Nos données de santé n’ont jamais été aussi nombreuses. Résultats d’analyses, comptes rendus opératoires, ordonnances dématérialisées, objets connectés ou applications de suivi du sommeil… À chaque interaction avec le système de soins ou avec une application “bien-être”, nous laissons une trace. Invisible, technique, mais hautement stratégique. À qui appartiennent réellement ces données ? Et surtout, qui les contrôle? Derrière cette question se joue un affrontement discret entre États, hôpitaux, géants technologiques et citoyens.
Le cadre juridique : le RGPD et le Code de la santé publique
En Europe, la protection repose d’abord sur le Règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018 (Règlement UE 2016/679). Son article 9 classe les données de santé parmi les “catégories particulières de données”, dont le traitement est en principe interdit sauf exceptions strictes (soins, recherche, intérêt public en matière de santé).
En France, ce socle est complété par le Code de la santé publique (articles L1110-4 et suivants sur le secret médical) et la loi Informatique et Libertés modifiée. La CNIL, basée à Paris, est chargée du contrôle.
Le patient n’est pas “propriétaire” mais il dispose de plusieurs droits : accès, rectification, limitation, opposition, portabilité. Les établissements, eux, sont responsables du traitement.
Hôpitaux, Dossier Médical Partagé et Health Data Hub
En France, le Dossier Médical Partagé (DMP), intégré depuis 2022 dans Mon espace santé (piloté par l’Assurance Maladie et le ministère de la Santé), centralise les données médicales des assurés.
Le système est hébergé par des prestataires certifiés HDS, qui signifie “Hébergement de Données de Santé”. Il s’agit d’une certification obligatoire en France pour toute entreprise qui héberge des données de santé à caractère personnel pour le compte d’un tiers.
Cette obligation découle de l’article L1111-8 du Code de la santé publique. Depuis 2018, la certification HDS remplace l’ancien système d’agrément ministériel. Elle est délivrée par des organismes certificateurs accrédités sous le contrôle du Comité français d’accréditation (COFRAC).
Concrètement, pour être certifié HDS, un hébergeur doit démontrer :
- Un haut niveau de sécurité physique des data centers
- Des protocoles stricts de cybersécurité
- Une traçabilité complète des accès
- Une gestion rigoureuse des incidents
- Des garanties en matière de confidentialité
- Un cloisonnement des environnements
La certification couvre plusieurs périmètres : infrastructure physique, plateforme d’hébergement, administration système, sauvegarde, etc.
Parmi les entreprises certifiées HDS en France figurent :
- OVHcloud (Roubaix)
- Orange Business Services (Paris)
- Outscale (filiale de Dassault Systèmes, Saint-Cloud)
- Atos (Bezons)
- Amazon Web Services (AWS) – région Paris
- Microsoft Azure – région France Centre (Ile-de-France)
- Google Cloud France
La certification HDS ne signifie pas que les données restent automatiquement en France mais elle garantit un niveau de sécurité et de conformité aux exigences françaises, mais la question de la juridiction applicable dépend du droit auquel est soumise la maison-mère et c’est là que le débat devient géopolitique.
Le cas du Health Data Hub (HDH) illustre ces tensions. Créé par la loi relative à l’organisation et à la transformation du système de santé (2019), il vise à faciliter l’accès aux données pour la recherche. Initialement hébergé sur Microsoft Azure, dans des data centers situés aux Pays-Bas et en Irlande, le choix a suscité une vive controverse.
En cause : le Cloud Act américain (2018), qui permet aux autorités américaines d’exiger l’accès à des données détenues par des entreprises américaines, même si elles sont stockées hors des États-Unis. Depuis, la France pousse vers des solutions dites de “cloud de confiance”, comme celles proposées par Bleu (coentreprise Orange–Capgemini utilisant la technologie Microsoft mais sous droit français) ou S3NS (Thales + Google Cloud).
Les géants du numérique et plateformes privés
Au-delà du système public, les plateformes mondiales collectent d’immenses volumes de données de santé. Apple Inc. via l’application Apple Health et l’Apple Watch la collecte de données cardiaques, physique et de sommeil. Google opère Google Fit et possède Fitbit. Amazon Web Services (AWS), est un acteur majeur de l’hébergement cloud santé. De nombreux établissements de santé européens utilisent AWS. Des acteurs comme AXA, Allianz ou Generali développent des offres intégrant des données de prévention ou d’objets connectés. En France, la loi interdit en principe l’usage des données génétiques par les assureurs (article 16-10 du Code civil).
Ces entreprises sont soumises au RGPD pour leurs utilisateurs européens. Mais leur siège social reste américain, ce qui pose des questions d’extraterritorialité juridique
Consentement : une mécanique fragile
Juridiquement, le consentement doit être “libre, spécifique, éclairé et univoque” (article 4 du RGPD). Mais dans les faits, il repose souvent sur l’acceptation de conditions générales longues de plusieurs dizaines de pages.
Le RGPD impose aussi le principe de minimisation des données et celui de privacy by design. Pourtant, l’économie numérique repose sur la valorisation de la donnée.
La Cour de justice de l’Union européenne (CJUE) a rappelé à plusieurs reprises l’importance de la protection contre les transferts vers les États-Unis (arrêt Schrems II, 2020), invalidant le Privacy Shield. Un nouveau cadre, le Data Privacy Framework (2023), tente de stabiliser les échanges transatlantiques.
Qui décide vraiment ?
Aujourd’hui, les données de santé sont :
- Produites par les patients
- Collectées par les professionnels
- Stockées par des hébergeurs
- Exploitées par des chercheurs
- Analysées par des algorithmes
- Régulées par des autorités nationales et européennes
La propriété juridique est fragmentée. Le contrôle réel dépend de l’architecture technique et des rapports de force économiques.
La santé est devenue un champ stratégique, au croisement de la souveraineté numérique, de l’intelligence artificielle et du marché du cloud. Selon les estimations de la Commission européenne, l’espace européen des données de santé (EHDS), en cours de déploiement, pourrait générer des milliards d’euros de valeur tout en harmonisant l’accès aux données entre États membres.
Un enjeu de confiance démocratique
Au fond, la question n’est plus seulement “qui possède nos données de santé ?” mais “qui gouverne leur circulation ?”
Entre le RGPD, le Code de la santé publique, le Cloud Act américain et les stratégies de cloud souverain, le paysage juridique ressemble à un millefeuille. Les citoyens disposent de droits solides sur le papier. Mais la compréhension des flux, des serveurs et des juridictions reste opaque pour la plupart.
La donnée de santé n’est pas un simple actif numérique. Elle touche à l’intimité la plus profonde. Si elle devient un levier d’innovation et de performance économique, elle doit aussi rester un pilier de confiance.
Car sans confiance, aucun système de santé numérique ne peut durablement fonctionner.
Sources :
« Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) » – EUR-Lex
→ https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
« Hébergement de données de santé (HDS) » – Agence du Numérique en Santé (ANS)
→ https://esante.gouv.fr/
« Article L1111-8 du Code de la santé publique » – Légifrance
→ https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000038887171
« Le Health Data Hub » – Ministère de la Santé et de la Prévention
→ https://sante.gouv.fr/systeme-de-sante/
« Arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18) » – Cour de justice de l’Union européenne
→ https://curia.europa.eu/juris/liste.jsf?num=C-311/18
Étudiant en Master 2 Commerce Électronique et titulaire d’une licence en Économie.
Passionné par l’économie numérique, le e‑commerce et les stratégies d’innovation digitale, avec un intérêt particulier pour l’analyse des tendances et des transformations du marché.
