Tras siete años de procedimientos jurídicos y políticos, la Plataforma de Datos de Salud francesa (Health Data Hub) ha elegido Scaleway para alojar los datos de salud del país. Esta decisión institucional, combinada con la recomendación de la DGSI de excluir ciertas soluciones SaaS extranjeras y el plan europeo de 180 millones de euros para el cloud soberano, dibuja una alineación sin precedentes. Para los establecimientos de salud, los organismos públicos y los industriales sujetos a NIS2, queda una pregunta: ¿basta el alojamiento soberano, o hay que repensar toda la cadena de tratamiento de los datos?
Siete años para una decisión
La Plataforma de Datos de Salud fue creada en 2019 para centralizar y valorizar los datos de salud de los franceses con fines de investigación. Desde su lanzamiento, su alojamiento se confió a Microsoft Azure, sin licitación pública y en plena expansión de la CLOUD Act estadounidense. La elección suscitó de inmediato recursos por parte de la CNIL, del Consejo de Estado, de asociaciones de pacientes y del Consejo Nacional del Colegio de Médicos, todos reunidos en torno a una misma pregunta: ¿es compatible con el RGPD confiar datos médicos altamente sensibles a una empresa sujeta al derecho extraterritorial estadounidense?
La respuesta institucional, lenta en llegar, es ahora clara. En abril de 2026, Scaleway se convierte en el alojador oficial de la Plataforma. El grupo francés, certificado SecNumCloud, sometido únicamente al derecho francés, sucede a Microsoft Azure y valida concretamente un modelo que los textos invocaban desde hacía años: una nube de confianza, calificada por la ANSSI, impermeable a las requisitorias de jurisdicciones extranjeras.
Este giro no es un acontecimiento aislado. Se inscribe en una secuencia institucional que se acelera.
Una alineación institucional sin precedentes
Tres señales, casi simultáneas, convergen en la primavera de 2026.
La DGSI (servicio francés de inteligencia interior) recomienda oficialmente a las empresas francesas prohibir ciertas soluciones SaaS extranjeras por razones de seguridad económica. La recomendación, poco habitual por parte de este servicio, apunta explícitamente a actores estadounidenses y asiáticos cuyo acceso a los datos puede ser obligado por una autoridad extranjera.
La Comisión Europea asigna 180 millones de euros al cloud soberano, marcando un paso concreto del discurso a los hechos. Esta financiación, modesta a la escala de las inversiones de los hiperescaladores, tiene un valor de señal: confirma la existencia de una estrategia industrial europea asumida, que ya no se limita a la regulación.
La CNIL firmó el 10 de marzo de 2026 una colaboración con la Alta Autoridad de Salud (HAS) sobre los datos sensibles del sector sanitario y médico-social. Al mismo tiempo, la consulta pública del Comité Europeo de Protección de Datos (EDPB) sobre las Evaluaciones de Impacto relativas a la Protección de Datos (DPIA) está abierta hasta el 9 de junio de 2026. Los establecimientos de salud están explícitamente identificados como adoptantes prioritarios de las nuevas exigencias.
Por primera vez, regulador, inteligencia económica, Comisión y operador público de infraestructura sanitaria envían el mismo mensaje, en la misma ventana temporal: la soberanía de los datos ya no es una opción, es una obligación operativa.
Las cifras que enmarcan el contexto
- 763 incidentes de ciberseguridad registrados en el sector salud francés en 2025.
- 63 % de las organizaciones de salud y ciencias de la vida experimentan o despliegan IA agéntica.
- 180 millones de euros asignados por la Comisión Europea al cloud soberano.
- 9 de junio de 2026: fecha límite de la consulta pública del EDPB sobre las DPIA.
- 7 años: tiempo transcurrido entre la atribución inicial de la Plataforma de Datos de Salud a Azure y su migración a Scaleway.
El alojamiento soberano es necesario, no suficiente
La migración de la Plataforma de Datos de Salud a Scaleway resuelve una cuestión esencial: la de la jurisdicción que se aplica a los datos en reposo. Un servidor explotado en Francia por un operador francés bajo derecho francés no puede ser obligado a entregar sus datos a una autoridad extranjera sin pasar por los canales de cooperación judicial reconocidos.
