La souveraineté numérique en santé : le combat invisible de l'Europe

Pendant que l’Europe légifère, d’autres construisent les infrastructures. Dans ce domaine, celui qui contrôle l’architecture finit par contrôler la médecine. Et les architectures, une fois installées, ne se remplacent pas facilement.

En 2022, un hôpital universitaire allemand décide de moderniser son système d’information. Plusieurs mois d’analyse, plusieurs prestataires évalués. La direction informatique retient finalement une solution cloud. Performante, évolutive, certifiée conforme au RGPD. Le prestataire est américain.

Ce choix, loin d’être une exception, se répète chaque semaine dans des dizaines d’établissements à travers l’Europe. Aucun directeur informatique ne fait là un choix délibérément politique. Il choisit ce qui fonctionne, ce qui est disponible, ce qui entre dans le budget, ce que ses pairs ont déjà adopté.

C’est précisément là que réside le problème.

La dépendance numérique de l’Europe en santé ne s’est pas construite par décision. Elle s’est construite par accumulation — des milliers de choix rationnels, pris un à un, dans des établissements qui n’avaient ni le temps ni les ressources pour raisonner autrement. Et aujourd’hui, cette dépendance est devenue structurelle. Difficile à mesurer. Encore plus difficile à inverser.

1 — Trois hyperscalers, 70 % du marché

Les chiffres sont rarement cités ensemble, mais ils méritent d’être lus de front.

En 2024, le marché européen des services cloud infrastructure atteignait 61 milliards d’euros. Sur ce marché, AWS, Microsoft Azure et Google Cloud captaient 70 % des revenus. La part des acteurs européens — OVHcloud, Deutsche Telekom, SAP — stagnait autour de 15 %, après être tombée de 29 % en 2017. En sept ans, pendant que le marché sextuplait, les fournisseurs européens ont vu leur part relative divisée par deux.

Dans le secteur de la santé, la concentration est encore plus marquée. Les grandes plateformes cloud dédiées à la santé — AWS Healthcare, Microsoft Cloud for Healthcare, Google Cloud for Healthcare — proposent des environnements intégrés : stockage, traitement, conformité réglementaire, outils d’IA, APIs de connexion avec les systèmes hospitaliers. Ces environnements sont bien conçus. Ils fonctionnent. Et ils créent exactement le type de dépendance qu’il devient coûteux de défaire une fois qu’on s’y est installé.

2 — Le Cloud Act : quand la localisation ne suffit pas

En 2018, les États-Unis adoptent le CLOUD Act — Clarifying Lawful Overseas Use of Data Act. Le texte est technique, peu couvert par la presse généraliste. Son principe : les autorités américaines peuvent exiger d’une entreprise américaine qu’elle leur transmette des données, quelle que soit la localisation physique des serveurs concernés.

AWS est américain. Azure est américain. Google Cloud est américain.

Ces trois acteurs hébergent une fraction croissante des données de santé européennes — données parfois localisées physiquement dans des datacenters en Irlande, en Allemagne ou aux Pays-Bas, conformément au RGPD. Les contrats sont en règle. Les certifications sont valides. Les données ne quittent pas le sol européen. Mais elles restent juridiquement exposées à un droit extra-territorial que l’Europe ne contrôle pas.

Dans la seule seconde moitié de 2024, Microsoft a reçu 173 demandes de données d’entreprises cloud émanant de forces de l’ordre mondiales, selon ses propres rapports de transparence. Le cas des données de santé est particulièrement sensible : une demande formulée dans le cadre d’une enquête criminelle américaine peut techniquement atteindre des données de patients européens hébergées chez un prestataire américain, même certifié RGPD.

L’Europe n’a pas d’accord de partage de données équivalent à celui qu’ont signé les États-Unis et le Royaume-Uni. Ce vide juridique est documenté, reconnu, et sans réponse structurelle satisfaisante à ce jour.

