Le 20 mars, le Conseil d’État rejetait les recours contre l’autorisation d’hébergement du Health Data Hub chez Microsoft Azure. Six semaines plus tôt, le gouvernement annonçait la migration vers un cloud qualifié SecNumCloud. On sécurise juridiquement ce que l’on quitte opérationnellement.
Le 31 mars, Didier Ambroise participait aux Matinées de Boissière, organisées par la CNMSS (Sécurité sociale des militaires), aux côtés de Pierre Bellanger, d’un juriste spécialiste du droit du numérique et d’un officier du Commandement de la cyberdéfense. Le sujet : souveraineté numérique et données de santé des armées.
Trois constats qui résonnent avec le terrain
1. Personne ne parle de la même chose. Des dizaines de textes réglementaires, aucune définition partagée de la souveraineté numérique. L’un des intervenants comparait la situation à lancer une guerre sans avoir défini ses objectifs. Le cadre militaire est clair : souveraineté, c’est la capacité d’un État à préserver sa liberté d’action en maîtrisant son domaine informatique. Liberté d’action, maîtrise — deux mots qu’on retrouve rarement dans les cahiers des charges en santé.
2. La souveraineté de façade coûte cher. L’appel d’offres intercalaire de l’été 2025 pour le Health Data Hub a été abandonné en février 2026. Et le consortium Bleu, pressenti pour l’offre souveraine, repose sur une technologie… Microsoft. Dans nos missions, nous constatons la même réalité : des clauses HDS cochées dans les marchés, mais des équipes incapables de dire où transitent les données, avec quelles garanties de réversibilité, et sous quelle juridiction.
3. La faille la plus profonde est humaine. Le militaire a été direct : il faut réinternaliser les compétences. Une solution souveraine qui tombe en panne faute de savoir-faire interne fait plus de dégâts qu’une solution maîtrisée chez un partenaire. La conformité rassure. La maîtrise opérationnelle protège.
Ce que cela change pour les établissements de santé
Trois questions pour les décideurs : sous quelle juridiction transitent vos données patients ? Avez-vous testé la réversibilité de vos solutions cloud ? Qui, en interne, maîtrise réellement votre infrastructure ?
La convergence NIS2 + EHDS + doctrine Cloud au centre ne fait que monter le niveau d’exigence. La souveraineté ne se décrète pas. Elle se construit, contrat par contrat, compétence par compétence, choix technique par choix technique.
Retrouvez notre expertise Data & EDSRetrouvez notre expertise Data & EDS