Après sept ans de procédure, la Plateforme des Données de Santé (Health Data Hub) a choisi Scaleway pour héberger les données de santé françaises. Cette décision institutionnelle, combinée à la recommandation de la DGSI d’exclure certains SaaS étrangers et au plan européen de 180 millions d’euros pour le cloud souverain, dessine un alignement sans précédent. Pour les établissements de santé, les organismes publics et les industriels soumis à NIS2, une question se pose : l’hébergement souverain suffit-il, ou faut-il repenser la chaîne entière de traitement des données ?
Sept ans pour une décision
La Plateforme des Données de Santé a été créée en 2019 pour centraliser et valoriser les données de santé des Français à des fins de recherche. Dès son lancement, son hébergement a été confié à Microsoft Azure, sans appel d’offres et en pleine montée en puissance du CLOUD Act américain. Le choix a immédiatement suscité des recours de la part de la CNIL, du Conseil d’État, d’associations de patients et du conseil national de l’ordre des médecins, tous réunis autour d’une même question : confier des données médicales hautement sensibles à une entreprise soumise au droit extraterritorial américain est-il compatible avec le RGPD ?
La réponse institutionnelle, longue à venir, est désormais claire. En avril 2026, Scaleway devient l’hébergeur officiel de la Plateforme. Le groupe français, certifié SecNumCloud, soumis au seul droit français, succède à Microsoft Azure et valide concrètement un modèle que les textes appelaient de leurs vœux depuis des années : un cloud de confiance, qualifié par l’ANSSI, imperméable aux injonctions des juridictions étrangères.
Ce basculement n’est pas un événement isolé. Il s’inscrit dans une séquence institutionnelle qui s’accélère.
Un alignement institutionnel sans précédent
Trois signaux, quasi simultanés, convergent au printemps 2026.
La DGSI recommande officiellement aux entreprises françaises de bannir certaines solutions SaaS étrangères pour des raisons de sécurité économique. La recommandation, rare de la part de ce service, cible explicitement les acteurs américains et asiatiques dont l’accès aux données est susceptible d’être contraint par une autorité étrangère.
La Commission européenne alloue 180 millions d’euros au cloud souverain, marquant un passage concret du discours aux actes. Ce financement, modeste à l’échelle des investissements hyperscalers, a une valeur de signal : il confirme l’existence d’une stratégie industrielle européenne assumée, qui ne se limite plus à la régulation.
La CNIL a signé le 10 mars 2026 un partenariat avec la Haute Autorité de Santé sur les données sensibles du secteur sanitaire et médico-social. Dans le même temps, la consultation publique du Comité européen de la protection des données (CEPD) sur les Analyses d’Impact relatives à la Protection des Données (AIPD) est ouverte jusqu’au 9 juin 2026. Les établissements de santé sont explicitement identifiés comme adopteurs prioritaires des nouvelles exigences.
Pour la première fois, régulateur, renseignement économique, Commission et opérateur public d’infrastructure santé envoient le même message, dans la même fenêtre de temps : la souveraineté des données n’est plus une option, c’est une obligation opérationnelle.
Les chiffres qui cadrent le contexte :
- 763 incidents de cybersécurité enregistrés dans le secteur santé français en 2025.
- 63 % des organisations de santé et sciences de la vie expérimentent ou déploient l’IA agentique.
- 180 millions d’euros alloués par la Commission européenne au cloud souverain.
- 9 juin 2026 : date limite de la consultation publique du CEPD sur les AIPD.
- 7 ans : durée écoulée entre l’attribution initiale de la Plateforme des Données de Santé à Azure et sa migration vers Scaleway.
L’hébergement souverain est nécessaire, pas suffisant
La migration de la Plateforme des Données de Santé vers Scaleway résout une question essentielle : celle de la juridiction qui s’applique aux données au repos. Un serveur exploité en France par un opérateur français sous droit français ne peut être contraint de livrer ses données à une autorité étrangère sans passer par les canaux de coopération judiciaire reconnus.
