Stratégie

Le Health Data Hub s'explique sur le choix d'Azure devant l'Assemblée nationale

Laurent Vilboeuf, directeur de transition de la plateforme de données de santé, lors de son audition du 17 mars à l'Assemblée nationale.

Le directeur par intérim de la plateforme de données de santé, Laurent Vilboeuf, a été auditionné par l'Assemblée nationale sur l'affaire Microsoft Azure. Des questions nombreuses et denses posées à un intervenant non décisionnaire n'ont que partiellement levé les doutes sur le sujet.

PublicitéDans l'épisode le plus récent de la saga Health Data Hub (HDH) - Microsoft Azure, l'Assemblée nationale a entendu le 17 mars, le directeur de transition de la Plateforme de données de santé (PDS), Laurent Vilboeuf. Objectif : éclaircir les raisons qui ont conduit la structure à opter pour l'Américain Microsoft pour héberger des données aussi sensibles que les données de santé des Français, la possible intervention de Capgemini dans ce choix et, enfin, le modèle économique. Une audition qui intervient alors que la structure a rebroussé chemin, abandonnant l'idée d'une étape de transition pour différer son départ d'Azure et lancé un appel d'offres public début février pour un cloud souverain, et sans la directrice décisionnaire, Stéphanie Combes, qui a quitté le HDH en octobre 2025. L'audition a été menée dans le cadre de la Commission d'enquête sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l'indépendance de la France par les députés Philippe Latombe et Cyrielle Châtelain, respectivement président et rapporteure.

Un exercice loin d'être aisé pour Laurent Vilboeuf, qui a pris le poste de directeur suppléant à la mi-octobre 2025 après le départ de sa prédécesseure, mais n'occupe la fonction de plein exercice, en tant que directeur de transition de la plateforme de données de santé, que depuis fin novembre 2025, et ce, jusqu'au 14 avril prochain. Il n'a donc aucunement participé aux décisions prises entre 2019 et novembre 2025.

Le directeur par intérim a néanmoins rappelé en introduction les difficultés rencontrées par la structure, à la fois récente, puisqu'elle n'a que six ans, et porteuse d'un projet inédit. Au démarrage de celle-ci, « il n'y avait aucune référence, mais le projet était très tributaire de sa dépendance à un cadre réglementaire, certes indispensable, mais très exigeant, qui a pu alentir sa progression. » Laurent Vilboeuf a ensuite confirmé que la crise sanitaire, mais aussi l'inquiétude engendrée par le choix d'origine de Microsoft Azure - coeur du sujet de l'audition - avait pu ralentir la progression du projet. « Aujourd'hui, les délais d'accès aux données [pour les partenaires] restent encore un peu trop longs. [...] » Un constat qui a donné naissance à l'idée d'une procédure dite intercalaire, qui aurait dû conduire à simplement extraire les données depuis Azure vers une base Oracle, en attendant la migration complète de la plateforme.

PublicitéObjectif, cloud souverain et respect de la loi Sren

Le projet a été abandonné, en particulier à la suite d'une interpellation par la Dinum, suggérant une étude plus approfondie des offres de cloud du marché, selon Laurent Vilboeuf. « Nous avons donc retravaillé les sujets et les délais de manière plus approfondie et changé notre fusil d'épaule, l'étude [du marché] ayant montré qu'une migration cible pouvait être réalisée dans des délais assez similaires » à la procédure intercalaire. Un appel d'offres public pour un cloud souverain, opéré par l'Ugap, a été lancé le 9 février pour une durée d'un mois, rendant inutile le passage par la procédure intercalaire.

« Nous nous situons dans l'esprit et les intentions de l'article 31 de la loi Sren [Sécuriser et réguler l'espace numérique], visant à nous protéger contre les risques d'atteinte liée aux lois exterritoriales et aux pressions extérieures exogènes de toute nature », a insisté Laurent Vilboeuf. L'article, rédigé en 2023, mais dont le décret d'application n'est toujours pas publié, stipule que « pour les marchés publics comportant des prestations d'hébergement et de traitement de données publiques en nuage, l'acheteur prévoit des conditions d'exécution excluant l'application de législations étrangères à portée extraterritoriale, et garantissant l'hébergement de ces données sur le territoire de l'Union européenne ». Le passage par une solution intermédiaire chez un autre acteur américain, Oracle, posait en soi un problème en la matière, comme l'a concédé le directeur de la plateforme, affirmant que ce choix avait été fait pour des « raisons de sécurité et de réplication facile, pour ne pas perdre de temps » avant de confirmer que l'objectif était désormais d'aller vers un cloud souverain. « Nous sommes en train d'analyser les offres, a-t-il expliqué. Cela devrait amener la plateforme data de santé à sélectionner un cloudeur aux alentours de mi-avril ». La migration depuis Azure devrait commencer fin 2026 ou début 27. La solution intercalaire aurait conduit au plus tôt à une migration en mai 2027.

