L’argument de souveraineté est utilisé à tort par certaines solutions qui s’appuient sur des infrastructures Cloud américaines. Il est urgent d’avoir de véritables solutions souveraines, et non un simple maquillage “Made in France” sur des technologies américaines.

Le paradoxe des solutions “souveraines” françaises

Dans l’écosystème de la e-santé française, un phénomène inquiétant se développe : l’illusion de souveraineté.

Imaginons un chatbot médical se revendiquant “Made in France”, utilisant un modèle d’IA français comme Mistral, certifié HDS et conforme au RGPD. À première vue, tous les indicateurs de souveraineté semblent réunis. Pourtant, si à un moment de la chaîne de traitement - que ce soit pour l’hébergement de l’application, le stockage des données, ou l’infrastructure de calcul - les données transitent ou sont stockées sur des serveurs américains, l’ensemble de la solution devient vulnérable aux lois extraterritoriales américaines.

Cette situation illustre un problème systémique : derrière les étiquettes rassurantes de “Made in France”, “conforme RGPD” ou “certifié HDS”, se cache une réalité plus complexe. Une part importante de ces solutions repose sur des infrastructures cloud américaines, exposant ainsi les données de santé des citoyens français à des risques juridiques majeurs, indépendamment de la qualité ou de l’origine du modèle d’IA utilisé.

Le cadre juridique américain : CLOUD Act et FISA 702

Deux textes législatifs américains créent un risque structurel pour les données hébergées sur des infrastructures américaines, même situées en Europe :

  • Le CLOUD Act permet aux autorités américaines d’exiger des fournisseurs de services cloud américains qu’ils transmettent des données stockées n’importe où dans le monde, y compris en Europe.

  • La section 702 du FISA autorise les agences de renseignement américaines à collecter sans mandat individuel des données électroniques de non-Américains auprès de fournisseurs américains. Comme le souligne la CNIL dans son mémoire au Conseil d’État, cela soulève de sérieuses préoccupations quant à la souveraineté et à la confidentialité des données.

Une reconnaissance officielle au Sénat français

Cette réalité a été confirmée lors d’une audition au Sénat français en juin 2025, où un représentant de Microsoft France a reconnu ne pas pouvoir garantir que les données françaises ne seraient jamais transmises aux autorités américaines sans accord préalable des autorités françaises.

Cette déclaration met en lumière une vulnérabilité systémique qui touche l’ensemble des solutions françaises s’appuyant sur des infrastructures américaines.

L’ambiguïté de la certification HDS

La certification HDS (Hébergeur de Données de Santé), censée garantir la capacité d’héberger en toute sécurité des données de santé, n’exclut pas l’hébergement sur des infrastructures américaines. Cette certification se concentre sur la sécurité technique et organisationnelle, mais ne prend pas en compte les risques juridiques liés aux lois extraterritoriales américaines.

Un hébergeur peut donc être certifié HDS tout en exposant les données à un risque de réquisition par les autorités américaines.

Les conséquences de cette ambiguïté

Cette situation crée plusieurs problèmes majeurs :

  • Pour les utilisateurs, qu’il s’agisse de professionnels de santé ou de citoyens, une confusion existe sur le niveau réel de protection de leurs données. L’affichage de labels “Made in France” ou de certifications peut créer une impression de sécurité qui ne correspond pas à la réalité juridique.

  • Pour le débat public, cette ambiguïté complique la discussion sur la souveraineté numérique en santé et empêche une prise de décision éclairée sur les investissements nécessaires.

  • Pour l’écosystème européen, tant que les solutions s’appuient massivement sur des infrastructures américaines, les investissements dans des alternatives véritablement européennes restent limités, bloquant l’émergence d’une autonomie stratégique.

Les principes d’une véritable souveraineté

Pour qu’une solution soit véritablement souveraine, plusieurs critères doivent être réunis :

  • Être opérée par une entreprise non soumise aux lois extraterritoriales américaines
  • Être hébergée sur des infrastructures européennes contrôlées par des entités européennes
  • Utiliser des technologies open source permettant l’audit et la maîtrise technique
  • Garantir juridiquement qu’aucun transfert de données ne peut avoir lieu sans accord des autorités européennes

Appel à l’action

Les pouvoirs publics doivent imposer une transparence réelle sur l’hébergement et le traitement des données de santé. Les acteurs de la e-santé doivent assumer clairement leurs choix technologiques. Les utilisateurs doivent être informés des risques réels associés aux solutions qu’ils utilisent.

Des investissements importants dans des infrastructures européennes souveraines sont nécessaires. Cette souveraineté a un coût, mais l’illusion de souveraineté pourrait nous coûter bien plus cher en termes de confiance, de sécurité des données et d’autonomie stratégique.

La souveraineté numérique en santé ne doit pas être une simple étiquette marketing, mais une réelle protection des droits fondamentaux des citoyens européens.