S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Scaleway remporte l’hébergement des données de santé à la place de Microsoft

Pas mal non ?

Scaleway remporte l’hébergement des données de santé à la place de Microsoft

Illustration : Flock

La ministre de la Santé a annoncé jeudi matin la sélection de Scaleway, filiale du groupe iliad, par la Plateforme des données de santé. Ce fameux « Health Data Hub », qui doit notamment faciliter l’accès aux données de santé à des fins de recherche, était précédemment hébergé par Microsoft.

C’est finalement Scaleway, entité du groupe iliad, qui va reprendre l’hébergement de la Plateforme des données de santé, ou Health Data Hub, qui fonctionnait jusqu’ici sur des infrastructures opérées par Microsoft Azure. L’information a été révélée mercredi dans la soirée par Emile Marzolf de Politico, puis confirmée jeudi 23 avril via un communiqué du HDH et un message de la ministre de la Santé, Stéphanie Rist :

« Avec le choix de Scaleway par la Plateforme des données de santé, nous faisons le choix d’un cloud souverain pour héberger nos données de santé. Un choix stratégique pour renforcer la sécurité, la confiance et notre indépendance technologique ».

Deux mois et demi de sélection

Les modalités exactes de la migration et le montant du contrat associé n’ont pour l’instant pas été communiqués, mais la Plateforme de santé (PDS) affiche son ambition de pouvoir « gérer en autonomie une copie de la base principale du SNDS [Système national des données de santé] entre la fin de l’année 2026 et le début de l’année 2027 ».

Le Health Data Hub affirme que le processus de sélection a duré deux mois et demi, sous contrôle de l’UGAP et des pouvoirs publics. « Ce travail a permis de partager et de clarifier la spécificité des besoins de la PDS avec plus de 350 exigences techniques », indique-t-il.

Le HDH confirme par ailleurs que plusieurs « offreurs » se sont positionnés sur le dossier, intéressant à la fois par sa surface financière et par la notoriété qu’il renvoie, associée à l’image de souveraineté numérique. Au terme du processus, c’est donc finalement Scaleway, qui n’est pas encore arrivé au terme de la certification SecNumCloud, qui a remporté le morceau.

L’hébergeur s’est lancé dans le processus en janvier 2025, peu de temps après l’obtention de son agrément HDS (Hébergeur de données de santé). Jeudi, il estime par voie de communiqué que le choix de la PDS démontre « la crédibilité de sa trajectoire de qualification SecNumCloud » et confirme que cette dernière est bien indispensable dans le cadre de ce contrat.

OVHcloud allié à Docaposte, Cloud Temple ou Atos faisaient partie des candidats potentiels dont les noms ont circulé dans la presse en début d’année. « La société Bleu, qui réunit Capgemini et Orange pour continuer de vendre en France les services de Microsoft aux administrations de l’Etat grâce au tampon SecNumCloud, n’avait pas candidaté, et n’avait pas même été sollicitée par l’équipe du Health Data Hub », affirme Emile Marzolf.

Épilogue d’une longue polémique ?

Le gouvernement a régulièrement été interpellé sur la décision, formalisée dans la loi en 2019, de confier l’hébergement de la Plateforme de santé à un acteur états-unien. Début février 2026, il s’était engagé à initier une migration vers un hébergeur répondant aux exigences de la certification SecNumCloud avant la fin de l’année, après avoir envisagé une solution intercalaire finalement jugée peu satisfaisante.

L’autorisation donnée par la Cnil avait quant à elle fait l’objet d’une procédure devant le Conseil d’État. Fin mars, ce dernier avait reconnu l’existence d’un risque lié à la portée extraterritoriale des lois états-uniennes, tout en estimant que les garanties apportées par le Health Data Hub étaient suffisantes.

Rappelons que le Health Data Hub prend la forme d’une structure publique, chargée de concevoir et d’opérer la Plateforme des données de santé, un guichet unique permettant aux acteurs de la santé publique, de la recherche ou de l’innovation, d’accéder à des données de santé non nominatives dans un environnement censé bénéficier d’un niveau de contrôle et de sécurité adéquat.

« La PDS et Scaleway s’engagent donc aujourd’hui pour mettre à disposition des acteurs de la recherche et de l’innovation en santé un espace sécurisé capable d’héberger les données de remboursement de l’Assurance maladie et d’autres bases de données de santé d’intérêt », promet le Health Data Hub.

