Cloud souverain en santé : une utopie ou une nécessité ?

Enjeux d'un cloud souverain

Le cloud souverain désigne un cloud dont les infrastructures sont situées en France ou en Europe, garantissant le respect des lois locales, la sécurité et le contrôle total des données hébergées. Dans la santé, il est crucial de protéger la confidentialité, la souveraineté et la résilience des données sensibles. Le cloud souverain garantit que ces données sont hébergées en France ou dans l’Union européenne, à l’abri de lois extraterritoriales, conforme au Règlement Général de Protection des Données (RGPD) ainsi qu’à la certification HDS. Cette souveraineté numérique permet de conserver un contrôle national sur les infrastructures stratégiques, réduisant la dépendance aux géants étrangers comme les GAFAM et limitant les risques liés aux tensions géopolitiques.

Il préserve donc l’éthique en empêchant toute exploitation commerciale, assure la continuité des soins grâce à un accès local sécurisé et rapide aux données, et renforce la confiance des patients et professionnels dans les outils de santé.

Le cloud souverain soutient aussi l’écosystème numérique local en favorisant les acteurs français et européens, stimulant l’innovation tout en gardant la maîtrise nationale des technologies. Ainsi, il répond à des enjeux juridiques, éthiques, techniques et géopolitiques. Par exemple, l’AP-HP a choisi OVHcloud, pour héberger son Entrepôt de Données de Santé (EDS). Cela lui permet de protéger ses données de santé sensibles dans le respect des lois et labels (RGPD, HDS, SecNumCloud) et soutenir l’innovation française.

Toutefois, la question reste ouverte : peut-on réellement déployer un cloud souverain efficace et adapté aux besoins complexes du secteur de la santé ?

Les cloud existants aujourd'hui et leur part de marché

Face à une nécessité croissante de valoriser ces données pour la recherche ou la prise en charge des patients, le choix du fournisseur cloud est devenu crucial. Plusieurs acteurs français se distinguent en proposant des solutions certifiées Hébergeur de Données de Santé (HDS) et SecNumCloud, label permettant de garantir que les prestataires de services cloud suivent des exigences de sécurité, de souveraineté et de protection des données. Parmi eux, OVHcloud, leader français du marché français et européen, propose des services conformes aux normes HDS. Scaleway, filiale d’Iliad, mise sur son expertise en cybersécurité et ses offres cloud sur mesure. Outscale, la branche cloud Dassault Systèmes, se concentre sur la sécurité pour les secteurs sensibles. Clever Cloud et Oodrive, eux aussi certifiés HDS, apportent des solutions automatisées et sécurisées adaptées aux données médicales.

Parallèlement, les géants américains comme Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) sont bien implantés en France (29% du marché des services d’infrastructures cloud) avec des offres également certifiées HDS, représentant une part importante du marché. Toutefois, la souveraineté numérique est devenue une nécessité pour le secteur de la santé, car elle garantit que les données restent sous juridiction française ou européenne, évitant ainsi les risques liés à des législations extraterritoriales, comme le Cloud Act américain. 

Un exemple concret de l’application du Cloud Act en France concerne le projet Bleu, une coentreprise lancée en 2021 par Orange, Capgemini et Microsoft. Ce projet vise à proposer une solution de cloud de confiance destinée aux entreprises disposant de données sensibles. Cependant, malgré les engagements pris pour assurer la localisation des données en France et leur protection conforme au RGPD, des préoccupations subsistent quant à l’application du Cloud Act. En effet, Microsoft, en tant qu’entreprise américaine, reste soumise à cette législation. Le projet Bleu a été commercialisé en 2024 et les premières solutions cloud ont été développées depuis début 2025.

Le recours à des fournisseurs français est donc stratégique car ils allient conformité réglementaire, expertises spécifiques au secteur et respect de la souveraineté. Pour les établissements de santé, il est essentiel de choisir un fournisseur qui couvre toutes les activités réglementaires liées à l’hébergement des données de santé, dont les infrastructures sont situées en France ou en Europe, et qui propose une offre complète (IaaS, PaaS, SaaS) adaptée aux besoins opérationnels.

Est-ce réalisable ?

Le cloud souverain en santé est non seulement possible, mais déjà en cours de déploiement, notamment en France. Grâce à un cadre réglementaire strict (RGPD - CNIL, certification HDS  - ASIP/ANS, SecNumCloud - ANSSI) et à des acteurs français comme OVHcloud, Outscale ou Scaleway, des infrastructures souveraines garantissent un contrôle total des données. Le soutien politique, via des initiatives comme le plan “Cloud de confiance”, qui désigne un ensemble de mesures mises en place pour garantir que l’utilisation du cloud respecte des normes élevées de sécurité, de confidentialité, de souveraineté des données et de conformité réglementaire, renforce cette dynamique.

Cependant, des défis subsistent : l’indépendance technologique nécessite d’importants investissements pour éviter la dépendance aux technologies soumises à des lois hors de l’Union Européenne. Les fournisseurs souverains doivent également atteindre des niveaux de performance et d’innovation comparables aux géants américains. De plus, les cloud souverains coûtent souvent plus cher. Sans politique d'aide, les établissements de santé se tournent naturellement vers les offres les moins chères, les américaines. Des plans nationaux (Ségur du numérique, programme CaRE, …) commencent à émerger depuis plusieurs années pour aider les établissements mais ne sont pas pérennes. La question financière reste la question centrale de tous les établissements de santé qui sont aujourd’hui en demande d’aide sur ces sujets.

Le chemin reste semé d’embûches, avec un retard industriel à combler et un besoin crucial de volonté politique et de soutien public.

Le cloud souverain en santé n’est donc pas une utopie, mais une nécessité politique et stratégique pour protéger les patients, garantir l’indépendance technologique et préserver un contrôle public sur un bien commun essentiel : la donnée de santé. Sa mise en œuvre sera progressive et perfectible, mais dépendante des solutions mises en place pour aider financièrement les établissements. Des solutions doivent être rapidement trouvées pour répondre aux obligations à venir des marchés publics, mais quelles solutions sont possibles ?