Le 23 avril 2026, l'État français a confié à Scaleway l'hébergement du Health Data Hub. Le 10 juin 2025, le directeur juridique de Microsoft France avait reconnu sous serment devant le Sénat ne pas pouvoir garantir que les données françaises échapperaient à une réquisition de Washington. Entre ces deux dates, dix mois et demi. Ces deux faits coexistent. Personne ne les met sur la même ligne.
Le sujet n'est pas un changement de prestataire cloud. C'est la première migration d'une base de données critique d'État français hors d'un acteur soumis au CLOUD Act, sur un opérateur dont la qualification souveraineté n'est pas encore complète. La fenêtre est ouverte. Elle se refermera fin 2026 ou début 2027, calendrier officiel annoncé par la Plateforme des données de santé.
Une décision industrielle après sept ans de blocage réglementaire
Le Health Data Hub a été créé par la loi du 24 juillet 2019 relative à l'organisation et la transformation du système de santé. Sa mission, hébergée par Microsoft Azure dès 2019, est de centraliser une copie de la base principale du Système national des données de santé (SNDS), gérée par la Caisse nationale d'Assurance Maladie. Le SNDS contient les remboursements de soins, les données hospitalières du PMSI et les causes médicales de décès, soit l'historique sanitaire pseudonymisé de plusieurs dizaines de millions de Français.
Le choix initial de Microsoft Azure a été l'objet d'un blocage immédiat. La CNIL n'a jamais autorisé le transfert global de la base principale du SNDS vers la plateforme, en raison du risque d'application des lois extraterritoriales américaines. Le projet est resté à demi paralysé pendant sept ans. Deux mois et demi de procédure de sélection, lancée par appel d'offres en février 2026, ont suffi à désigner Scaleway parmi des candidats incluant OVHcloud, Cloud Temple, Atos, Docaposte et S3NS, selon Le Monde Informatique du 23 avril 2026. Bleu, la coentreprise Orange-Capgemini portant la solution Microsoft Azure souveraine, n'a pas candidaté d'après Politico Europe.
Le marché a été évalué sur 350 exigences techniques. Scaleway, filiale d'Iliad, a été retenue pour la sécurité, la scalabilité et la résilience de son offre. La migration complète vers son cloud est prévue entre fin 2026 et début 2027, fenêtre confirmée par le communiqué officiel de la PDS.
Le rapport de force juridique qui a tout déclenché
Le 10 juin 2025, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, est auditionné sous serment par la commission d'enquête sénatoriale présidée par Simon Uzenat. La question est précise. Peut-il garantir que les données des citoyens français ne seront jamais transmises aux autorités américaines sans l'accord explicite des autorités françaises ? La réponse, formulée sous serment, est "non, je ne peux pas le garantir, mais cela ne s'est encore jamais produit".
Cette audition cristallise un problème connu depuis 2018, année de l'adoption du CLOUD Act par le Congrès américain. Ce texte permet aux autorités fédérales d'exiger d'un fournisseur cloud sous contrôle américain la remise de données qu'il héberge, n'importe où dans le monde. La section 702 du Foreign Intelligence Surveillance Act, prolongée jusqu'en avril 2026, autorise quant à elle la collecte sans mandat individuel des données électroniques de non-Américains détenues par des fournisseurs américains.
D'ailleurs, la Commission européenne a tranché dans le même sens. Le 17 avril 2026, elle a attribué un marché cloud souverain de 180 millions d'euros sur six ans à quatre groupements européens excluant AWS, Microsoft et Google. Scaleway, OVHcloud, Clever Cloud, STACKIT et Mistral figurent parmi les attributaires. Le précédent marché Cloud II, notifié en 2020, hébergeait encore 70 % des charges de travail des institutions européennes sur AWS, Azure et Google Cloud, selon les données publiées par la DIGIT en novembre 2025. Le basculement est documenté.
L'inertie technique et la fenêtre de qualification
Scaleway dispose de la certification Hébergeur de Données de Santé (HDS), obtenue en juillet 2024, condition technique d'éligibilité à l'hébergement du SNDS. La qualification SecNumCloud, délivrée par l'ANSSI, est en cours. L'entreprise a passé le jalon J0 en janvier 2025, ciblant initialement la qualification complète fin 2025. À la date du 23 avril 2026, l'offre Scaleway Cloud reste affichée publiquement par l'ANSSI dans la catégorie des services en cours de qualification.
Cette nuance n'est pas anodine. La doctrine Cloud au centre, révisée en mars 2026, impose aux administrations centrales d'héberger sur des infrastructures qualifiées SecNumCloud les données sensibles. Le Health Data Hub entre dans ce périmètre. Le calendrier opérationnel, fin 2026 à début 2027, suppose donc que la qualification soit prononcée avant la migration effective. Ironiquement, le ministère de la Santé avait précisé en février 2026 dans un communiqué qu'une plateforme avec qualification SecNumCloud constituait la solution cible. Scaleway sera donc qualifié au moment de la migration ou ne le sera pas. Aucune autre option n'est techniquement crédible sans rupture de doctrine.
L'inertie ne se limite pas à la certification. Migrer plusieurs dizaines de pétaoctets de données pseudonymisées du SNDS, recoder les pipelines analytiques et reconfigurer les habilitations CESREES exige plusieurs mois d'ingénierie. La fenêtre de souveraineté retrouvée est donc étroite. Si la qualification SecNumCloud venait à se prolonger, la bascule complète glisserait au-delà de mi-2027.