Pero un dato de salud no pasa su vida en reposo. Es ingerido, transformado, cruzado con otras fuentes, anonimizado, analizado, proyectado en indicadores, a veces expuesto a modelos de inteligencia artificial. En cada una de estas etapas, es leído, copiado, recompuesto. Y en cada etapa, la cuestión de la soberanía vuelve a plantearse. Si el tratamiento se apoya en una API, un motor analítico o un modelo de IA operados por una entidad sujeta a la CLOUD Act, la protección aportada por el alojamiento soberano se evapora en el momento del tratamiento.
Es aquí donde se juega el verdadero giro de 2026. La soberanía del alojamiento es una condición necesaria. No es una condición suficiente. Los establecimientos que consideran la cuestión zanjada con la elección de Scaleway o de OVHcloud descubren, en la práctica, que una parte significativa de su cadena de valor data sigue dependiendo de proveedores extranjeros a través de las capas de orquestación, transformación y analítica.
La soberanía no se mide por dónde duermen los datos. Se mide por la cadena completa por la que se vuelven explotables.
Lo que la presión regulatoria impone concretamente
Para las direcciones de sistemas de información hospitalarios, las agrupaciones hospitalarias de territorio, los laboratorios de investigación médica y los industriales de la salud, la convergencia de NIS2, DORA, del RGPD y del AI Act se traduce en tres obligaciones operativas.
Trazabilidad nativa. Cada transformación de un dato debe poder ser reconstituida, fechada, atribuida. Los pipelines ETL tradicionales, que apilan capas de tratamiento sin trazabilidad unificada, se convierten en pasivos regulatorios. El episodio CNIL de los 739 reportes durante las elecciones municipales de 2026, de los cuales el 63 % vinculados a prospección no conforme, demostró con qué rapidez la ausencia de trazabilidad se vuelve contra los responsables de tratamiento.
Conformidad by design. Una conformidad añadida tras el despliegue depende de la buena voluntad del proveedor y de la estabilidad de su hoja de ruta. Una conformidad by design es una propiedad de la propia arquitectura: anonimización en origen, ausencia de almacenamiento intermedio, reglas RGPD integradas en el motor de tratamiento. El matiz es invisible mientras no haya auditoría. Se vuelve decisivo el día de la inspección.
Resiliencia documentada. NIS2 y DORA exigen una demostración de resiliencia, no una declaración. Eso supone poder reconstituir rápidamente los flujos, las dependencias, los puntos de fallo. McKinsey lo resume en un informe reciente: cuatro etapas de consolidación de las capacidades data deben preceder a todo despliegue agéntico a gran escala. La orquestación ya no es una obra técnica secundaria. Es un requisito previo de conformidad.
Tres preguntas que todo CIO de salud debería plantearse
1. ¿Dónde están almacenados mis datos, pero sobre todo dónde son tratados? La elección del alojador es visible. La de la capa de orquestación lo es mucho menos. Los datos que transitan por un motor analítico extranjero no se benefician de la soberanía de su alojador.
2. ¿Mis socios tecnológicos están a salvo de las requisitorias extraterritoriales? Una filial europea de un grupo estadounidense sigue sujeta, en última instancia, al derecho de su empresa matriz. La soberanía efectiva pasa por una cadena de dependencias íntegramente europea, verificable de la infraestructura a la capa aplicativa.
3. ¿Mi conformidad es nativa en la arquitectura o añadida en capa? La consulta DPIA del EDPB se cierra el 9 de junio de 2026. Los establecimientos que anticipan desde ahora una arquitectura de tratamiento compatible DPIA toman ventaja sobre los que esperarán la publicación de las directrices finales para reaccionar.
La migración de Azure a Scaleway de la Plataforma de Datos de Salud no es un fin. Es un comienzo. El alojamiento soberano resuelve la cuestión de la jurisdicción. Queda por tratar la del tratamiento. Los establecimientos que se apoyan en una capa de orquestación europea, sin almacenamiento intermedio y con trazabilidad nativa, no toman simplemente una precaución jurídica: preparan su conformidad 2027, esa que no se recupera con prisas.
Descubra cómo iD4Connect aborda estos desafíos en el sector salud →