En 2 phrases. Le Cloud Act (loi américaine de 2018) permet à un procureur US d'exiger l'accès aux données détenues par une entreprise américaine ou sa filiale — même si ces données sont sur le sol européen. SecNumCloud(qualification française de l'ANSSI) garantit qu'un service cloud est immunisé à cette contrainte.
Le Cloud Act, en clair
Adopté en mars 2018 par le Congrès américain, le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) permet aux autorités judiciaires américaines d'exiger d'une entreprise soumise au droit US la communication de données qu'elle détient, peu importe où ces données sont physiquement stockées.
Exemple concret : si vos données santé sont chez AWS Paris (AWS Europe SARL), un procureur fédéral américain peut obliger Amazon Web Services Inc. à les lui remettre. Même si elles sont chiffrées au repos, si AWS détient la clé, il doit la livrer. La société française AWS Europe, filiale d'Amazon, est soumise à cette injonction par ricochet.
Pourquoi c'est un problème pour la santé
Les données de santé sont classées « données sensibles » par le RGPD article 9. Elles ne peuvent être transférées hors UE que sous conditions strictes. Le Cloud Act crée un conflit de lois : l'hébergeur américain est pris entre une obligation US (livrer) et une interdiction européenne (ne pas transférer).
La CJUE a invalidé le Privacy Shield en 2020 (arrêt Schrems II), précisément parce que les lois de surveillance américaines (dont le Cloud Act) sont jugées incompatibles avec le niveau de protection européen.
Conséquence pratique.Utiliser AWS ou Azure pour héberger des données de santé françaises, même dans une région européenne, reste juridiquement fragile. Les plateformes qui le font le savent. Beaucoup l'acceptent en misant sur le fait qu'aucun procureur américain ne s'intéresse à des dossiers médicaux français anonymes.
SecNumCloud, l'antidote français
SecNumCloud est une qualification délivrée par l'ANSSI(Agence nationale de la sécurité des systèmes d'information) aux prestataires cloud qui remplissent des critères stricts :
- Juridiction française ou européenne — la société qui opère le cloud n'est pas soumise au Cloud Act
- Capital majoritairement européen — pas de contrôle par une entité soumise au droit extra-européen
- Infrastructure physique en France ou UE — pas de stockage ni traitement hors UE
- Personnel habilité — les personnes ayant accès technique aux données sont européennes et habilitées
- Exigences de sécurité élevées — basées sur les standards ISO 27001, SecNumCloud étant plus strict
En France, seuls quelques prestataires sont qualifiés SecNumCloud à ce jour : principalement OVHcloud, Outscale (groupe Dassault) et Scaleway.
SecNumCloud n'est pas « juste » un hébergeur français
Beaucoup de plateformes santé françaises hébergent chez un prestataire français qui revend du AWS : techniquement en France, légalement soumis au droit américain via la sous-traitance. SecNumCloud interdit explicitement cette configuration.
La qualification exige aussi que le prestataire refuse toute injonction étrangère, documente toutes les requêtes judiciaires reçues, et soit audité régulièrement par l'ANSSI.
Le tableau comparatif
- AWS / Azure / Google Cloud Europe : soumis au Cloud Act, procureur US peut contraindre
- Prestataire français revendant AWS/Azure : même contrainte par ricochet
- Prestataire HDS classique : hébergement en France, mais pas nécessairement SecNumCloud (peut avoir des dépendances US)
- Prestataire SecNumCloud : immunité Cloud Act garantie par l'ANSSI
Où en sont les acteurs français de la santé numérique ?
La situation est hétérogène :
- Mon Espace Santé / DMP : hébergé sur Atos (aujourd'hui Eviden), infrastructure souveraine
- Doctolib : hébergement en France mais partiellement AWS — point de friction lors de l'audition Sénat de 2021
- WEDA, Maiia, certains LGC : hébergement variable, souvent sur fournisseurs français
- Nombreuses startups santé : AWS ou Azure par défaut, pour des raisons de vitesse de mise sur le marché
Comment vérifier où vos données santé sont hébergées
Vous avez le droit de le savoir. Voici comment exercer ce droit :
- Consultez les mentions légales de l'application ou du site — l'identité de l'hébergeur est obligatoire
- Demandez à leur DPO par email — la réponse doit arriver sous 1 mois (article 15 RGPD)
- Vérifiez la qualification HDS — obligatoire pour toute donnée de santé, vérifiable sur le site de l'ANS
- Cherchez la mention SecNumCloud — si absente, demandez explicitement la conformité Cloud Act
L'engagement MDMC
My Data My Care a fait le choix de l'hébergement chez un prestataire français certifié HDS, avec qualification SecNumCloud en cours. Notre architecture zero-knowledge ajoute une couche supplémentaire : même en cas d'injonction, nous ne détenons pas les clés de déchiffrement. Vos données sont illisibles sans votre accord cryptographique.
C'est écrit dans nos CGV, vérifiable dans notre architecture, et compte parmi nos engagements du manifeste.
À retenir
Le choix d'hébergement n'est pas un détail technique. Il détermine qui, dans le monde, peut légalement accéder à vos données santé. SecNumCloud + chiffrement zero-knowledgeest aujourd'hui le plus haut niveau de souveraineté numérique en Europe. Les autres options impliquent, à différents degrés, des compromis sur votre vie privée médicale.