Une migration qui rebat plusieurs cartes industrielles
Le Health Data Hub n'est qu'une pièce d'un mouvement plus large. Le décret cloud de l'État, révisé en mars 2026, a élargi le périmètre des données sensibles concernées par l'obligation SecNumCloud à la santé, à la défense, à la justice et à la fiscalité. Plusieurs analystes financiers cités par Tech Insider estiment que si seulement 15 % des dépenses cloud du secteur public européen basculaient vers des acteurs SEAL-3, ce sont près de 50 milliards d'euros qui pourraient migrer d'ici 2030 vers OVHcloud, Scaleway, STACKIT, IONOS ou T-Systems. Le HDH joue ici un rôle de démonstrateur public.
Le rapport de force ne porte pas que sur le cloud. Il touche aussi l'écosystème de l'intelligence artificielle médicale qui dépend des données du SNDS. La Cnam gère 1,5 milliard de feuilles de soins de ville annuelles agrégées dans le SNIIRAM, base historique du SNDS. Tout modèle d'IA entraîné sur ces données nécessite que celles-ci restent accessibles aux chercheurs européens dans un cadre juridique stable. Tant que Microsoft hébergeait la plateforme, la CNIL bloquait les transferts massifs. La levée prévisible de ce blocage, une fois la migration terminée, débloque mécaniquement la valorisation analytique de la base. Les industriels français de l'IA médicale, dont Mistral fournit déjà les modèles à plusieurs hyperscalers européens selon Damien Lucas, directeur général de Scaleway, deviennent des bénéficiaires directs.
L'effet de cascade s'étend au tissu industriel souverain européen. OVHcloud a vu son action progresser de 6,8 % à l'ouverture du 21 avril 2026, l'une des plus fortes hausses de son histoire récente après l'annonce du marché européen. Scaleway, qui n'est pas cotée, gagne en référence souveraine sur un dossier symbolique. Le risque de lock-in côté client est encadré par le Data Act européen, en vigueur depuis septembre 2025, qui impose la suppression progressive des frais de switching cloud d'ici janvier 2027.
Ce que les chiffres ne disent pas encore
Le scénario optimiste suppose que la qualification SecNumCloud de Scaleway sera prononcée à temps, que la migration tiendra le calendrier fin 2026 à début 2027, et que la CNIL débloquera enfin le transfert global de la base principale du SNDS. Ces trois hypothèses sont cumulatives. Aucune n'est certaine.
Premier biais à interroger. Rien ne garantit la trajectoire de qualification. Scaleway visait initialement fin 2025. Avril 2026, l'offre est toujours affichée "en cours". Les processus J1, J2, J3 de l'ANSSI peuvent prendre plusieurs trimestres supplémentaires en cas d'observations.
Deuxième angle, la cohésion du bloc européen sur la doctrine cloud. L'Allemagne a fixé un seuil de 50 % de charges cloud publiques sur fournisseurs européens d'ici fin 2028 via la stratégie Souveränes Deutschland. Les Pays-Bas et l'Italie ont publié des lignes directrices similaires. Mais aucun de ces pays n'a interdit les hyperscalers américains. Le mouvement est convergent, pas uniforme.
Troisième angle, la contestation factuelle. Microsoft France soutient publiquement que les contrats incluant les clauses Azure EU Data Boundary réduisent significativement le risque CLOUD Act, et qu'aucune entreprise européenne cliente n'a été concernée par une remise effective de données. Cette défense ne neutralise pas le risque juridique mais relativise le risque opérationnel observé.
Quatrième angle, les limites de la démonstration. La protection des données françaises dépend autant du paramétrage interne (chiffrement de bout en bout, gestion des clés en France, isolation logique) que de la nationalité du prestataire. Un Scaleway mal paramétré peut être moins protecteur qu'un Azure correctement chiffré côté client.
Cinquième angle, un scénario alternatif. Si la qualification SecNumCloud de Scaleway venait à être prononcée mais simultanément contestée devant la CJUE, comme l'a été le Data Privacy Framework dans le recours Latombe déposé le 31 octobre 2025, l'État français pourrait se retrouver mi-2027 avec une plateforme migrée sur un opérateur dont le label de confiance est juridiquement fragilisé. Le risque ne disparaît pas, il se déplace.
Conséquences stratégiques
La fenêtre est étroite et le pari technique demeure. La PDS s'est engagée sur un calendrier serré qui exige la qualification SecNumCloud de Scaleway, la migration de plusieurs dizaines de pétaoctets, et le déblocage CNIL du transfert global du SNDS. Trois conditions, un horizon fin 2026 à début 2027.
Pour un décideur, le signal est clair. La doctrine française a fait basculer une base de données critique d'un hyperscaler américain vers un acteur national avant même que celui-ci ne dispose de toutes les certifications cibles. Le précédent vaut pour les prochains marchés sensibles, défense, justice, fiscalité, dont les renouvellements arrivent entre 2026 et 2028. Les hyperscalers américains présents en Europe le savent. Le marché public français sensible se ferme par séquences, pas par décret.
En 2019, le SNDS était hébergé sur Azure et bloqué par la CNIL. En 2025, Microsoft reconnaissait sous serment ne pas pouvoir garantir l'inviolabilité juridique. En 2027, la base principale doit être pleinement opérationnelle sur un cloud français qualifié SecNumCloud.
L'inversion, méthodiquement.
Cédric Pellicer