« Qu'est-ce qui a changé dans les spécifications ou quelles spécifications mises en avant à l'époque [de l'appel d'offres de 2024 qui a abouti au choix d'Azure] ne le sont plus », a cependant interrogé Philippe Latombe. Le député a rappelé que le choix de 2024, pris à la suite d'une étude du HDH, de la DNS (délégation ministérielle au numérique en santé) et de la Dinum s'appuyait sur l'affirmation qu'aucun cloud européen ne répondait aux exigences, et que seuls AWS et Azure, qui ne sont pourtant pas SecNumCloud, y répondaient. Selon le directeur du HDH qui a tenu à rappeler qu'il était « arrivé après la bataille », les différentes études menées depuis 2019 « semblent démontrer » que le niveau de maturité des offreurs européens de cloud « n'était pas au niveau de l'ensemble des exigences fonctionnelles et de sécurité », comme la conformité HDS ou l'homologation SNDS (Système national des données de santé). Autre justification du revirement de la plateforme, la vitesse d'évolution des offres européennes depuis deux ans, en mesure désormais de répondre à de telles exigences.

Pour justifier le choix de Microsoft, le directeur de la plateforme a également énuméré les mesures de sécurité déployées qui ont conduit le Conseil d'État à juger, à plusieurs reprises, comme très faible le risque que les données du HDH soient soumises à des lois extraterritoriales, évoqué par Cyrielle Châtelain. Il s'agit en particulier d'une forme de double pseudonymisation (conformité SNDS), qui rendrait irréversible le retour à la donnée de base, et du chiffrement des données stockées, de l'espace de stockage et des flux entre les bulles de données sécurisées. Par ailleurs, la plateforme est uniquement opérée par des agents avec des rôles définis et cloisonnés et une fonction interdit même l'accès de ces données aux ingénieurs Microsoft. Pas de réponse en revanche durant l'audition, à l'interrogation du député Latombe sur des différences entre les exigences présentées à AWS et Microsoft, d'un côté, et aux offreurs français, de l'autre, dans l'appel d'offre de 2024.

Un projet Azure à 21 M€

À l'occasion d'une question sur le modèle économique de la plateforme, la rapporteure de la Commission, Cyrielle Châtelain, a interpellé le directeur par intérim du HDH. Elle s'est appuyée sur le rapport de la Cour des comptes qui avait constaté un ROI de 500 000 euros pour cette dernière contre 54 M€ attendus. Un différentiel qui proviendrait en grande partie, selon ce document, de l'hébergement chez Microsoft. « La plateforme de données de santé est un groupement d'intérêt public et a deux sortes de ressources, a précisé Laurent Vilboeuf, pour décrire le modèle économique. L'Ondam [objectif national des dépenses d'assurance maladie, fixé chaque année par la loi de financement de la Sécurité sociale, à ne pas dépasser en matière de soins de ville et d'hospitalisation, NDLR] représente depuis 2019 la ressource majeure. En 2024, 2025 et 2026, ce financement s'est élevé successivement à 29,610 M€, 20,610 M€ et 12,610 M€. » Le directeur du HDH explique ainsi qu'il s'agit d'une source de financement précieuse, mais très sollicitée, et donc très variable.

La deuxième ressource du GIP, le FTAP (fonds de transformation de l'action publique), est versé depuis 2020. « C'est sur cette partie que le rapport de la Cour des comptes parle d'une sorte de gabegie, à cause d'un ROI très faible », rappelle Laurent Vilboeuf, qui affirme avoir donné des chiffres de ROI totalement différents. Il ajoute qu'il lui paraît particulièrement périlleux de calculer un ROI de l'utilisation secondaire de données de santé. « Cela signifierait qu'on est capable de mesurer combien de malades ou de morts ont été évités grâce à telle ou telle étude ». Troisième et dernière source de financement du GIP, la contribution de ses membres « rapporte bon an mal an 851 000 euros par an ». Le président du HDH, qui précise que la seule masse salariale du GIP représente 13 M€, a ajouté qu'il étudiait le temps de son mandat d'autres modes de financement possible : « dans le cadre de sortie d'Azure, j'aimerais regarder du côté de France 2030, avec le ministère de la Santé. »

Le coût du cloud de Microsoft, d'abord supporté en 2019 et 2020 par la Drees [la Direction de la recherche, des études, de l'évaluation et des statistiques, service statistique ministériel dans les domaines de la santé et du social, NDLR] se monte à un total de 10,547 M€ de 2019 à février 2026, d'après Laurent Vilboeuf, auquel il faut ajouter un montant équivalent pour les prestations de Capgemini. Soit un projet à environ 21 M€.

Interrogé par Phiippe Latombe sur l'influence de l'ESN dans le choix de Microsoft, le directeur de la plateforme a assuré que ce n'était aucunement le cas. Et ce, malgré des documents datant du début du projet, estampillés HDS mais avec mention de Capgemini dans les notes de bas de page. « Ce que j'ai vu, a complété Laurent Vilboeuf, ce sont effectivement des équipes HDH qui avaient intégré des consultants Capgemini pour aider à la construction et au pilotage. Cela a pu représenter jusqu'à dix personnes par mois au démarrage, mais aujourd'hui, l'objectif est de limiter au maximum [ce recours au prestataire] et nous sommes à 0,6 consultant par mois. »