Commentaires (49)

votre avatar
Dehors la vermine
votre avatar
Cette actu toute chaude qu'on voulait vous livrer le plus tôt possible est susceptible d'être complétée dans la matinée au fur et à mesure que des précisions ou des déclarations arrivent :tristan:
votre avatar
Tout ça pour ça. Et dire qu'il aurait fallu simplement leur laisser le temps de monter un dossier depuis le début...
votre avatar
enfin de la logique logique :yes:
votre avatar
Enfin effectivement !
Bon, et maintenant quand boutera-t-on la "vermine" hors de l’Éducation Nationale ?
votre avatar
Tu parles des recteurs et inspecteurs ? :D
votre avatar
Bon, et maintenant quand boutera-t-on la "vermine" hors de l’Éducation Nationale ?
Ça va pas être simple (surtout que c'est pas du tout aussi monolithique que d'autres ministères)
votre avatar
Haha, ce sous-titre (gif)
votre avatar
"sous contrôle de l’UGAP", la bonne blague, l'UGAP qui fait des contrôles, mort de rire…
votre avatar
Ça sent le vécu !
votre avatar
Pour ceux qui ne savent pas : l'UGAP est une centrale d'achat des structures publiques. Elle passe des marchés globaux, dans lesquels les structures publiques peuvent "piocher". Un "marché UGAP", ça permet de ne pas avoir à passer un marché, justement.
(expérience personnelle : c'est bien le binz administrativement... Dans le cas de ma boite, l'UGAP a un marché cadre pour les prestations informatiques avec un titulaire, SCC, qui nous sous-traite le contrat. Dans la plupart des cas, le client nous a déjà choisi, demande à l'UGAP qu'on fasse un devis, qui demande à SCC, qui nous demande à nous. On envoie le devis à SCC, qui en envoie un à l'UGAP, qui en envoie un au client. Bref, si ça simplifie le process pour la puissance publique, ça le complique pour le fournisseur : )

[ajoutons qu'il y a d'autres centrales d'achat public que l'UGAP, souvent spécialisées. Par exemple caih pour l'informatique de santé]
votre avatar
Il y a la CANUT aussi.

Et en fait, tu peux contacter un presta avec lequel tu bosses déjà et le faire très facilement passer dans un marché CANUT, UGAP & co. Cela te permet ensuite de ne pas faire de mise en concurrence, la seule "contrepartie" c'est que c'est facturé entre 10 et 30 % plus cher pour la même chose.

Il y a clairement un gros gaspillage d'argent public lié à ces centrales d'achats.
votre avatar
Pour le gaspillage d'argent public = il faut mettre en regard des 10 à 30% de surcoût le coût de passation d'un marché public (cahier des charges, AO, dépouillement, auditions...) . Dans certains cas, je ne suis pas sûr que ce soit un gaspillage.
(Concernant la CANUT = on y est aussi, c'est tellement le binz qu'on songe à en partir)
votre avatar
J'ai oublié son nom mais un prestataire de matériel UGAP m'avait proposé de lui dire quoi acheter sur amazon puis il me le livrait avec qqes % de commission. Ca permettais d'avoir des prix et un choix qui permettait de ne pas être coincé à cause de la rigidité des marchés.
votre avatar
C'est un bon debut...
Mais en ce qui concerne les pharmacies, les medecins, les cliniques... qui t'envoient ou te demandent de leur transmettre, ordonnances, resultats sainguin... via une boîte mail gmail... C'est quand qu'on leurs dit stop ?
votre avatar
Quand les gens utiliseront MonEspaceSante. Qui est fait pour.

Car au delà de gmail, c'est bien la réception et l'envoi par email directement en tant que pièce jointe (quel que soit le prestataire) qui est problématique...
votre avatar
Très bonne réponse!!
votre avatar
L'email en soi ne serait pas un problème majeur si les gens savaient utiliser GPG ! :stress:

Dans ce cas GPG agit à l'image d'un VPN sur une connexion non sécurisée : ça n'a plus aucune importance que le prestataire de mail puisse lire la correspondance chiffrée !
votre avatar
GPG est juste inutilisable pour le quidam lambda.
votre avatar
GPG est juste inutilisable pour le quidam lambda.
Et les fournisseurs e-mail sérieux(*) proposent désormais leur solution de mails chiffrés.

Bon, c'est plus ou moins user-friendly, par contre, mais déjà beaucoup plus que du PGP.

(* pas les mails de FAI, quoi :craint: )
votre avatar
et souvent non interopérable :craint:. Donc tu es chez X, une personne qui utilise Y t'envoie un mail sécurisé, tu te retrouves à devoir aller sur le site de Y pour consulter le mail.

