transition souveraine du Health Data Hub vers SecNumCloud : mécanismes et périmètre
La transition du Health Data Hub vers une infrastructure SecNumCloud est conçue comme une démarche d’architecture sécurisée et de consolidation des données de santé, tout en assurant une continuité de service pour la recherche et les usages cliniques. Cette approche repose sur une définition claire du périmètre, des garanties de sécurité et des mécanismes de supervision. Le projet prévoit l’élimination progressive des passerelles anonymes et des architectures hybrides qui faisaient coexister des composants hébergés dans des environnements hors de l’Union européenne et des systèmes nationaux connectés. L’objectif est d’obtenir une solution qui respecte les exigences européennes en matière de confidentialité et de souveraineté des données, tout en restant agile pour soutenir l’innovation et la recherche médicale.
Le périmètre du nouvel écosystème sécuritaire comprend le SNDS, les flux épidémiologiques et les jeux de données cliniques qui alimentent des projets de recherche, des essais cliniques et des analyses de population. L’intégrité et l’authentification des accès constituent des axes majeurs, avec des contrôles renforcés sur les droits des utilisateurs et les modules de journalisation. En parallèle, la rotation des clés cryptographiques et les mécanismes de chiffrement au repos et en transit sont redéployés selon des standards européens, afin de minimiser les risques en cas d’incident et de garantir une traçabilité indicating qui a accédé à quelles données et à quel moment.
Au plan opérationnel, l’État français s’appuie sur le marché « Nuage Public » de la DINUM pour structurer l’appel d’offres et accélérer la sélection des prestataires répondant aux exigences d’Anssi et de SecNumCloud. Les candidatures des opérateurs nationaux, notamment OVHcloud, Cloud Temple et S3NS, ont été évaluées sur des critères techniques tels que la sécurité des environnements, la résilience des services et la qualité de l’auditabilité. Cette étape est essentielle pour assurer une transition fluide et sans rupture pour les chercheurs, les professionnels de santé et les institutions qui dépendent quotidiennement du Health Data Hub pour des projets de recherche et de statistiques sanitaires.
La dimension européenne est présente dans les objectifs du projet. L’infrastructure visée doit pouvoir servir de socle au développement de l’Espace européen des données de santé (EHDS), tout en garantissant la sécurité et la confidentialité des données. Ce cadre européen renforce les exigences de conformité et les mécanismes de contrôle, tout en facilitant les échanges transfrontaliers sous les conditions prévues par le droit européen et national. Dans ce contexte, la transition n’est pas seulement technique : elle implique une refonte des procédures, une formation accrue des équipes et une clarification des responsabilités des différents acteurs publics et privés impliqués.
Les parties prenantes s’accordent sur l’idée que le basculement vers un cloud souverain doit être perçu comme un levier pour la confiance numérique et pour l’efficacité des services de santé. Le choix d’un opérateur national et la qualification SecNumCloud viennent répondre à des exigences de sécurité, de disponibilité et de contrôle des données, tout en soutenant les ambitions de modernisation et de décentralisation des données de santé. Le calendrier reste ambitieux: la mise en œuvre complète est envisagée d’ici la fin de l’année 2026, avec des jalons clairs et des revues régulières pour ajuster les pratiques.
En matière de communication et de transparence, les autorités s’efforcent de présenter les bénéfices pour les citoyens et les professionnels de santé sans compromettre les détails techniques sensibles. Les informations publiques se veulent accessibles, tout en préservant les exigences de sécurité et les protocoles de protection des données. Un élément central est l’assurance que les données des patients ne soient accessibles que par les personnes dûment autorisées, avec des logs robustes et des mécanismes de détection des anomalies. Cette approche renforce l’image du Health Data Hub comme démonstrateur de responsabilité et d’éthique dans la gestion des données de santé et la transformation numérique associée.
