Santé numérique  

Le bras de fer autour de SecNumCloud 

Plusieurs acteurs de la santé numérique alertent sur une possible généralisation de SecNumCloud dans les marchés publics. Une évolution qu’ils jugent risquée et peu souhaitable. 

Publié et mis à jour le 7 juillet 202610 min de lecture
Le bras de fer autour de SecNumCloud
Adobe Stock

SecNumCloud, tu n’es pas indispensable à l’innovation en santé. C’est le message porté, en substance, fin juin par Alan, Doctolib, Implicity, Lifen et Resilience dans une lettre adressée au ministère de l’Intelligence artificielle et du Numérique. Sans remettre en cause la souveraineté numérique ni la protection des données sensibles, le collectif alerte sur le risque de voir SecNumCloud devenir un passage obligé dans les marchés publics. Faute de doctrine claire, certains acheteurs intègrent déjà cette exigence dans leurs appels d’offres. Le collectif demande donc une clarification explicite au gouvernement afin d’écarter toute obligation généralisée, et de préserver la possibilité d’accéder aux marchés publics. 

SecNumCloud, bientôt obligatoire dans les hôpitaux ? 

Derrière cette interpellation publique se cache un débat déjà bien installé. Depuis plusieurs mois, les acteurs du collectif Santé Numérique cherchent à convaincre les pouvoirs publics qu'une approche fondée exclusivement sur SecNumCloud risque de fragiliser l'écosystème français de la santé numérique. Les échanges écrits entre les deux parties ont débouché sur une réunion entre la DGE, l’Anssi et le collectif. Une rencontre dont les représentants du secteur disent être ressortis plus inquiets qu’auparavant. En cause, selon plusieurs sources du collectif, une forme d’avertissement non officiel. La qualification serait amenée à devenir obligatoire dans les futurs appels d’offres hospitaliers. « On nous a dit que ce n’était qu’une question de mois, même si aucun véhicule législatif n’est encore arrêté », confie l’un de ses représentants. 

« Faire de SecNumCloud l’unique réponse reviendrait à appliquer la même solution à des acteurs qui n’ont ni le même niveau de maturité, ni les mêmes architectures, ni les mêmes risques résiduels »

Cette nouvelle lettre poursuit donc un double objectif. D’une part, rappeler qu’aucune obligation réglementaire n’impose aujourd’hui la qualification SecNumCloud. Pour l’instant, du moins. D’autre part, défendre l’idée qu’une telle obligation ne serait pas souhaitable. « Faire de SecNumCloud l’unique réponse reviendrait à appliquer la même solution à des acteurs qui n’ont ni le même niveau de maturité, ni les mêmes architectures, ni les mêmes risques résiduels », écrivent les signataires. Ils mettent en avant un enjeu d’équité : les plus petites structures, disposant de moyens financiers et techniques plus limités, pourraient éprouver des difficultés à absorber les coûts et les contraintes associés à cette mise en conformité. 

Derrière la migration, la crainte d'un handicap concurrentiel 

Le cœur de l’argumentaire du collectif se situe toutefois ailleurs. Dans les conséquences économiques d’une généralisation de SecNumCloud. « Une obligation généralisée de migration d’hébergement créerait un choc industriel majeur : réarchitecture, double run, re-certification, mobilisation durable des équipes et ralentissement de l’innovation », écrivent-ils. Pour ces acteurs, l'enjeu dépasse largement les seuls coûts techniques ou financiers. C'est la capacité même des entreprises à développer de nouveaux services qui serait affectée. 

Selon le collectif, les patients et les soignants, dont la sécurité des données est au cœur des préoccupations du gouvernement, seraient les grands oubliés du débat : « Nous contraindre à migrer reviendrait à détourner des ressources qui pourraient être consacrées à l'innovation. À terme, cela pourrait aussi affecter l'accès aux soins », estime un de ses porte-paroles, dans une interview exclusive accordée à la rédaction. Ce dernier met également en garde contre les conséquences opérationnelles d'éventuelles interruptions ou dégradations de service. « Si certains outils deviennent temporairement indisponibles, les professionnels de santé en subiront directement les effets. Lors de précédentes crises cyber, nous avons déjà constaté la pression considérable que cela peut faire peser sur les équipes médicales. » 

Quand les normes cyber handicapent la sécurité  

À ces arguments s'ajoute une dimension sécuritaire. Selon les signataires, une migration imposée pourrait paradoxalement affaiblir, au moins temporairement, la posture cyber des organisations concernées. « Une migration imposée pourrait détourner les équipes sécurité et engineering des actions les plus utiles contre le risque cyber », avancent-ils. Handicap pour les petites structures, perte de compétitivité, ralentissement de l’innovation, risques pour les soignants et les patients, affaiblissement de la cybersécurité : pour le collectif, la généralisation de SecNumCloud ne serait pas une simple évolution réglementaire. Elle représenterait une menace pour l’écosystème de la santé numérique. 

