Health Data Hub : L'État abandonne Microsoft mais se heurte à SecNumCloud
Le gouvernement français a décidé de revoir sa stratégie pour remplacer Microsoft Azure, qui héberge les données du Health Data Hub depuis plusieurs années. Comme l'indique L’Usine Digitale, l'exécutif a choisi de renoncer à un appel d'offres classique, préférant recourir à la consultation accélérée via l'Union des groupements d'achats publics (UGAP).
Accélérer la migration des données
Cette décision, selon le ministère de la Santé, vise à accélérer la migration de la base principale du Système national des données de santé (SNDS), qui est le socle du Health Data Hub. Les candidats ont jusqu'au 30 mars 2026 pour soumettre leur devis à l'UGAP. La décision finale devrait être rendue trois mois plus tard, avec une transition prévue d'ici la fin de l'année.
Des changements dans le cadre de sélection
Le choix de passer par l'UGAP modifie le cadre de sélection. Un appel d'offres classique permettrait de créer un cahier des charges détaillé et juridiquement opposable, intégrant des exigences techniques et de sécurité. En revanche, le marché “Nuage public” repose sur une consultation plus flexible, associée à un catalogue d'offres existantes et à des demandes de devis auprès de prestataires déjà référencés. Cette approche permet à l'État de réduire les délais et d'élargir le nombre de candidats.
La controverse autour de SecNumCloud
C'est dans ce contexte que se dessine une controverse autour de la certification SecNumCloud. Ce visa de sécurité, délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi), atteste du plus haut niveau de sécurité des données. Selon un rapport de L’Informé, la mention de cette certification ne figure plus clairement dans les documents de la consultation. L'objectif serait de permettre à des acteurs en cours de qualification de candidater sans avoir encore obtenu ce précieux sésame, afin de ne pas restreindre excessivement la concurrence.
Réponses du ministère de la Santé
En dépit des nombreuses sollicitations de L’Usine Digitale, le ministère de la Santé a affirmé que la référence à SecNumCloud était toujours présente dans le dispositif, tout en refusant de fournir le texte précisant les critères exigés. Le gouvernement avait promis de publier ce document le 9 février, mais un fournisseur de cloud a déclaré le contraire, précisant que, selon sa première lecture du document, SecNumCloud n'était pas explicitement mentionné. Cette déclaration appuie les affirmations de L’Informé.
Une histoire de revirements
Ce flou n'est pas surprenant. Depuis sa création, le Health Data Hub a été marqué par une série de revirements, de retards et d'arbitrages contradictoires, brouillant ainsi la doctrine de l'État sur l'hébergement des données de santé. Le choix initial de Microsoft, contesté dès 2020, avait conduit à des promesses de sortie rapide qui n'ont jamais été respectées dans les délais annoncés. Au fil des années, la trajectoire a été réécrite à plusieurs reprises : bascule annoncée puis repoussée, solution transitoire envisagée avant d'être abandonnée, exigences durcies puis assouplies.
Recommandations de la Cnil
Dans sa consultation du 31 janvier 2024 sur l'hébergement du Health Data Hub, la Commission nationale de l'informatique et des libertés (Cnil) avait recommandé que, pour les bases de données de santé les plus sensibles, les prestataires soient soumis exclusivement au droit de l'Union européenne ou bénéficient de certifications de sécurité renforcées, citant SecNumCloud comme référence pertinente.
Un enjeu de souveraineté numérique
Le marché reste limité financièrement, mais il revêt une importance hautement symbolique. Le choix du futur hébergeur du Health Data Hub aura un impact significatif sur la crédibilité de la stratégie française de souveraineté numérique ainsi que sur sa capacité à influencer la mise en œuvre de l'Espace européen des données de santé (EHDS).
Conclusion
Le parcours du Health Data Hub illustre les défis auxquels l'État est confronté dans la gestion des données de santé. La question de la sécurité des données et de la certification reste centrale alors que le gouvernement s'efforce de tourner la page de Microsoft Azure.
