Le 23 avril 2026, le gouvernement français a officialisé un changement majeur : la Plateforme des données de santé (Health Data Hub) ne sera plus hébergée par Microsoft Azure, mais par Scaleway, filiale cloud du groupe Iliad.
Derrière cette décision en apparence technique, c’est un sujet bien plus large qui se joue : la souveraineté des données de santé et la dépendance aux géants américains.
De quoi parle-t-on exactement ?
Le Health Data Hub est une infrastructure nationale qui centralise des données de santé issues de l’Assurance maladie et de multiples bases médicales publiques. Ces données sont utilisées pour la recherche, l’innovation médicale et l’analyse des parcours de soins.
On parle donc d’un ensemble extrêmement sensible : des données de santé à grande échelle, concernant des dizaines de millions de citoyens.
Jusqu’ici, cette plateforme reposait sur Microsoft Azure. À partir de 2026, elle migrera vers Scaleway, avec une mise en service complète attendue entre fin 2026 et début 2027.
Pourquoi ce changement maintenant ?
Ce choix s’inscrit dans une dynamique déjà engagée au niveau de l’État français.
Ces dernières semaines, la Direction interministérielle du numérique (DINUM) a officialisé une bascule progressive des administrations vers Linux, dans le cadre d’une stratégie de souveraineté numérique visant à réduire la dépendance aux technologies américaines.
Dans ce contexte, la migration du Health Data Hub n’est pas un cas isolé, mais une pièce supplémentaire d’un même mouvement structurel : reprendre le contrôle des infrastructures critiques.
Le point central repose sur un cadre juridique : le Cloud Act américain. Celui-ci peut obliger une entreprise américaine à fournir des données, même si elles sont hébergées en dehors des États-Unis.
Autrement dit, dans certains scénarios juridiques, des données de citoyens européens peuvent être accessibles via des obligations extraterritoriales.
Ce que change Scaleway dans l’équation
Avec Scaleway, la France fait un choix différent : celui d’un hébergeur européen, soumis exclusivement au droit européen.
Ce n’est pas seulement un changement de fournisseur cloud. C’est un changement de modèle de confiance.
Le cahier des charges est particulièrement strict : environ 350 exigences techniques, incluant des contraintes fortes de sécurité, de résilience et de localisation des données.
L’objectif affiché est double :
L’objectif affiché est double. Il s’agit d’une part de réduire la dépendance aux acteurs extra-européens, et d’autre part de renforcer le contrôle juridique sur les données sensibles.
Ce type d’orientation s’inscrit dans une dynamique plus large déjà observée en Europe, où plusieurs administrations et États cherchent à reprendre la main sur leurs infrastructures numériques critiques.
Ce que cela révèle du cloud aujourd’hui
Ce dossier illustre un point souvent sous-estimé dans les architectures modernes : le cloud n’est pas neutre juridiquement.
Techniquement, les infrastructures peuvent être similaires. Mais juridiquement, elles ne le sont pas.
Et dans le cas de données sensibles comme la santé, cette différence devient structurante.
On ne parle plus uniquement de disponibilité ou de performance, mais de souveraineté d’accès, de contrôle des obligations légales et d’exposition aux législations étrangères.
C’est un changement de paradigme pour les organisations publiques comme privées.
Une tendance plus large en Europe
Ce mouvement ne concerne pas uniquement la France.
La migration vers Linux dans les administrations françaises s’inscrit dans une stratégie plus globale de réduction des dépendances aux technologies extra-européennes, touchant aussi bien les postes de travail que les infrastructures cloud.
On observe ainsi une logique commune à plusieurs pays européens, combinant rapatriement des données sensibles, adoption de solutions open source ou souveraines, et structuration progressive d’un écosystème numérique européen.
Ce n’est pas un rejet du cloud, mais une requalification de ce qui peut, ou non, y être hébergé.
Ce que cela implique pour les organisations
Au-delà du cas du Health Data Hub, ce type de décision pose une question plus large pour toutes les organisations :
Quelles données dépendent d’un cadre juridique externe ?
Dans beaucoup d’environnements, les choix d’infrastructure ont été guidés par la performance ou le coût, rarement par le droit applicable aux données en cas de contrainte légale.
Or, ce cas rappelle que la localisation technique ne suffit pas. Ce qui compte, c’est aussi :
Conclusion
Le remplacement de Microsoft par Scaleway et la montée en puissance de Linux dans l’administration française ne sont pas deux sujets séparés.
Ils dessinent la même trajectoire : celle d’un passage progressif d’une dépendance technologique globale vers une reprise de contrôle juridique et opérationnel des infrastructures numériques.
Dans un contexte où les données deviennent un actif stratégique, la question n’est plus seulement où elles sont stockées.
Mais sous quelle souveraineté elles sont réellement placées.
