Health Data Hub : la France bascule vers Scaleway pour échapper à Microsoft

Un tournant souverain pour les données de santé françaises

Le gouvernement français a acté le 24 avril 2026 le transfert de l’hébergement du Health Data Hub (HDH) vers Scaleway, filiale du groupe Iliad (Free). Cette plateforme, créée en 2019 pour centraliser les données de santé à des fins de recherche, était jusqu’ici hébergée sur les serveurs cloud de Microsoft Azure. Le choix de Scaleway marque une rupture stratégique, visant à réduire la dépendance aux acteurs américains et à renforcer la souveraineté numérique du pays. La migration, prévue pour 2027, s’accompagne d’un budget de 50 millions d’euros sur cinq ans, incluant des investissements dans l’infrastructure et la cybersécurité.

Cette décision s’inscrit dans un contexte de tensions géopolitiques accrues autour des données sensibles. Le HDH, qui agrège des données de santé de 67 millions de Français (dossiers médicaux, prescriptions, résultats d’examens), était régulièrement pointé du doigt pour son hébergement chez un acteur soumis au Cloud Act américain. La loi Cloud Act, adoptée en 2018, permet aux autorités américaines d’accéder aux données stockées par des entreprises américaines, même situées hors des États-Unis, dès lors qu’elles sont considérées comme relevant de la sécurité nationale.

Scaleway : un acteur français aux atouts techniques limités ?

Scaleway, filiale d’Iliad depuis 2016, propose une infrastructure cloud basée sur des datacenters localisés en France (Paris, Gravelines) et en Europe (Amsterdam, Varsovie). L’entreprise mise sur des serveurs bare metal et des solutions de virtualisation open source (KVM, OpenStack) pour concurrencer les géants américains. Cependant, son offre reste moins mature que celle de Microsoft Azure en termes de services managés, de scalabilité automatique et d’outils d’analyse avancée (machine learning, big data). Le HDH, qui traite quotidiennement des pétaoctets de données, devra composer avec des performances potentiellement inférieures, notamment pour les requêtes complexes ou les traitements en temps réel.

Côté sécurité, Scaleway met en avant une certification SecNumCloud (niveau « confiance » en cours d’obtention) et un chiffrement des données au repos et en transit (AES-256, TLS 1.3). Cependant, l’absence de datacenters en France métropolitaine pour certains services (comme le stockage objet) pourrait poser des problèmes de latence pour les utilisateurs locaux. Par ailleurs, la documentation technique de Scaleway reste moins exhaustive que celle de Microsoft, ce qui pourrait ralentir l’intégration des équipes du HDH.

Architecture du Health Data Hub : quels changements attendus ?

Le HDH repose sur une architecture hybride combinant bases de données relationnelles (PostgreSQL), entrepôts de données (Snowflake-like) et outils d’analyse (Apache Spark, Databricks). Avec Microsoft Azure, le HDH bénéficiait d’une intégration native avec des services comme Azure Data Factory pour l’ETL (Extract, Transform, Load) et Azure Synapse pour l’analyse. Scaleway devra reproduire ces fonctionnalités via des solutions open source ou des partenariats (comme avec OVHcloud pour le stockage objet).

La migration implique également un changement de protocole pour l’accès aux données. Jusqu’ici, le HDH utilisait des API REST et GraphQL exposées via Azure API Management. Scaleway propose des alternatives comme Kong ou Traefik, mais leur configuration et leur scalabilité restent à valider. Les équipes du HDH devront également repenser leur stratégie de résilience, avec des sauvegardes distribuées entre plusieurs zones géographiques pour éviter les pannes prolongées.

Cybersécurité : un risque résiduel malgré le changement d’hébergeur

Le HDH est soumis au Règlement Général sur la Protection des Données (RGPD) et à la loi française sur la bioéthique, qui encadrent strictement l’accès aux données de santé. Scaleway, en tant qu’hébergeur certifié SecNumCloud, garantit un niveau de sécurité conforme aux exigences françaises. Cependant, le risque zéro n’existe pas : en 2023, Scaleway a subi une attaque par déni de service (DDoS) ayant perturbé certains services pendant 48 heures. Bien que l’incident n’ait pas compromis de données sensibles, il rappelle la vulnérabilité des infrastructures cloud face aux cybermenaces.

Pour limiter les risques, le HDH prévoit de mettre en place un système de double authentification (2FA) pour les accès administratifs, ainsi qu’un chiffrement de bout en bout pour les données les plus sensibles. Les connexions externes seront filtrées via un pare-feu applicatif (WAF) et un système de détection d’intrusion (IDS) basé sur des règles open source (Suricata). Malgré ces mesures, la question de la souveraineté des données reste partiellement ouverte : Scaleway, bien que français, dépend de fournisseurs de matériel (comme Dell ou HPE) et de logiciels (comme VMware) qui peuvent être soumis à des lois étrangères.