« C’est comme si on nous demandait de déménager dans une maison avec une fuite dans le toit et sans électricité, alors qu’aujourd’hui nous sommes dans un hôtel cinq étoiles »

Derrière ce plaidoyer au nom de l’intérêt public se cache aussi une préoccupation plus prosaïque : l’impact économique d’une migration vers un hébergeur qualifié SecNumCloud. « C’est très coûteux, en temps et en argent », résume l’un des porte-paroles. Un impact qui dépendrait de plusieurs facteurs : la taille de l’entreprise, le niveau d’intégration avec l’hébergeur actuel ou encore la complexité des infrastructures techniques. Selon les estimations du collectif, un acteur comme Doctolib devrait ainsi consacrer entre 2 et 5 millions d’euros à une telle migration, pour un chantier qui pourrait s’étaler sur 24 à 36 mois. L’un des membres affirme d’ailleurs avoir déjà engagé des discussions avec OVHcloud pour anticiper cette éventualité. « On s’attend à au moins 30 % d’augmentation des coûts d’hébergement », explique-t-il. Au-delà de l’aspect financier, les acteurs concernés mettent aussi en avant une perte de confort. « C’est comme si on nous demandait de déménager dans une maison avec une fuite dans le toit et sans électricité, alors qu’aujourd’hui nous sommes dans un hôtel cinq étoiles », illustre un membre de Santé Numérique.  

Pour une souveraineté mesurée autrement 

L’argument peut toutefois susciter un malaise. Au premier abord, il semble opposer deux impératifs : la pérennité économique des entreprises d’un côté et la protection des données de santé de l’autre. Dans ce débat, l’État se positionne naturellement comme le garant de la sécurité des patients, tandis que les entreprises alertent sur les conséquences opérationnelles et économiques d’une exigence qu’elles jugent trop contraignante. Plutôt que de rejeter l’objectif de sécurité, les acteurs du collectif affirment chercher un compromis, des garanties suffisantes sans imposer systématiquement SecNumCloud. Selon eux, le niveau d’exigence associé à cette qualification serait disproportionné au regard des besoins de certains acteurs. Un point qui s’explique notamment par la lourdeur du référentiel : son obtention implique de répondre à près de 1 200 exigences de sécurité. 

« Nous nous considérons comme des acteurs souverains qui veulent rayonner à l’international. Nous partageons cet objectif de souveraineté. Mais pour nous, la bonne réponse n’est pas SecNumCloud »

Le collectif ne remet pas en cause la nécessité de renforcer la sécurité numérique. Il conteste en revanche l’idée que SecNumCloud devienne l’unique référence en matière de souveraineté. Les signataires défendent plutôt un « score de souveraineté ». Celui-ci permettrait d’évaluer les garanties apportées par chaque acteur, en tenant compte des dispositifs déjà en place : la certification ISO standards, la certification Hébergeur de données de santé (HDS) ou encore les exigences du programme Ségur du numérique en santé. Pour le collectif, ces démarches ne doivent pas être balayées. « Les audits pragmatiques, les tests d’intrusion... Tous ces dispositifs de sécurité ont fait leurs preuves : ne les ignorons pas », défend un porte-parole. Selon lui, le risque est de dévaloriser le travail déjà réalisé par les acteurs du secteur. « J’ai l’impression que tout ce qu’on a mis en place, on essaie de le détricoter pour légitimer que SecNumCloud est meilleur », regrette-t-il. 

Un cadre européen 

Le collectif imagine un « score de souveraineté » qui dépasserait les frontières françaises. Il plaide pour un cadre européen, notamment dans l’attente du règlement Espace européen des données de santé (EHDS). Pour ses membres, ce texte pourrait permettre de clarifier les règles en matière d’hébergement des données de santé et de définir le niveau de souveraineté attendu. « On aimerait que ça arrive le plus vite possible », glisse un représentant. L’échelle européenne est, pour eux, essentielle. Une obligation SecNumCloud limitée au marché français pourrait, selon le collectif, fragiliser la capacité des entreprises tricolores à se développer à l’international. « Nous nous considérons comme des acteurs souverains qui veulent rayonner à l’international. Nous partageons cet objectif de souveraineté. Mais pour nous, la bonne réponse n’est pas SecNumCloud », défend un porte-parole. 

