Le 23 avril 2026, après sept ans de polémiques, la France a tranché. La Plateforme des Données de Santé — qui héberge les informations médicales de 67 millions de Français — quittera Microsoft pour rejoindre Scaleway, filiale française du groupe Iliad. C’est la même infrastructure qui héberge AppliCab depuis le premier jour. Et ce n’est pas un hasard.
Il y a un sujet dont on parle peu dans nos cabinets, et qu’on devrait pourtant regarder en face : où sont stockées les données de nos clients ?
Pas « sur quel logiciel », pas « dans quel cloud » — la vraie question, juridique, est plus précise : sous quelle juridiction sont-elles soumises ? Quel État, quel juge, quelle autorité peut, sur simple injonction, exiger leur transmission, sans même nous prévenir ?
Pendant longtemps, ces questions sont restées techniques, réservées aux DSI des grandes entreprises. Pour les avocats individuels, l’hébergement de leurs outils était un sujet abstrait, traité dans les CGU qu’on ne lit pas.
Mais le 23 avril 2026, l’État français a rendu cette question terriblement concrète. Et la décision qu’il a prise nous concerne directement, vous et moi, parce qu’elle valide — sept ans après — un choix que j’avais fait dans le silence d’une journée de travail, en concevant AppliCab.
Sept ans de polémique, une décision : Scaleway hébergera les données de santé des Français
Pour comprendre pourquoi cette annonce est importante, il faut un peu de contexte.
La Plateforme des Données de Santé, anciennement appelée Health Data Hub, est une infrastructure créée en 2019 pour centraliser une copie du Système National des Données de Santé : les remboursements de l’Assurance maladie, les consultations, les prescriptions, les hospitalisations. Au total, les données de santé de 67 millions de Français.
Dès sa création, le projet a été éclaboussé par une controverse : son hébergement avait été confié à Microsoft Azure. Or Microsoft, entreprise américaine, est soumise au Cloud Act, cette loi américaine de 2018 qui autorise les autorités fédérales à exiger d’une entreprise américaine la transmission des données qu’elle détient — y compris si ces données sont stockées en Europe, y compris si elles concernent des citoyens européens, y compris si l’entreprise française cliente s’y oppose.
Pendant sept ans, la CNIL, des associations, des médecins et des juristes ont alerté sur l’incompatibilité entre cette législation extraterritoriale et le RGPD. Sept ans de procédures, de débats parlementaires, de tribunes. Sept ans pendant lesquels les données médicales d’un pays tout entier sont restées exposées à un risque juridique que tout le monde reconnaissait sans vraiment l’arrêter.
Le 23 avril 2026, la décision est tombée : Scaleway, filiale française du groupe Iliad, fondée par Xavier Niel en 1999, a remporté l’appel d’offres. La sélection a été conduite par la Plateforme des Données de Santé avec l’accompagnement de la DINUM (Direction interministérielle du numérique), de l’INRIA et du ministère de la Santé. Plus de 350 critères techniques ont été passés au crible. Face à OVHcloud, Atos, Cloud Temple et Docaposte, c’est Scaleway qui a été retenue.
Dix jours plus tôt, la Commission européenne avait déjà sélectionné le même Scaleway parmi les quatre fournisseurs de son nouveau marché de cloud souverain à 180 millions d’euros, destiné aux institutions de l’Union.
Deux validations institutionnelles majeures, à dix jours d’intervalle, sur le terrain le plus exigeant qui soit : la protection de données stratégiques et sensibles.
Pourquoi un hébergement souverain pour les avocats n’est plus une question d’opinion
Vous allez me dire : très bien, mais en quoi cela concerne-t-il un cabinet d’avocat individuel ?
La réponse tient en deux mots : secret professionnel.
La logique qui a conduit l’État à exclure Microsoft pour les données de santé n’est pas spécifique à la santé. Elle vaut pour toute donnée que sa nature rend sensible. Or, ce que nous manipulons quotidiennement dans nos cabinets appartient sans ambiguïté à cette catégorie :
→ Les pièces de procédure d’un divorce conflictuel.
→ Les détails financiers d’un dossier de redressement judiciaire ou de restructuration.
→ Les correspondances stratégiques sur un contentieux commercial.
→ Les informations sur la situation personnelle des justiciables..
→ Les échanges sur une plainte pénale, une transaction délicate, un contrôle fiscal.
Tout cela est couvert par le secret professionnel. C’est-à-dire par une obligation absolue de confidentialité dont nous répondons personnellement, devant nos clients et devant l’Ordre.
Si cette matière est hébergée chez un acteur soumis à une législation extraterritoriale, alors la garantie absolue de confidentialité que nous devons à nos clients repose sur un sable juridique mouvant. Une injonction d’un juge californien adressée à la maison-mère du fournisseur, et nos correspondances clients peuvent être transmises sans que nous en soyons informés. Sans recours. Sans contestation possible.