Pour moi, ce n'est plus du mail, même si ça reste un système de messagerie...
votre avatar
C'est pas interopérable, mais plus ou moins utilisable quand t'es pas chez l'opérateur en question.

Par exemple, chez Microsoft, ça envoie la clé à la demande par mail (pas top top non plus, mais bon).

Chez Infomaniak, par contre, c'est plus complexe car ça demande de communiquer la clé par un autre canal pour les destinataires en dehors de la suite (ils proposent évidemment leur outil kPaste).

On est d'accord cela dit que ça reste des solutions proprio plutôt fermées.

Mais ça reste plus utilisable que du PGP dont personne n'a entendu parler.

(même en entreprise mettre en place du PGP pour chiffrer des flux fichier, c'est comme dire qu'on va construire Ariane 7 :craint: )
votre avatar
S/MIME devrait être standard, mais tant qu'il y aura pas de LetsEncrypt pour les certificats S/MIME, peu de chances que ça arrive.
Son usage actuellement c'est plus pour afficher le logo de l'entreprise dans Gmail et Outlook plutôt que pour l'authentification ou le chiffrement :/
votre avatar
Jamais eu besoin, tout passe par "Mon Espace Santé"
votre avatar
à titre personnel, j'ai un compte "Mon Espace Santé" : il y a seulement l'hôpital qui l'utilise, sinon c'est sur support papier ou sur plateformes de santé privées (je pense notamment aux laboratoires d'analyses médicales et à la radiographie).
votre avatar
Support papier ou, comme ma pharmacie, par un fier A4 collé sur l'entrée : "envoyez vos ordonnances à pharmaciemachintruc@gmail.com" ...
votre avatar
On avait documenté ça fin 2024 oui ! next.ink Next

ça évolue doucement avec l'adoption de MonEspaceSanté mais dans les faits, y'a toujours des petites étiquettes avec un @gmail au comptoir des deux pharmacies que je fréquente près de chez moi...
votre avatar
Idem. Je n'ai vu aucune évolution de ce côté, il y a toujours ces mêmes affiches dans toutes les pharmacie que je connais. :craint:
votre avatar
à titre personnel, à part Doctolib qui est omniprésent chez les professionnels de santé (entre autres, l'envoi d'un SMS Doctolib de rappel de RDV alors que je n'avais pas de compte Doctolib) et l'incitation à laisser des avis Google positifs chez plusieurs dentistes, je n'ai jamais vu un seul me proposer un échange par mail.
votre avatar
As-tu activé ton espace santé??

As-tu questionné ton médecin, ton infirmier, ton pharmacien, ton laboratoire d'analyse pour savoir si ils reçoivent sur la Messagerie Sécurisée de Santé ??

Si il n'y a pas un peu de pression de la part des patients, la sauce ne prendra pas.
votre avatar
La dernière fois que j'ai fait la remarque à la pharmacie ("c'est dommage d'utiliser un fournisseur d'adresses américain [Gmail] au lieu d'un fournisseur français..."), la patronne ma regarder comme si je lui parlais chinois.
Oui, il faut un peu de pression de la part des patients (qui ne seront pas nombreux à la mettre), mais il y a surtout un gros retard d'éducation à l'informatique et à ses enjeux, et ce, quels que soient la tranche d'age et/ou le statut social.
votre avatar
Je pense que la base serait que les médecins utilisent un logiciel (de gestion de cabinet) qui émette systématiquement les ordonnances vers "Mon Espace Santé" (et pas tous ces paléo-logiciels en Windev...), avec impression optionnelle, comme les tickets de caisse.
J'ai systématiquement les ordonnances, notamment d'analyses, en papiers seulement, que je dois scanner pour envoyer au labo (certains via Gmail effectivement).
Par contre, tous les résultats sont sur l'Espace Santé ... et envoyé par mail au prescripteur !

Vrai question : les professionnel de santé ont une carte à puce qui les authentifient. mais la couche logicielle qui leur permet d'accéder (avec les droits accordés par le patient) à son Espace Santé est-elle à sources ouverts et libre (GPL ?), et la CPAM propose-t-elle une implémentation "de référence" elle aussi libre de droits ?
votre avatar
les professionnel de santé ont une carte à puce qui les authentifient
Tout à fait. C'est la carte CPS
mais la couche logicielle qui leur permet d'accéder (avec les droits accordés par le patient) à son Espace Santé est-elle à sources ouverts et libre (GPL ?)
S'il s'agit de la couche logiciel permettant l'accès aux informations de la carte elle-même, j'allais dire pas à ma connaissance. Mais en cherchant en peu... oui !