Le débat repose en réalité sur une question plus large : SecNumCloud est-il un label de souveraineté ou uniquement un label de sécurité ? À l’origine, la qualification créée par Agence nationale de la sécurité des systèmes d'information (ANSSI) n’a jamais eu vocation à couvrir l’ensemble des dimensions de la souveraineté numérique. Elle vise avant tout à garantir un niveau élevé de confiance dans les services cloud, notamment face aux risques cyber et aux législations extraterritoriales. Lors d’une table ronde organisée au Salon de la Souveraineté Numérique à Paris, un représentant de l’Anssi, Renan Choyer, rappelait récemment : « Nous n’employons jamais le terme de cloud souverain. Nous parlons uniquement de cloud de confiance. » 

SecNumCloud est-il un label de souveraineté ? 

Pour autant, l’amalgame entre SecNumCloud et souveraineté s’est progressivement installé. Une confusion renforcée par la communication publique : le gouvernement présente désormais cette qualification comme « un des piliers de sa stratégie de souveraineté ». Dans un post publié sur LinkedIn en janvier 2026, le directeur général de l’Anssi, Vincent Strubel, reconnaissait lui-même la difficulté à répondre simplement à la question : SecNumCloud est-il un label de souveraineté ? « Il est dans l’absolu difficile de répondre à cette question, vu que le concept de souveraineté numérique n’est quasiment jamais défini, et que tout le monde lui donne un sens différent », écrivait-il. Selon lui, SecNumCloud peut bien être considéré comme un outil au service de la souveraineté. Mais il ne couvre pas toutes ses dimensions. La qualification apporte des garanties fortes sur la sécurité et la protection contre certains risques juridiques étrangers. Elle ne supprime pas, en revanche, toutes les dépendances technologiques : choix limité de solutions, dépendance à certains fournisseurs ou absence d’alternatives stratégiques restent des sujets distincts.

Pour l'Anssi, « les critères (…) du référentiel SecNumCloud sont, à date, le seul moyen identifié de couvrir le risque lié au droit non européen »

« C’est difficile d’y voir clair », préfère interpréter le collectif. Sa lettre propose plutôt une stratégie de résilience fondée sur « une cartographie des dépendances critiques, la priorisation des briques réellement sensibles, des plans de continuité, la réversibilité, la diversification raisonnée et la montée en maturité européenne sur les composants les plus stratégiques ». Les bonnes idées de cette lettre s’équilibrent toutefois avec d’autres, plus controversées. Car, si le collectif reconnaît que le risque d’accès aux données par des autorités étrangères doit être pris au sérieux, il estime que celui-ci pourrait être contenu par d’autres mécanismes comme le chiffrement. Une idée répandue, mais déjà réfutée par Vincent Strubel dans son post Linkedin.  « Il est impossible de couvrir les risques liés au droit applicable par des exigences purement techniques. Le chiffrement des données par exemple, ne protège pas du CLOUD Act : le prestataire de cloud a forcément, tôt ou tard, accès à la clé de chiffrement ». 

SecNumCloud est-il un label de souveraineté ? 

De plus, miser principalement sur le chiffrement soulève des interrogations à l’heure où la menace quantique pousse progressivement les acteurs à anticiper une transition vers des standards cryptographiques post-quantiques. Ces exigences ne sont pas encore pleinement imposées, mais devraient le devenir dans les prochaines années. Pour l’Anssi, cette approche ne suffit donc pas à répondre à l’ensemble des risques. « Les critères (…) du référentiel SecNumCloud sont, à date, le seul moyen identifié de couvrir le risque lié au droit non européen », estime l’agence. Faut-il pour autant en déduire que SecNumCloud doit devenir incontournable pour tous les acteurs de l’innovation en santé ? C’est précisément le point de friction. Pour les autorités, le niveau de sensibilité des données de santé et la multiplication des cyberattaques contre les établissements sanitaires justifient des garanties fortes. Pour les entreprises du collectif, ces garanties ne doivent pas nécessairement passer par un unique référentiel. 

Au fond, tous les acteurs semblent attendre une clarification. Faut-il faire de SecNumCloud le standard de référence ? Construire un score de souveraineté européen lisible et comparable ? Ou encore définir des exigences différentes selon les niveaux de risque, comme certains travaux menés dans le cadre du CADA semblent l’envisager ? Au fond, la santé réclame un cadre. Et le collectif espère qu’il ne sera pas trop exigeant.