En bref : Le Health Data Hub, une plateforme de données de santé, actuellement hébergée par Microsoft Azure, doit migrer vers un hébergement cloud européen d'ici fin 2022 pour respecter le RGPD et la loi SREN de 2024. Cependant, en raison de défis techniques, ce changement est reporté à l'été 2026 avec des candidats tels que OVHcloud, Outscale et Scaleway pour la relève.
Le 1er juillet dernier, lors d'un Comité stratégique exceptionnel, Yannick Neuder, ministre chargé de la Santé et de l’Accès aux soins a présenté la stratégie "Intelligence artificielle et données de Santé" dont l'un des axes principaux est l’utilisation secondaire des données de santé. C'est à cette occasion qu'a été lancé un appel d’offres pour l’hébergement souverain de la copie du Système National des Données de Santé (SNDS).
Créé en 2019, le Health Data Hub (HDH) est un groupement d’intérêt public dont la mission est de faciliter l’accès sécurisé aux données de santé, à des fins de recherche, d’évaluation ou de développement de solutions innovantes. La plateforme permet de croiser plusieurs sources, notamment le SNDS, les bases hospitalières et les données issues de la médecine de ville,dans un cadre strict combinant anonymisation, traçabilité et évaluation scientifique des projets.
Le ministère de la Santé et de la Prévention et la CNIL privilégiaient à l'origine un hébergeur cloud européen mais le ministère ayant considéré qu’il n’y avait pas de solutions européennes opérationnelles avant 2025, a choisi Microsoft Azure sans appel d'offres, ce qui a provoqué une vive controverse.
La CNIL a rapidement exprimé des préoccupations concernant le risque de transfert de données vers les États-Unis : le Cloud Act, promulgué le 23 mars 2018 par Donald Trump, permet aux autorités américaines d'exiger l’accès aux données détenues par des entreprises sous juridiction américaine, quand bien même elles sont stockées hors des États-Unis.
En octobre 2020, plusieurs associations, professionnels de santé et chercheurs ont saisi le Conseil d’État, estimant que le fonctionnement du Health Data Hub enfreignait le RGPD. Tout en reconnaissant un risque de transfert de données vers les États-Unis, la haute juridiction a exigé des garanties supplémentaires, mais a maintenu la plateforme en activité au vu de son rôle jugé essentiel dans la gestion de la crise sanitaire.
Elle est aujourd'hui encore hébergée sur Azure malgré l'engagement du gouvernement à rapatrier les données sur une plateforme européenne avant fin 2022. Un retard qui s’explique, en partie, par la complexité technique de la migration : le volume et la sensibilité des données imposent des niveaux élevés de sécurité, de confidentialité et de disponibilité, tout en garantissant la continuité de service pour les utilisateurs du secteur public et de la recherche.
La loi SREN (Sécuriser et Réguler l’Espace Numérique), adoptée en 2024, impose aux opérateurs publics et privés traitant des données sensibles de recourir à des prestataires de cloud offrant des garanties de souveraineté et de s’assurer que ni les données, ni leur traitement ne peuvent être transférés ou accessibles depuis un pays tiers hors cadre juridique européen. Le Health Data Hub devra donc migrer vers un cloud qualifié. Parmi les candidats crédibles à la succession d’Azure : OVHcloud, Outscale, NumSpot, Scaleway, ou Cloud Temple. La mise en service du nouvel environnement souverain est prévue pour l’été 2026.
Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, souligne :
"L’intelligence artificielle en santé porte des perspectives immenses pour mieux soigner. Mais elle ne pourra tenir ses promesses qu’en protégeant les données sensibles qui la nourrissent. La migration de la plateforme des données de santé (Health Data Hub) vers un hébergement souverain constitue une avancée décisive".