Newsletters

Les données de santé d'EMC2 hébergées chez Azure, le label SecNumCloud désavoué ?

La Commission nationale de l'informatique et des libertés a validé pour trois ans la création d'un entrepôt de données de santé, baptisé "EMC2", dont l'hébergement a été confié à Microsoft Azure faute de "prestataire susceptible de répondre actuellement aux besoins exprimés". Cette décision a provoqué une levée de boucliers par les fournisseurs français de cloud computing, en particulier chez eux ayant ou visant l'obtention du visa de sécurité SecNumCloud. 

Alice Vitard
E-santé
Unsplash - Nappy
E-santé

Microsoft Azure est et restera la solution privilégiée de cloud computing pour l'hébergement des données de santé en France à en croire la dernière décision de la Commission nationale de l'informatique et des libertés (Cnil). Par une délibération du 21 décembre 2023, elle a autorisé pour trois ans l'hébergement par l'entreprise américaine des données de santé constituant l'entrepôt baptisé "EMC2", "faute de prestataire susceptible de répondre actuellement aux besoins exprimés" par le groupement d'intérêt public. 

Un projet de l'Agence européenne des médicaments

Ce nouvel entrepôt, qui prend la forme d'une base de données, s'inscrit dans un appel à projets lancé par l'Agence européenne des médicaments (EMA) dont le Health Data Hub a été sélectionné pour le lot 3. Son objectif est de "permettre la réalisation de recherches, d'études et d'évaluations" dans le domaine de la santé pour observer et évaluer la prise en charge des patients, caractériser des populations de patients ou encore concevoir et valider des outils d'aide à l'interprétation des signaux, d'aide au diagnostic ou d'aide à la prise en charge préventive ou curative. 

EMC2 regroupe des données "pseudonymisées et structurées" issues des Hospices civils de Lyon (HCL), du centre Léon Bérard (CLB), du centre hospitalier universitaire de Nancy (CHU de Nancy) et de la Fondation hôpital Saint-Joseph (FHSJ) ainsi que du Système national des données de santé (SNDS). A noter que le Health Data Hub, en tant que groupement d'intérêt public, n'aura accès "ni aux données directement identifiantes de personnes ni aux documents bruts produits à l'occasion de leur prise en charge sanitaire". Ainsi, seuls le personnel désigné et habilité des sous-traitants et les porteurs de projets de recherche, d'étude ou d'évaluation dans le domaine de la santé y auront accès.

Un risque de communication aux autorités américaines

Pour héberger les données de l'EMC2, le Health Data Hub a donc choisi Microsoft Azure. Les données seront hébergées dans les centres de données de l'entreprise américaine situées en France, indique la Cnil dans sa délibération. Elle reconnaît d'emblée que "les autorités états-uniennes sont susceptibles d'adresser à Microsoft des injonctions de communication des données qu'il héberge" en vertu du CLOUD Act, et ce malgré l'adoption du Data Privacy Framework, le nouveau Privacy Shield. 

L'autorité rappelle également sa position : pour "les bases de données les plus sensibles", elle recommande d'assurer "une protection contre les possibilités de divulgation à des autorités publiques de pays tiers". Cette protection implique que les donnée hébergées au sein de l'Union européenne ne puissent pas être transférées en dehors de cette zone et que le prestataire soit "exclusivement soumis au droit européen" et offre "un niveau de protection adéquate, tel que prévu par le référentiel SecNumCloud de l'Agence nationale de la sécurité des systèmes d'information" (Anssi). 

Cette politique est "cohérente" avec la doctrine gouvernementale "Cloud au centre", ajoute la Commission. Dans sa version actualisée du 31 mai 2023, cette dernière prévoit que si "un système ou l'application" traite des données "d'une sensibilité particulière", l'offre de cloud retenue devra "impérativement" respecter la qualification SecNumCloud et "être immunisée contre un accès non autorisé par des autorités publiques d'Etat tiers". Parmi les données concernées, le gouvernement cite "les données nécessaires à l'accomplissement des missions essentielles de l'Etat notamment (...) la protection de la santé et de la vie des personnes". 

Pas d'alternative française ou européenne 

Malgré ces considérations juridiques et techniques, le Health Data Hub "a fait le choix d’héberger son premier entrepôt auprès d’un hébergeur qui ne bénéficie pas de la certification SecNumCloud", regrette la Cnil dans sa délibération. Pourtant, elle a tout de même validé la création d'un tel entrepôt. Pour se justifier, elle se repose sur "une mission d'expertise" pilotée par la délégation du numérique en santé (DNS), la direction interministérielle du numérique (Dinum) et l’Agence du numérique en santé (ANS) laquelle a conclu que les offres françaises et européennes de cloud ne répondaient pas aux besoins actuels de l'EMC2. Egalement, "la construction d'une plateforme d'hébergement spécifique" aurait retardé le projet de migration de l'hébergement du Health Data Hub par Azure vers une solution commercialisée par une entreprise française. 