La réponse des hyperscalers a consisté à proposer des offres de « cloud souverain » — Microsoft Cloud for Sovereignty, Google Sovereign Cloud — où les données sont gérées par des entités juridiques européennes distinctes. Ces offres répondent à une partie des préoccupations. Elles ne les dissolvent pas puisque les sociétés mères restent américaines, exposées au droit américain.

3 — Gaia-X : l’histoire d’une ambition qui a rencontré ses propres limites

En 2019, la France et l’Allemagne lancent Gaia-X. L’ambition est explicite : construire une infrastructure cloud européenne interopérable, souveraine, basée sur des standards ouverts. Un « Airbus du cloud », selon la formule qui circulait alors dans les couloirs bruxellois.

Cinq ans plus tard, le bilan est difficile à présenter sans nuances.

Gaia-X a produit des standards, des groupes de travail, des certifications. Il a fédéré plusieurs centaines d’organisations membres. Il n’a pas produit d’alternative opérationnelle aux hyperscalers américains.

Ce qu’il s’est passé en coulisses est documenté par plusieurs des protagonistes eux-mêmes. L’initiative avait été conçue pour contrer la domination des grands fournisseurs américains. Mais ces mêmes fournisseurs — Amazon, Microsoft, Google — ont été admis comme membres de l’association. Et selon Frank Karlitschek, fondateur de Nextcloud et membre actif du projet, ils ont ensuite « inondé les comités techniques de documents et d’orientations que la communauté européenne ne pouvait pas absorber », orientant progressivement les standards dans une direction compatible avec leurs propres offres.

Francesco Bonfiglio, ex-directeur général de Gaia-X, a lui-même admis que « le projet était peut-être trop ambitieux » et que « les différences internes ont ralenti les choses au moment où il fallait accélérer ». La part de marché des fournisseurs cloud européens, loin de progresser, a continué de régresser pendant toute la durée du projet.

En 2024, l’Allemagne — pourtant cofondatrice de Gaia-X — engageait 3 milliards de dollars dans un contrat avec Oracle Cloud Infrastructure.

Il s’agit d’un problème structurel profond car l’Europe doit construire une alternative à des acteurs qui ont dix ans d’avance, des économies d’échelle sans comparaison et la capacité de participer activement aux processus qui sont censés les encadrer.

4 — Le pouvoir discret des standards

Il existe une forme de domination moins visible que la part de marché : le pouvoir de définir les standards techniques.

Dans le domaine des données de santé, les formats d’échange déterminent concrètement qui peut lire quoi, qui peut connecter quoi, qui peut entraîner quoi sur quelles données. Le standard dominant pour l’interopérabilité des données médicales s’appelle HL7 FHIR — Fast Healthcare Interoperability Resources. Il est développé par HL7 International, organisation américaine fondée en 1987, dont les travaux techniques sont massivement portés par des ingénieurs issus de l’industrie américaine de la santé.

HL7 FHIR est un bon standard. Il est ouvert, documenté, progressivement adopté en Europe. La Commission européenne l’a retenu comme référence dans le cadre de l’EHDS. HL7 Europe travaille à des guides d’implémentation spécifiques au contexte européen.

Mais voici ce que cette situation produit concrètement : l’Europe adopte un standard qu’elle n’a pas défini, dont les évolutions sont décidées dans des processus où sa représentation est minoritaire, et dont les implémentations les plus matures sont portées par des acteurs américains — Epic, Oracle Health, Microsoft — qui ont forgé leurs outils sur le marché américain avant d’arriver en Europe.

On assiste à maintenant à un effet de séquence. Celui qui définit le standard en premier forge l’écosystème, attire les développeurs, structure les formations, crée les intégrations. Celui qui arrive ensuite s’y adapte.

Et dans le domaine médical, les effets de verrouillage sont particulièrement prononcés. Une migration de système hospitalier — remplacer un logiciel de dossier patient par un autre — représente entre 50 et plusieurs centaines de millions d’euros selon la taille de l’établissement, des années de migration de données, des formations longues, des interruptions de service inacceptables. Un hôpital qui a adopté Epic ou Oracle Health ne change pas de système par caprice réglementaire. Il devient structurellement captif.

