La Cour des comptes appelle au respect du référentiel SecNumCloud pour l'hébergement des données de santé

Dans son rapport rendu publié le 31 octobre 2025 intitulé « Les enjeux de souveraineté des systèmes d'information civils de l'État », la Cour des Comptes propose un éclairage complet sur la situation et sur les défis majeurs qui restent à relever s'agissant de la souveraineté numérique.

Le rapport rappelle que la poursuite d'une « souveraineté numérique » implique que l'État puisse maitriser à la fois ses technologies, ses données et ses infrastructures critiques. Or, la France se heurte à plusieurs obstacles parmi lesquels figure la forte dépendance à des acteurs non-européens, notamment américains où la législation permet un accès aux données hébergées. Le rapport cible trois grands axes de fragilité concernant la sécurité des données et la souveraineté numérique des systèmes d'information de l'Etat :

1. La question de l'autonomie technologique : sur le matériel, le logiciel, l'identité numérique ; l'État ne semble pas disposer à ce stade d'un niveau suffisant de maîtrise.
2. La question du cloud : l'hébergement souverain est avancé comme priorité, mais la doctrine actuelle est perçue comme trop restrictive par les acteurs et trop compliquée à mettre en œuvre.
3. La question de la gouvernance : la gouvernance interministérielle sur ce sujet existe, mais aucun calendrier chiffré et opposable ne structure encore pleinement la souveraineté numérique.

Parmi les cinq recommandations clés de son rapport ¹, l'une concerne la question de l‘hébergement des données de santé, et propose d'aligner le certificat « Hébergeur de données de santé » (« HDS ») avec les exigences de la qualification SecNumCloud pour garantir la protection face à l'extraterritorialité des droits.

Pour rappel, le référentiel de certification HDS a été récemment actualisé, par arrêté du 26 avril 2024 (modifiant l'arrêté du 11 juin 2018 portant approbation du référentiel d'accréditation des organismes de certification et du référentiel de certification pour l'hébergement de données de santé).

L'objet de cette mise à jour du référentiel HDS était notamment de clarifier certaines exigences de sécurité et de renforcer l'encadrement des prestataires manipulant des données de santé. En particulier, il est indiqué au sein du point 7 de l'actuel référentiel HDS que l'hébergeur doit stocker les données à caractère personnel exclusivement au sein de l'Espace Economique Européen et que lorsqu'un accès à distance depuis un pays en dehors de l'UE est nécessaire, cet accès doit être fondé sur des garanties appropriées, conformément aux dispositions du RGPD. L'hébergeur est également tenu d'indiquer à son client et de documenter les garanties appropriées mises en place, ainsi que le cas échéant, tout autre mesure permettant d'assurer un niveau de protection des données équivalent à celui garanti par le droit de l'Union Européenne.

Bien que le référentiel HDS garantisse un haut niveau de sécurité pour l'hébergement des données de santé, il ne couvre pas les exigences de souveraineté propres à la qualification SecNumCloud. Le SecNumCloud impose en effet une « immunité extraterritoriale », c'est-à-dire l'assurance que l'hébergeur ne puisse pas être soumis au droit d'un État tiers susceptible d'exiger l'accès aux données (notamment le droit américain via le Cloud Act). SecNumCloud prévoit également des contraintes strictes d'actionnariat et de gouvernance, exigeant que le fournisseur soit contrôlé par une entité européenne afin d'écarter toute influence extérieure. À ce stade, le référentiel HDS ne comporte pas ces exigences de souveraineté, en particulier celles relatives au contrôle capitalistique et à la protection contre les législations extraterritoriales, ce qui explique qu'un hébergeur certifié HDS ne soit pas automatiquement conforme aux standards SecNumCloud.

Ainsi, la révision du référentiel HDS n'a pas été jusqu'à intégrer l'ensemble des exigences de la qualification SecNumCloud, malgré les discussions autour d'un rapprochement avec les standards de cybersécurité de l'ANSSI. La Cour des comptes souhaite aujourd'hui imposer la conformité à ce référentiel de l'ANSSI.

Cette position est également partagée par la CNIL qui l'a exprimée dans une délibération du 13 février 2025² où elle indique regretter que la solution d'hébergement retenu par le sous-traitant de l'EMA (Agence européenne du médicament), responsable de traitement, en l'espèce la plateforme de données de santé reste la société Microsoft, alors même que si cette solution est conforme juridiquement au RGPD, elle reste désormais contraire à la législation française puisque la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (loi SREN) impose à la PDS le respect du référentiel SecNumCloud.

A noter à cet égard que le projet de décret de la loi précitée a été communiqué et notifié à la Commission européenne le 25 novembre dernier, et qu'une fois publié, il s'imposera.

Dans son rapport, la Cour des comptes déplore également pour la PDS le choix de Microsoft comme hébergeur des données, jugeant que « bien qu'offrant un service théoriquement plus performant, ce choix a généré des blocages qui ont ralenti son déploiement et, au final, réduit la qualité de service » de la plateforme³.

Footnotes

1. Recommandation n°1 : en 2026, établir un calendrier interministériel pour migrer les fonctions de bureautique, messagerie et communication de l'État vers des outils respectant les critères de souveraineté (hébergement, licence, logiciel) ; Recommandation n°2 : lors de la révision de la feuille de route de la direction interministérielle du numérique, intégrer explicitement la souveraineté numérique et définir une stratégie claire et assortie d'objectifs mesurables ; Recommandation n°3 : définir une trajectoire de convergence pour les clouds interministériels afin d'augmenter leur taille critique, mutualiser les usages et améliorer l'attractivité de l'offre « cloud souverain » ; Recommandation n°4 : chaque ministère doit, d'ici 2026, cartographier ses données sensibles devant être hébergées de manière souveraine — en partenariat avec l'ANSSI et la Dinum ; Recommandation n°5 : aligner le certificat « Hébergeur de données de santé » (HDS) avec les exigences de la qualification SecNumCloud pour garantir la protection face à l'extraterritorialité des droits.

2. Délibération n° 2025-014 du 13 février 2025 autorisant l'Agence européenne des médicaments à mettre en œuvre des traitements automatisés de données à caractère personnel ayant pour finalité des études portant sur l'estimation d'incidence et de prévalence des pathologies dans la population générale en France dans le cadre du projet DARWIN EU

3. Cette recommandation vient appuyer les conclusions du rapport interministériel, dit Marchand-Arvier, « Fédérer les acteurs de l'écosystème pour libérer l'utilisation secondaire des données de santé » publié le 18 janvier 2024. Ce rapport recommande d'arrêter l'hébergement de la plateforme du HDH sur Azure et mettre en place l'hébergement de la copie de la base centrale du SNDS sur un cloud qualifié SecNumCloud, sous 24 mois (recommandation n°1).

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.