Le composant qui permet d'interroger la carte CPS s'appelle la cryptolib (ça fait très longtemps qu'elle existe, car je la connais depuis plus de 15 ans maintenant), et apparemment, il y a eu du changement de ce côté depuis quelques temps (combien, je ne saurais dire). La cryptolib est aujourd'hui en LGPL, accessible uniquement pour les titulaires d'un contrat éditeur et intégrateur.
et la CPAM propose-t-elle une implémentation "de référence" elle aussi libre de droits ?
Si c'est une implémentation de référence à la carte CPS non, ce n'est pas son rôle. La carte CPS est gérée par l'ANS.

Si c'est l'accès aux API permettant l'interrogation de Mon Espace Santé, là ici non plus. Il y a bien une API "publique" (dans le sens, dont la spécification est ouverte), mais son utilisation est très réglementée (en gros, le logiciel ET l'utilisateur doivent s'authentifier, pas uniquement l'utilisateur).

Si c'est le code côté serveur, non. Rien de se côté là.
votre avatar
:merci: Je mourrai moins bête.
Je m'inquiétais de l'approche 100% mercantile des logiciels intégrés du secteur de la santé.
Reste donc à faire sauter le verrou de la qualification/certification du logiciel, ce qui est toujours le problème avec le libre :frown:
votre avatar
Je pense que la pression des patients, ils vont s'en tamponner, surtout comme tu le dis, ils ne seront pas nombreux.
C'est l’état qui devrait interdire que les données de santé transitent par Gmail, à tous les professionnels de la santé.
votre avatar
C'est l’état qui devrait interdire que les données de santé transitent par Gmail, à tous les professionnels de la santé.
Il est déjà interdit de faire transiter les données de santé par mail (pas que par Gmail).

Seule la MSS (Messagerie Sécurisée de Santé) est autorisée, et les patients peuvent (un peu) y accéder via Mon Espace Santé
votre avatar
Voilè une bonne nouvelle.
votre avatar
Il était temps qu’on utilise des produits bien d’chez nous boudiou :francais:
votre avatar
Et un camouflet pour la CNIL, un !
votre avatar
Bin je me répète mais je pense que c'est à l'état de fournir une adresse courriel personnel qui sera ensuite utilisable, à minima, dans tous les échanges avec l'Etat et autres démarches administratives.
Et également de fournir des méthodes de chiffrement et d'authentifications compatibles pour assurer la confidentialité des échanges et des données des citoyens.
Et puis c'est tout!
votre avatar
en alternative, l'Etat pourrait surtout fournir une offre de chiffrement avec certificat personnel pour chq citoyen et résident. Mais n'est ce pas déjà le cas lors des déclarations d'impôts?
votre avatar
Je n'ai rien trouvé. Si quelqu'un à l'info?
votre avatar
Ça fera un service de l’Etat en plus qui subira une fuite de donnée et tout les échanges privés partiront dans la nature.
votre avatar
Sauf que l'Etat ce n'est pas une entreprise. C'est comme fournir des papiers d'identité, ou un certificat d'immatriculation. Ce devrait être encadré avec le même sérieux, les mêmes obligations en terme de sécurité.
Cela devrait être une mission régalienne, c'est devenu obligatoire en 2026.
votre avatar
Peut être pour bientôt. Le service existe déjà pour les communications entre agents de l’Etat, quelle que soit leur administration de rattachement (Éducation Nationale, Intérieur, Environnement, Économie, même territoriale ou universités, etc.) ; ça s’appelle [La Suite] et ça marche franchement très bien.
votre avatar
fr.wikipedia.org Wikipedia
Scaleway est encore un "petit" avec 100 million de CA, soit 10% de OVH par ex.
https://www.scaleway.com/en/general-purpose-instances/

Les centres de données sont en France, mais aussi aux Pays-Bas et en Pologne et Milan/Italie.
Le HW va du AMD EPYC aux ARM64, notamment avec des Mac Apple Silicon.
Mais quelle est la plateforme logicielle utilisée par Scaleway?

Quelqu'un ici l a t il déjà utilisée professionnellement en alternative aux classiques AWS et Azure?
votre avatar
Tu veux dire quoi par plateforme logicielle ?
votre avatar
certains hébergeurs ne font qu'installer une pile de Azure ou AWS. Donc même si c est hébergé physiquement en Europe, cela reste dépendant des services US.

Est ce que Scaleway a vraiment une plateforme complètement indépendant des solutions propriétaires US?
votre avatar
Je peux te confirmer que Scaleway a une stack technique développée en interne totalement indépendante des services US.