Pour honorer ses engagements vis-à-vis de l'Agence européenne des médicaments, la Commission dit ne pas avoir le choix d'autoriser le recours à Microsoft. Cette autorisation est accordée pour trois ans, délai "qui correspond à la réalisation du projet de migration de la plateforme PDS [Health Data Hub, ndlr]". Pour autant, elle dit regretter que "la stratégie mise en place pour favoriser l'accès aux chercheurs aux données de santé n'ait pas fourni l'occasion de stimuler une offre européenne à même de répondre à ce besoin". De plus, le choix initial du Health Data Hub de "recourir au cloud" dès sa création a conduit "à privilégier des offres d'acteurs étasuniens". Ainsi, le projet EMC2 "aurait pu être retenu" par le groupement d'intérêt public "pour préfigurer la solution souveraine vers laquelle il doit migrer", note la Cnil.  

Les acteurs français vent debout 

Sans grande surprise, les entreprises françaises du secteur se sont opposées à cette attribution. Thomas Fauré, CEO de Whaller, à l'origine d'une plateforme de communication reposant sur le cloud privé d'OVHcloud, a adressé une pétition à Marie-Laure Denis, la présidente de la Cnil. "Cette décision est clairement de nature à éveiller des soupçons quant à l'intégrité des conditions dans lesquelles elle a été prise, autant que sur la capacité de notre pays à assurer la sauvegarde, au sens propre comme au figuré, de nos données de santé", écrit-il. Il lui demande de revenir sur sa décision d'autorisation "au nom de la souveraineté numérique". A l'heure où cet article est écrit, la pétition a été signée par 7845 personnes. 

Pour rappel, aujourd'hui, cinq entreprises ont reçu le visa de sécurité SecNumCloud : Oodrive, OVHcloud, Cloud Temple, Outscale et Wordline. Plusieurs ont annoncé leur lancement dans le processus de qualification, telle que Numspot, Free Pro, Bleu (Microsoft, Orange et Capgemini) ou encore S3NS (Thales et Google). Presque tous communiquent sur leur volonté de devenir le prochain hébergeur du Health Data Hub. Interrogé par L'Usine Digitale, Cloud Temple l'avait même qualifié de "dossier emblématique de 2025".  

Une communication chaotique

La migration vers un hébergeur qualifié doit intervenir en 2025, d'après la feuille de route pluriannuelle de la plateforme publiée en juin 2022. Pourtant, la Cnil évoque une durée de "trois ans" qui correspondrait "au projet de migration", "projet confirmé par le gouvernement". De son côté, Cloud Temple indiquait la publication d'un appel d'offres en 2025. Le calendrier est donc particulièrement flou. Notons aussi que les changements à la tête du ministère de la Santé n'aident pas à éclaircir la situation actuelle. 

Le Health Data Hub lui-même ne semble pas tellement gêné, à en croire la prise de position de son conseil scientifique, l'organe consultatif chargé d'accompagner sa direction. Dans un pre-print sur "les bénéfices et les risques de l'utilisation des données de santé à des fins de recherche", il a jugé que les risques liés au recours à des offres américaines de cloud pour stocker des données de santé étaient surévalués. Il plaidait donc pour une approche en matière de bénéfices/risques plutôt que de privilégier "la protection absolue de la vie privée". 

Bleu, une porte de sortie ?

Une porte de sortie pour le gouvernement serait de choisir Bleu, nom donné à la co-entreprise entre Orange et Capgemini, pour héberger la plateforme de données de santé. Cette offre doit permettre aux utilisateurs de pouvoir utiliser les services de Microsoft dans "un cloud de confiance". Alors que la co-entreprise visait 2024 pour lancer son offre en attendant de recevoir SecNumCloud, elle dit désormais viser 2025

Or, pour l'instant, rien n'assure que l'Agence nationale de la sécurité des systèmes d'information validera cette architecture hybride – cloud français et cloud américain – qui poursuit l'objectif suivant : allier puissance technologique et confiance numérique. Un pari qui pourrait être ultra gagnant face aux entreprises françaises qui ont encore du mal à s'imposer.  D'après les estimations du Synergy Research Group, la part de marché mondiale d'Amazon s'élevait à 34% au troisième trimestre 2022, Microsoft Azure 21% et Google Cloud 11%. 

À lire aussi

Les plus lus : Data protection
  1. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  2. Google Cloud va fournir une infrastructure "air-gapped" à l'OTAN pour plusieurs millions de dollars
  3. Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes ayant exposé des données clients
  4. A l'Urssaf, le service Pajemploi victime d'un vol de données concernant "jusqu'à 1,2 million de salariés"
  5. Cloud de confiance : Bleu passe le jalon J1 pour la qualification SecNumCloud 3.2
  6. Soutenus par l'État chinois, des pirates ont pris le contrôle de Claude Code pour mener une opération de cyberespionnage orchestrée par l'IA
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Ingénieur planning H/F
ASSYSTEM - 17/04/2026 - CDI - Versailles, IDF, France
Architecte Technique H/F
ASSYSTEM - 17/04/2026 - CDI - Courbevoie, IDF, France
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay