Le sujet du Health Data Hub (HDH) vient de connaître un tournant majeur : le passage de Microsoft Azure à Scaleway. Si l’État français a mis plusieurs années à franchir le pas pour nos données de santé, ce mouvement marque la fin d’une ère d’insouciance technologique.

Cette transition n’est pas qu’une affaire de santé publique. Elle agit comme un miroir pour toutes les entreprises : si la donnée de santé, par nature ultra-sensible, peut et doit être rapatriée sur un socle souverain, qu’en est-il de vos propres datas ?

L’actualité du HDH est l’occasion idéale pour s’interroger sur la cartographie de vos données. Il ne s’agit pas de dresser un inventaire complet de ce vaste sujet, mais de proposer quelques rappels stratégiques.

1 – Au delà de l’emplacement physique : sous quelle juridiction vos données dorment-elles réellement ?

La localisation physique du serveur est une chose, la nationalité de l’hébergeur en est une autre. Un prestataire soumis à une loi extraterritoriale (comme le Cloud Act) peut être contraint de donner accès à vos données, peu importe où elles sont stockées.

L’enjeu : Identifier si vos données sont protégées par le seul droit européen ou si elles sont exposées à des injonctions étrangères.

2. Avez-vous distingué vos « commodités » de votre « cœur de réacteur » ?

Toutes les données ne méritent pas nécessairement le même investissement. Ce qui est public peut rester sur des outils mondiaux ; ce qui fait votre valeur ajoutée (R&D, fichiers clients, algorithmes) doit être plus étroitement surveillé.

L’enjeu : Optimiser vos coûts tout en sécurisant l’essentiel sur un cloud de confiance.

3. Votre clause de réversibilité est-elle un droit ou une illusion ?

Le transfert du HDH vers Scaleway est un défi car la migration est complexe. Si vous décidez de changer de prestataire demain, le contrat prévoit-il les modalités (format, coût, assistance) pour que vous restiez maître de votre sortie ?

L’enjeu : Éviter le « lock-in » (enfermement) technologique qui rend tout changement de stratégie financièrement impossible.

4. La sécurité de votre prestataire est-elle purement technique ou aussi juridique ?

Un système peut être impénétrable pour les hackers, mais « ouvert » par une disposition légale. La véritable sécurité est celle qui combine robustesse informatique et imperméabilité aux requêtes administratives non filtrées par un juge européen.

L’enjeu : S’assurer que la confidentialité est garantie face à tous les risques, y compris étatiques.

5. Existe-t-il des « sous-hébergeurs » cachés dans votre contrat ?

La chaîne de confiance est aussi forte que son maillon le plus faible. Votre prestataire principal utilise-t-il lui-même des briques technologiques ou des serveurs tiers situés hors UE ?

L’enjeu : Garantir une transparence totale sur la chaîne de sous-traitance pour ne pas importer un risque de conformité par la bande.

Le mouvement amorcé par le Health Data Hub montre que la souveraineté n’est plus une option « vaporeuse », mais une décision de gestion des risques. Cartographier la résidence de vos données, c’est avant tout protéger la valeur et la pérennité de votre entreprise. Nouveau Monde Avocats peut vous accompagner en analyse de contrat, en stratégie et en contentieux sur tous ces sujets.