- Planification de la migration et coordination des acteurs publics et privés
- Renforcement des contrôles d’accès et traçabilité
- Transfert et conservation sécurisée des copies du SNDS
- Alignement avec les standards européens et les exigences Anssi
Pour approfondir la profondeur stratégique, deux ressources externes apportent des éclairages complémentaires et des analyses pertinentes sur les options et les dynamiques du dossier :
Analyse comparative des choix d’hébergement et de SecNumCloud
Éclairage sur les défis de la transition et les implications pour Microsoft
Gouvernance, cadre juridique et implications pratiques
Le cadre juridique et administratif autour du Health Data Hub en transition est caractérisé par une articulation renforcée entre l’État français, les autorités de régulation et les opérateurs privés. La ministre de la Santé, dans ce contexte, véhicule une approche qui vise à consolider la souveraineté numérique sans compromettre l’accès à la recherche et à l’innovation. Cette démarche est soutenue par les autorités compétentes en matière de traitement des données personnelles et de cybersécurité, qui insistent sur la nécessité d’un cadre clair et prévisible pour les partenaires publics et privés, tout en garantissant la conformité avec les règles européennes et nationales.
Sur le plan pratique, les institutions qui alimentent le Health Data Hub doivent adapter leurs procédures internes de gouvernance des données. Cela implique notamment des processus d’audit plus rigoureux, des politiques de gestion des accès, et une documentation exhaustive des flux de données et des transferts. En parallèle, une surveillance continue est mise en place pour détecter des signes d’incident et pour coordonner les réponses opérationnelles. Cette approche a pour ambition de faire du Health Data Hub un modèle reproductible pour d’autres secteurs sensibles, en démontrant que la sécurité des données et la transformation numérique peuvent progresser main dans la main.
Du point de vue des patients et des chercheurs, l’objectif central est d’offrir un cadre transparent et fiable. Les mécanismes de consentement et les droits des personnes — y compris le droit à l’accès et à la rectification — demeurent au cœur des discussions. Les autorités envisagent des communications régulières pour tenir informés les professionnels et le grand public sur l’avancement du projet et les garanties associées. La prudence s’impose toutefois dans la publication d’informations sensibles et techniques, afin de préserver la sécurité du système et d’éviter toute exploitation malveillante.
En synthèse, le passage à SecNumCloud représente une rupture méthodologique et organisationnelle qui nécessite une coopération étroite entre les administrations, les opérateurs et le monde de la recherche. L’objectif est de construire un dispositif capable de soutenir l’innovation tout en renforçant la confiance des citoyens dans la protection de leurs données de santé et dans la sécurité des échanges numériques.
Impact sur les acteurs de santé et sur les pratiques de protection des données
Le futur Health Data Hub, hébergé dans une cloud sécurisé et certifié, modifie les pratiques de traitement et d’analyse des données de santé. Pour les établissements de soins, cela signifie une intégration plus rigoureuse des flux de données, une meilleure traçabilité des accès et une réduction des risques liés à des transferts non autorisés. Pour les chercheurs, la garantie d’un environnement conformes aux standards SecNumCloud ouvre des opportunités accrues pour les projets collaboratifs et les analyses de grande échelle, tout en garantissant une gestion acceptable des risques et une protection renforcée des données personnelles.
La dimension européenne, avec l’objectif EHDS, renforce les cadres de coopération et les mécanismes de coordination entre États membres. Cette dynamique demande une adaptation des pratiques nationales, mais elle offre aussi des perspectives d’harmonisation et de partage de connaissances dans un cadre fondé sur la sécurité et la confidentialité. La transformation numérique du système de santé ne peut se concevoir sans un équilibre entre l’accès aux données pour la recherche et les garanties nécessaires pour protéger les patients.
Dans ce contexte, l’outil données de santé et les mécanismes de protection des données constituent des piliers stratégiques. Les acteurs doivent devenir plus attentifs à la gestion des risques, à la sécurité des systèmes et à la transparence des décisions. Le public attend des réponses claires sur les bénéfices, les coûts et les limites de ce basculement. LeHealth Data Hub est appelé à démontrer que les choix de souveraineté technologique ne signifient pas renoncer à l’excellence scientifique et à l’innovation clinique, mais au contraire les renforcent dans un cadre normatif clair et efficace.