En 2024, Epic contrôlait plus de 42 % du marché américain des dossiers hospitaliers — avec une progression continue depuis dix ans. Il réalisait 4,9 milliards de dollars de revenus annuels. Sa plus grande mise en service internationale avait eu lieu… au NHS britannique.

5 — La course à l’IA médicale : une asymétrie qui s’auto-renforce

En 2023, Truveta — un consortium de quatorze grands réseaux hospitaliers américains — annonçait disposer de l’une des plus grandes bases de données cliniques en temps réel au monde. Des dizaines de millions de dossiers patients, mis à jour en continu, structurés pour l’entraînement de modèles d’IA. Des acteurs comme Google Health, Microsoft et Tempus AI entraînent leurs modèles sur des volumes qui n’ont pas d’équivalent en Europe.

La même année, selon la Commission européenne, moins de 20 % des établissements européens peuvent contribuer à des projets d’IA sans retraitement préalable de leurs données.

Cet écart est le produit d’une décennie de choix différents sur la structure des données, leur accessibilité, leur standardisation. Les États-Unis ont construit — souvent via des acteurs privés, parfois contestables sur d’autres plans — des infrastructures de mutualisation qui n’existent pas à l’échelle européenne. La Chine a pris une voie différente : centralisée, étatique, rapide, avec des programmes nationaux en imagerie médicale portant sur plusieurs centaines de millions d’examens.

L’Europe, pendant ce temps, a produit des textes. De très bons textes — les plus protecteurs au monde sur certains aspects. Mais des textes qui encadrent des usages sans avoir construit les infrastructures qui les rendraient possibles.

La conséquence est documentée par Nature Medicine (2023) : un modèle d’IA entraîné sur une population non représentative perd jusqu’à 30 % de performance diagnostique sur des cohortes locales. En pratique : si les modèles dominants sont entraînés principalement sur des populations américaines, leurs performances en Europe — sur des populations différentes, avec des pratiques cliniques différentes, des épidémiologies différentes — seront structurellement dégradées.

La dépendance cesse alors d’être seulement économique pour devenir clinique.

6 — L’EHDS : nécessaire, insuffisant, tardif

L’Espace Européen des Données de Santé est entré en vigueur en mars 2025. C’est une avancée réelle — peut-être la plus ambitieuse tentative de l’Europe pour créer un cadre commun d’accès et d’échange pour ses données de santé.

Le règlement crée des droits pour les patients, impose des obligations d’interopérabilité aux éditeurs, et établit une infrastructure de gouvernance pour la réutilisation des données à des fins de recherche. C’est exactement le type de levier structurel dont l’Europe avait besoin.

Mais une analyse critique de l’organisation SOMO, publiée en 2024, pointe une limite que peu de commentateurs ont relevée : l’EHDS crée une demande massive de services cloud et d’infrastructure numérique pour la santé — et ce sont précisément les acteurs Big Tech qui sont le mieux positionnés pour y répondre. En imposant l’interopérabilité sans construire l’infrastructure, le règlement risque de renforcer la position des acteurs déjà en place plutôt que de la contester.

Le calendrier aggrave le problème. Les premières obligations substantielles s’appliquent à partir de 2029. Les données génomiques et les historiques complets ne seront intégrés qu’à partir de 2031. La mise en œuvre dépend de la capacité de chaque État membre à moderniser des infrastructures hospitalières dont on connaît l’état — et les obstacles sont considérables.

Pendant ce délai de mise en œuvre, les acteurs qui ont déjà construit leurs écosystèmes continuent de les développer. L’écart ne se réduit pas pendant les années de transition réglementaire. Il se creuse.

7 — Pourquoi les dépendances résistent

Il existe un mécanisme que les économistes appellent le path dependency — la dépendance au sentier. Une infrastructure adoptée crée des compétences, des intégrations, des habitudes, des formations, des appels d’offres qui la présupposent. Elle devient progressivement le point de référence autour duquel tout le reste s’organise. La changer n’est plus une décision technique — c’est une décision organisationnelle, politique et financière de premier ordre.

