Hébergement sécurisé, chiffrement de bout en bout, cloud certifié… et pourtant le doute persiste. Nouvelle chronique autour des enjeux de souveraineté et de cybersécurité.
La souveraineté numérique est devenue l’un des sujets les plus stratégiques de l’e-santé. Longtemps réservée aux experts de la cybersécurité et aux décideurs publics, elle s’impose désormais dans le débat public à mesure que les données de santé deviennent un actif aussi sensible que précieux.
Face aux inquiétudes croissantes des professionnels et des patients, les acteurs du numérique en santé mettent régulièrement en avant leurs garanties techniques : hébergement certifié HDS, conformité RGPD, chiffrement des données ou encore sécurisation des infrastructures.
Mais une question demeure : le chiffrement est-il réellement suffisant pour garantir la souveraineté des données de santé ?
L’actualité récente autour de Doctolib montre que le sujet est bien plus complexe qu’il n’y paraît.
Pourquoi le chiffrement est devenu l’argument central des acteurs de l’e-santé
Le chiffrement constitue aujourd’hui l’un des standards de référence en matière de protection des données. Concrètement, il permet de rendre les informations illisibles pour toute personne ne disposant pas de la clé de déchiffrement. En cas de fuite ou d’interception, les données restent théoriquement inexploitables.
Dans le secteur de la santé, où les informations traitées figurent parmi les plus sensibles qui soient, cette technologie est devenue incontournable. De nombreux acteurs, dont Doctolib, ont largement investi dans des mécanismes avancés de chiffrement afin de renforcer la confidentialité des échanges entre patients et professionnels de santé.
Sur le papier, la promesse est rassurante : même les équipes techniques ne peuvent accéder au contenu des données sans autorisation spécifique. Mais cette protection technique ne répond qu’à une partie du problème.
Sécurité des données et souveraineté : deux notions souvent confondues
Dans le débat public, sécurité et souveraineté sont souvent utilisées comme des synonymes. Pourtant, ces deux concepts recouvrent des réalités très différentes. La sécurité vise à protéger les données contre les cyberattaques, les intrusions ou les accès non autorisés. La souveraineté, elle, concerne le contrôle.
- Qui héberge les données ?
- Qui détient les clés de chiffrement ?
- Qui peut accéder aux informations ?
- Sous quelle juridiction les infrastructures sont-elles placées ?
- Quels partenaires technologiques interviennent dans la chaîne de traitement ?
Autrement dit, une donnée peut être parfaitement sécurisée tout en étant soumise à des mécanismes de gouvernance ou à des réglementations qui échappent en partie au contrôle national ou européen. C’est précisément là que le débat prend une nouvelle dimension.
Le cas Doctolib relance les interrogations. Ces dernières semaines, plusieurs articles et prises de position ont relancé les discussions autour de l’utilisation des données de santé dans un contexte d’intelligence artificielle. Au cœur des interrogations : la place des partenaires technologiques internationaux dans l’écosystème numérique de santé et les conditions d’utilisation de certaines données dans le développement ou l’amélioration de services reposant sur l’IA.
Même lorsque les données sont chiffrées, de nombreuses questions émergent :
- Les données sont-elles uniquement utilisées pour le soin ?
- Quels traitements sont réalisés par les sous-traitants ?
- Les données peuvent-elles contribuer à l’entraînement ou à l’amélioration de modèles d’intelligence artificielle ?
- Quels mécanismes garantissent le contrôle des professionnels de santé et des patients ?
- Les infrastructures utilisées sont-elles soumises à des réglementations extraterritoriales ?
Le débat ne porte donc plus uniquement sur la cybersécurité. Il porte sur la maîtrise de l’ensemble de la chaîne de valeur de la donnée.
Cette question de la souveraineté numérique en santé est indissociable de celle du cloud. Aujourd’hui, une grande partie des infrastructures numériques mondiales repose sur des fournisseurs américains. Même lorsque les données sont hébergées en Europe, certaines entreprises peuvent rester soumises à des législations extraterritoriales telles que le Cloud Act américain.
Ce texte permet, dans certaines conditions, aux autorités américaines de demander l’accès à des données détenues par des entreprises relevant de leur juridiction. Le sujet est complexe et juridiquement encadré, mais il nourrit depuis plusieurs années les inquiétudes des acteurs européens de la santé. Pour certains experts, la véritable souveraineté numérique ne peut être atteinte tant que les infrastructures critiques restent dépendantes d’acteurs non européens.
Le chiffrement apparaît donc comme une condition nécessaire, mais pas suffisante. Affirmer que le chiffrement protège les données de santé est exact. Affirmer qu’il garantit à lui seul leur souveraineté est plus discutable.
Le chiffrement répond à la question : « Comment protéger les données ? »
La souveraineté répond à une autre question : « Qui contrôle les données ? »
Or, dans un environnement où les plateformes numériques, l’intelligence artificielle et les services cloud occupent une place croissante, cette seconde question devient probablement la plus stratégique. Car la valeur d’une donnée ne réside plus seulement dans son stockage. Elle réside dans son exploitation, ses usages, son partage et sa capacité à alimenter de nouveaux services.
La polémique actuelle révèle une évolution profonde des attentes. Les professionnels de santé et les patients ne demandent plus uniquement des garanties de sécurité. Ils demandent de la transparence. Ils souhaitent comprendre où vont leurs données, comment elles sont utilisées et qui en garde la maîtrise.
Dans un contexte marqué par l’essor de l’intelligence artificielle, cette exigence pourrait devenir l’un des principaux critères de confiance envers les plateformes numériques de santé. Demain, la souveraineté ne se résumera peut-être plus à la localisation des serveurs ou au niveau de chiffrement. Elle reposera sur un équilibre entre sécurité, gouvernance, transparence et indépendance technologique.
À mesure que les outils numériques s’imposent dans les parcours de soins, la question n’est plus seulement de savoir si les données de santé sont protégées. La véritable interrogation est désormais : qui en détient réellement le contrôle ?
Et c’est probablement là que se jouera l’avenir de la souveraineté numérique en santé.
Rémy Teston