Mais une donnée de santé ne passe pas sa vie au repos. Elle est ingérée, transformée, rapprochée d’autres sources, anonymisée, analysée, projetée dans des indicateurs, parfois exposée à des modèles d’intelligence artificielle. À chacune de ces étapes, elle est lue, copiée, recomposée. Et à chaque étape, la question de la souveraineté se repose. Si le traitement s’appuie sur une API, un moteur analytique ou un modèle d’IA opérés par une entité soumise au CLOUD Act, la protection apportée par l’hébergement souverain s’évapore au moment du traitement.
C’est ici que se joue la vraie bascule de 2026. La souveraineté de l’hébergement est une condition nécessaire. Elle n’est pas une condition suffisante. Les établissements qui considèrent la question réglée avec le choix de Scaleway ou d’OVHcloud découvrent, à l’usage, qu’une partie significative de leur chaîne de valeur data reste dépendante de fournisseurs étrangers à travers les couches d’orchestration, de transformation et d’analytique.
La souveraineté ne se mesure pas à l’endroit où les données dorment. Elle se mesure à la chaîne complète par laquelle elles deviennent exploitables.
Ce que la pression réglementaire impose concrètement
Pour les directions des systèmes d’information hospitaliers, les groupements hospitaliers de territoire, les laboratoires de recherche médicale et les industriels de la santé, la convergence de NIS2, DORA, du RGPD et de l’AI Act se traduit par trois obligations opérationnelles.
Traçabilité native. Chaque transformation d’une donnée doit pouvoir être reconstituée, horodatée, attribuée. Les pipelines ETL traditionnels, qui empilent les couches de traitement sans traçabilité unifiée, deviennent des passifs réglementaires. L’épisode CNIL des 739 signalements lors des municipales 2026, dont 63 % liés à de la prospection non conforme, a démontré à quelle vitesse l’absence de traçabilité se retourne contre les responsables de traitement.
Conformité by design. Une conformité ajoutée après déploiement dépend de la bonne volonté du fournisseur et de la stabilité de sa feuille de route. Une conformité by design est une propriété de l’architecture elle-même : anonymisation à la source, absence de stockage intermédiaire, règles RGPD intégrées au moteur de traitement. La nuance est invisible tant qu’aucun audit n’a lieu. Elle devient décisive le jour de l’inspection.
Résilience documentée. NIS2 et DORA exigent une démonstration de résilience, pas une déclaration. Cela suppose de pouvoir reconstituer rapidement les flux, les dépendances, les points de défaillance. McKinsey le résume dans un rapport récent : quatre étapes de consolidation des capacités data doivent précéder tout déploiement agentique à grande échelle. L’orchestration n’est plus un chantier technique secondaire. C’est un prérequis de conformité.
Trois questions que chaque DSI santé devrait se poser
1. Où mes données sont-elles stockées, mais surtout où sont-elles traitées ? Le choix de l’hébergeur est visible. Celui de la couche d’orchestration l’est beaucoup moins. Les données qui transitent par un moteur analytique étranger ne bénéficient pas de la souveraineté de leur hébergeur.
2. Mes partenaires technologiques sont-ils à l’abri des injonctions extraterritoriales ? Une filiale européenne d’un groupe américain reste soumise, en dernier ressort, au droit de sa maison mère. La souveraineté effective passe par une chaîne de dépendances intégralement européenne, vérifiable de l’infrastructure à la couche applicative.
3. Ma conformité est-elle native dans l’architecture ou ajoutée en couche ? La consultation AIPD du CEPD se termine le 9 juin 2026. Les établissements qui anticipent dès maintenant une architecture de traitement compatible AIPD prennent de l’avance sur ceux qui attendront la publication des lignes directrices finales pour réagir.
La migration Azure vers Scaleway de la Plateforme des Données de Santé n’est pas une fin. C’est un début. L’hébergement souverain résout la question de la juridiction. Reste à traiter celle du traitement. Les établissements qui s’appuient sur une couche d’orchestration européenne, sans stockage intermédiaire et avec traçabilité native, ne prennent pas simplement une précaution juridique : ils préparent leur conformité 2027, celle qui ne se rattrape pas en urgence.
Découvrez comment iD4Connect adresse ces enjeux pour le secteur santé →