Dans la santé numérique, plusieurs mécanismes renforcent cette inertie.

Les coûts de migration, d’abord. Un hôpital qui change de logiciel de dossier patient consacre plusieurs années de travail et plusieurs dizaines à plusieurs centaines de millions d’euros à cette transition. Il forme ses équipes, migre ses données, reconfigure ses processus. Ce coût est à la fois financier, humain et organisationnel. Dans un environnement déjà sous pression, peu d’établissements prennent ce risque volontairement.

Les effets réseau, ensuite. Plus un système est utilisé, plus il attire de développeurs, d’intégrateurs, de formations disponibles, de modules tiers. Un écosystème bien établi devient structurellement difficile à concurrencer non pas parce qu’il est meilleur techniquement, mais parce qu’il est plus connecté. Epic, avec 42 % du marché américain, bénéficie d’un effet réseau que nul acteur européen ne peut répliquer sur son propre marché fragmenté.

La dépendance aux compétences, enfin. Les ingénieurs formés sur AWS, sur les APIs de Microsoft Azure, sur les outils d’IA de Google Cloud constituent un capital humain qui oriente les choix futurs. Une DSI hospitalière dont toute l’équipe maîtrise l’écosystème Azure ne va pas spontanément migrer vers une alternative européenne — même si celle-ci existait.

Ces trois mécanismes s’auto-renforcent. Et ils opèrent silencieusement, sans qu’aucune décision délibérée ne soit nécessaire.

8 — L’Europe a souvent raison trop tôt — ou trop tard

Il serait inexact de décrire l’Europe comme passive ou naïve. Elle a produit le RGPD — copié depuis dans de nombreuses législations mondiales. Elle est en train de produire l’AI Act. Elle a lancé l’EHDS. Elle travaille à des « cloud souverains » de confiance via des certifications comme SecNumCloud en France.

Mais il y a un décalage chronologique systématique entre le moment où l’Europe identifie les enjeux et le moment où elle dispose des outils pour les adresser. Ce délai reflète la difficulté structurelle d’un espace politique à 27 États membres, avec des intérêts divergents, des niveaux de maturité numérique inégaux, et des capacités d’investissement public très différentes selon les pays.

Le résultat est un paradoxe documenté par l’ancien directeur général de Gaia-X : l’Europe est le meilleur producteur mondial de régulation numérique. Elle peine à transformer cette régulation en capacité industrielle.

Réguler des systèmes qu’on ne contrôle pas est possible — le RGPD l’a montré. Mais cette régulation a ses limites quand les acteurs régulés disposent des ressources pour l’absorber, s’y adapter, voire l’orienter. Les grandes entreprises technologiques américaines ont investi massivement dans leur conformité RGPD, dans leurs offres « cloud souverain », dans leur participation aux processus de standardisation européens. Elles se sont adaptées. Et elles sont restées dominantes.

Conclusion

La souveraineté numérique en santé ne se jouera pas sur un texte de loi. Elle se joue maintenant, dans des choix d’architecture qui semblent anodins — le prestataire cloud retenu pour un CHU, le standard adopté pour les dossiers patients, le modèle d’IA intégré dans un outil de diagnostic. Ces choix ne sont pas réversibles à court terme. Ils créent des dépendances qui durent quinze à vingt ans.

L’Europe n’est pas sans ressources. Elle a des données, des talents, des systèmes de santé publics parmi les mieux documentés au monde. Elle a une réglementation que d’autres lui envient.
Ce qu’elle n’a pas encore réussi à construire, c’est l’infrastructure qui transformerait ces atouts en indépendance réelle. Et chaque année de retard est une année de dépendance supplémentaire dont le coût ne se verra pas immédiatement — mais se paiera, plus tard, quand il sera devenu trop coûteux de changer.