À l’heure où le gouvernement pousse l’usage de « Mon espace santé », la question n’est plus seulement de savoir qui consulte les données médicales des Français, mais surtout où et sous quelle loi elles sont hébergées. Entre stockage en France chez des hébergeurs certifiés et dépendance persistante au cloud de Microsoft pour le Health Data Hub, la controverse sur le risque d’extraterritorialité américaine, ravivée au Sénat, met en lumière un paysage de stockage fragmenté et juridiquement fragile.
Les données de santé des Français ne sont pas rassemblées dans un unique coffre-fort numérique, mais dispersées dans plusieurs systèmes : bases de l’Assurance maladie, dossier médical numérique Mon espace santé, entrepôts de données hospitaliers et plateforme de réutilisation Health Data Hub. Tous ont un point commun : lorsqu’elles sont hébergées par des prestataires externes, ces données doivent l’être chez des “hébergeurs de données de santé” (HDS) certifiés, pour l’essentiel situés en France ou dans l’Union européenne.
Des infrastructures certifiées
Les données de Mon espace santé, siuccesseur du dossier médial partagé (DMP) sont hébergées en France, sur des infrastructures dédiées de l’Assurance maladie, certifiées HDS. Le DMP historique reste confié à Santeos, filiale d’Atos. La messagerie sécurisée repose, elle, sur Atos Infogérance, également certifiée HDS. Pour cet outil appelé à devenir universel, l’hébergement demeure ainsi assuré par des opérateurs de droit français, dans des centres de données situés sur le territoire national.
En amont, les systèmes d’assurance maladie – notamment le Système national des données de santé (SNDS) et les bases de remboursements – s’appuient eux aussi sur des infrastructures certifiées HDS lorsqu’ils sont externalisés. Les hôpitaux publics, cliniques privées et professionnels de ville disposent par ailleurs de leurs propres systèmes. Là encore, le recours à un prestataire impose la certification HDS, tandis que certains groupements hospitaliers de territoire (GHT) peuvent assurer eux-mêmes l’hébergement, sans certification formelle, à condition de respecter des exigences de sécurité équivalentes définies par l’Agence du numérique en santé.
La rupture intervient avec le Health Data Hub (HDH), plateforme publique qui centralise des données issues du SNDS, d’entrepôts hospitaliers et d’autres sources pour des projets de recherche et d’intelligence artificielle. L’État a choisi en 2019 le cloud Microsoft Azure comme infrastructure. Juridiquement, la légalité de cette architecture a été confirmée par le Conseil d’État, qui a validé la décision de la CNIL (autorisant l’entrepôt EMC2 exploité sur Azure). Techniquement, les données sont hébergées par Microsoft Ireland sur des régions Azure situées en Europe, en pratique en France, la plateforme étant certifiée HDS.
La polémique sur Microsoft
Mais la localisation des serveurs n’épuise pas le débat. Celui-ci s’est ravivé en juin dernier lors de l’audition de responsables de Microsoft devant la commission d’enquête sénatoriale sur la commande publique. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, y a rappelé un point central : en tant qu’entreprise américaine, Microsoft peut être visée par une demande du Département de la Justice fondée sur le Cloud Act de 2018, et contrainte de fournir des données, même lorsque celles-ci sont stockées en Europe. Cette possibilité découle de l’appartenance de Microsoft Ireland au groupe Microsoft, soumis au droit américain, et du champ extraterritorial du Cloud Act.
Dans le cas du Health Data Hub, une telle injonction pourrait donc théoriquement viser des données de santé des Français, malgré les garanties prévues par le RGPD européen et les clauses contractuelles. La CNIL a, à plusieurs reprises, alerté sur ce risque : elle considère l’hébergement acceptable sous conditions strictes, tout en recommandant, à terme, un hébergeur non exposé à des législations extraterritoriales.
La loi SREN, adoptée en 2024, impose désormais que la Plateforme des données de santé (ex-Health Data Hub) bascule vers un hébergement dit “souverain”, c’est-à-dire opéré par un prestataire certifié SecNumCloud et non soumis à un droit extraterritorial. Cette migration a pris du retard, mais un appel d’offres a finalement été lancé début juillet 2025 par le ministère de la Santé pour mettre en place une solution “intercalaire”, opérée par un acteur français ou européen, en vue d’une mise en service à l’été 2026.