Coûts et performance : un équilibre à trouver

Le budget alloué à Scaleway (50 millions d’euros sur cinq ans) représente une augmentation de 20 % par rapport au coût annuel de l’hébergement sur Azure. Cette hausse s’explique par la nécessité de développer des outils spécifiques (ETL, analyse) et de renforcer l’infrastructure locale. Scaleway facture ses services à l’usage (pay-as-you-go), avec des tarifs variables selon les régions et les services consommés. Par exemple, le stockage objet coûte environ 0,02 €/Go/mois, contre 0,015 €/Go/mois chez AWS. Ces écarts, bien que marginaux à l’échelle du HDH, pourraient peser sur le budget global.

Côté performance, les benchmarks internes réalisés par le HDH en 2025 montrent que Scaleway atteint 80 % des performances d’Azure pour les requêtes SQL simples, mais seulement 60 % pour les traitements parallèles (comme les jobs Spark). Ces écarts pourraient impacter la rapidité des recherches épidémiologiques ou des études cliniques, notamment pour les projets nécessitant des calculs intensifs (comme la modélisation de variants viraux). Le HDH devra donc optimiser ses requêtes et investir dans du matériel dédié (GPU pour l’IA) pour compenser ces limites.

Implications pour la recherche médicale et l’industrie

Le Health Data Hub est un outil clé pour la recherche publique française, permettant des études sur les maladies chroniques, les effets secondaires des médicaments ou l’impact des politiques de santé. Avec Scaleway, les chercheurs devront s’adapter à une nouvelle interface et à des outils moins standardisés. Par exemple, l’intégration avec des logiciels comme R ou Python (via des notebooks Jupyter) pourrait nécessiter des adaptations, car Scaleway ne propose pas de service managé équivalent à Azure Machine Learning.

Pour l’industrie pharmaceutique et les startups de la healthtech, la migration pourrait ralentir l’accès aux données. Les entreprises françaises, comme Owkin ou Owkin Health, qui collaborent avec le HDH, devront renégocier leurs contrats et adapter leurs pipelines de données. Certaines pourraient préférer des solutions hybrides, combinant hébergement local (pour la souveraineté) et cloud étranger (pour la performance), ce qui complexifierait la gouvernance globale des données.

Retour d’expérience : quels enseignements tirer des précédents ?

La France n’est pas le premier pays à migrer ses données sensibles vers un hébergeur local. En 2021, l’Allemagne a transféré son système de santé publique (gematik) vers des datacenters allemands, après des années d’hébergement chez Amazon Web Services. Les retours d’expérience montrent que les migrations prennent entre 18 et 24 mois, avec des coûts initiaux sous-estimés de 30 à 50 %. Les principaux défis incluent la compatibilité des formats de données, la formation des équipes et la gestion des interruptions de service.

En France, le projet de migration du HDH a été piloté par la DINUM (Direction Interministérielle du Numérique) et l’Assurance Maladie. Un comité de suivi, composé d’experts en cybersécurité et en santé publique, a été mis en place pour valider chaque étape. Cependant, l’absence de benchmarks publics comparant Scaleway à Microsoft Azure rend difficile l’évaluation objective des gains réels. Les premières évaluations internes, réalisées en 2026, indiquent une amélioration de la latence pour les utilisateurs français, mais une complexité accrue pour les requêtes transfrontalières.

Quel avenir pour le Health Data Hub après 2027 ?

À moyen terme, le HDH pourrait évoluer vers une architecture multi-cloud, combinant Scaleway pour la souveraineté et un acteur européen (comme OVHcloud ou Deutsche Telekom) pour les services critiques. Cette approche, déjà adoptée par la Banque Centrale Européenne pour ses données sensibles, permettrait de bénéficier des avantages de chaque hébergeur tout en limitant les risques de dépendance. Cependant, une telle stratégie nécessiterait des investissements supplémentaires et une gouvernance renforcée pour éviter les silos de données.

À plus long terme, la France pourrait envisager de développer sa propre infrastructure cloud souveraine, comme le propose le projet « Cloud Souverain » porté par l’État. Ce projet, encore au stade de l’étude, vise à créer un cloud public basé sur des technologies open source (OpenStack, Kubernetes) et des datacenters 100 % français. Si ce projet aboutit, le HDH pourrait migrer à nouveau, cette fois vers une solution 100 % locale, éliminant définitivement les risques liés aux lois étrangères.

Une souveraineté numérique à quel prix ?

Le transfert du Health Data Hub vers Scaleway est un symbole fort de la volonté française de reprendre le contrôle de ses données de santé. Pourtant, derrière l’affichage politique se cache une réalité technique complexe : des performances en demi-teinte, des coûts en hausse et une courbe d’apprentissage abrupte pour les équipes. On peut se demander si la souveraineté numérique ne se paie pas au prix d’une certaine nostalgie technologique, où l’on troque la puissance d’un géant comme Microsoft contre le charme artisanal d’un acteur local… dont les datacenters, aussi français soient-ils, restent des boîtes noires dont on ne connaît pas tous les secrets.