Tableau récapitulatif des critères et des options d’hébergement
| Critère | Hébergement actuel | Hébergement SecNumCloud |
|---|---|---|
| Gouvernance | Partenariat public-privé hétérogène | Gouvernance publique renforcée |
| Souveraineté | Partenariat avec opérateurs extraterritoriaux potentiel | Infrastructures certifiées SecNumCloud |
| Sécurité | Chiffrement et contrôles d’accès adaptatifs | Contrôles stricts, traçabilité exhaustive |
| Interopérabilité | Projets indépendants | Alignement EHDS et standards européens |
| Risque | Incidents potentiels liés à l’extraterritorialité | Risque maîtrisé via certifications et audits |
Pour approfondir les aspects opérationnels et les enjeux de souveraineté, l’article de référence illustre les choix possibles et les implications pour les années à venir. Ce panorama met en évidence les éléments qui pèsent sur les décisions, les scénarios de déploiement et les cadres de coordination entre les autorités et les opérateurs. Dans ce contexte, la confiance du public et des professionnels repose sur une communication claire, la démonstration de conformité et la traçabilité des actions.
- Définition des responsabilités et des responsabilités croisées entre l’État, les hôpitaux et les organismes de recherche.
- Validation des options d’hébergement par l’ANSSI et les autorités compétentes.
- Mise en place d’un plan de migration progressif et mesurable sans interruption des services.
- Renforcement des mécanismes d’audit et des contrôles d’accès.
- Clarification des droits des citoyens et des mécanismes de consentement pour les projets de recherche.
Les passerelles avec les autres secteurs de la santé et de la protection des données restent essentielles. La coopération entre les autorités et les professionnels du domaine est déterminante pour assurer une convergence entre fiabilité technique, respect des droits et efficacité opérationnelle.
Les chiffres et les jalons annoncés jusqu’à la fin de 2026 restent soumis à des ajustements en fonction des retours des travailleurs du secteur et des évaluations de performance. Cependant, l’orientation est claire : la sécurité des données et la protection des données ne doivent pas être compromises au détriment de l’innovation et de la recherche, mais doivent les accompagner et les accélérer dans un cadre qui soit à la fois transparent et robuste.
Qu’est-ce que SecNumCloud et pourquoi est-il pivotal pour le Health Data Hub ?
SecNumCloud est une qualification délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Elle certifie qu’un cloud répond à des exigences élevées en matière de sécurité, de gestion des accès et d’auditabilité. Pour le Health Data Hub, cette qualification est essentielle afin d’assurer la sécurité des données de santé et la confidentialité des patients tout en permettant une transformation numérique conforme aux cadres européens.
Quel est le calendrier principal de la migration vers SecNumCloud ?
Le calendrier vise une migration complète d’ici la fin de l’année 2026, avec des jalons d’évaluation technique et de sélection des prestataires à court et moyen terme. Des appels d’offres structurés par la DINUM et une phase de tests et de validations renforcées sont prévus pour garantir la continuité des activités et la sécurité des données.
Quels sont les principaux prestataires impliqués ?
Des acteurs français tels que OVHcloud, Cloud Temple et S3NS participent à la compétition pour fournir l’infrastructure SecNumCloud répondant aux exigences d’Anssi. Ces prestataires apportent des architectures alignées sur les standards européens et une capacité de gestion des données sensibles au niveau national.
Quels bénéfices attendus pour les chercheurs et les patients ?
Les bénéfices incluent une meilleure protection des données et une meilleure confidentialité, une plus grande traçabilité des accès, une réduction des risques d’accès non autorisé, et une meilleure interopérabilité pour faciliter la recherche tout en respectant les droits des patients et les exigences réglementaires.
Liens et ressources complémentaires. Pour suivre les évolutions officielles et les analyses indépendantes, deux ressources en ligne donnent des éclairages utiles sur les choix de l’État et les implications pour les données de santé et la souveraineté numérique :
Éclairage sur l’hébergement sécurisé et SecNumCloud
Analyse sur les défis et les méandres du remplacement de Microsoft