Quand l’État a mis sept ans à comprendre que les données de santé n’avaient rien à faire chez un acteur soumis au Cloud Act, c’est, soyons honnêtes, un peu tard pour les patients. Mais c’est juste à temps pour qu’on en tire la leçon avant d’avoir notre propre réveil douloureux côté secret professionnel.
Travailler avec une messagerie WhatsApp dont vous ne connaissez pas l’hébergement, ou avec un drive grand public dont la maison-mère est californienne, devient un choix de plus en plus difficile à justifier devant un client averti — et, demain peut-être, devant un bâtonnier qui s’interrogera sur la conformité de vos outils.
La conformité RGPD de l’avocat : pourquoi Scaleway répond aux exigences les plus strictes
Le Règlement Général sur la Protection des Données (RGPD) impose à tout professionnel qui traite des données personnelles — c’est notre cas, à chaque dossier — un certain nombre d’obligations : sécurité, traçabilité, transparence, encadrement contractuel des sous-traitants, protection contre les transferts extra-communautaires non encadrés.
Scaleway a été conçue pour répondre nativement à ces exigences. Concrètement :
Une infrastructure 100 % européenne, hors d’atteinte des juridictions extra-communautaires
Les datacenters de Scaleway sont répartis sur trois régions européennes : Paris (avec quatre datacenters en France), Amsterdam et Varsovie. Aucune donnée ne quitte l’Union européenne. Et, point décisif sur le plan juridique : Scaleway étant une entreprise française détenue par un groupe français, elle n’est soumise ni au Cloud Act, ni au USA Freedom Act, ni à aucune autre législation extraterritoriale susceptible d’exiger la communication de données sans consentement du responsable de traitement.
C’est exactement ce qu’on attend d’un hébergement souverain : pas seulement une localisation géographique européenne, mais une qualification juridique européenne complète — celle de l’entreprise qui détient les serveurs.
Des certifications de sécurité au plus haut niveau
Au-delà du RGPD, Scaleway aligne plusieurs certifications qui méritent d’être citées :
→ ISO/IEC 27001:2022, la norme internationale de référence en matière de gestion de la sécurité de l’information.
→ HDS (Hébergeur de Données de Santé), certification délivrée depuis juillet 2024 par l’Agence du Numérique en Santé sous tutelle du ministère de la Santé. C’est l’une des certifications les plus exigeantes du paysage français.
→ Une démarche engagée depuis janvier 2025 pour la qualification SecNumCloud, délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Cette qualification française certifie que les solutions cloud répondent aux normes les plus élevées en matière de sécurité et de protection contre les ingérences extra-communautaires. C’est précisément cette trajectoire SecNumCloud qui a été déterminante dans le choix opéré par l’État pour la PDS.
Un encadrement contractuel rigoureux du sous-traitant
Scaleway publie un Accord sur la protection des données personnelles (DPA) public et conforme à l’article 28 du RGPD, qui définit précisément ses obligations en tant que sous-traitant : tenue d’un registre des traitements, gestion des violations de données dans les délais réglementaires, encadrement strict des sous-traitants ultérieurs, droits d’audit. Pour un avocat responsable de traitement, c’est la base juridique qui permet de documenter sa propre conformité RGPD vis-à-vis de ses clients.
Une politique de transparence sur les demandes d’autorités
Point qui m’a particulièrement intéressée en lisant la politique de confidentialité Scaleway : l’hébergeur s’engage, dans la mesure où la loi le permet, à informer préalablement ses clients de toute demande d’autorité administrative ou judiciaire portant sur leurs données. Cela permet au client — donc à nous, avocats — de faire valoir nos droits, notamment l’opposabilité du secret professionnel, avant toute communication. Ce n’est pas anodin. Aucune entreprise américaine soumise au Cloud Act ne peut prendre cet engagement.
Le choix que j’ai fait pour AppliCab, et pourquoi
Quand j’ai conçu AppliCab pour mon propre cabinet, je n’avais pas de plan d’éditrice de logiciel. J’avais un problème d’avocate : je voulais un outil dans lequel je pouvais mettre mes dossiers, mes échanges clients, mes factures, sans avoir à me poser à chaque étape la question de savoir si j’étais en train d’enfreindre mon obligation de confidentialité.
Cela m’a conduite à exclure d’emblée les hébergeurs américains, même ceux qui proposent des datacenters européens. Le critère n’était pas géographique, il était juridique : l’entreprise qui détient mes données doit être hors d’atteinte d’une juridiction qui pourrait, sur simple injonction, m’imposer de violer mon secret professionnel sans même que je sois informée.
Scaleway répondait à ce critère. Filiale d’un groupe français, datacenters en France et dans l’Union européenne, infrastructure technique européenne de bout en bout, démarche engagée pour SecNumCloud, certifications ISO 27001 et HDS, transparence sur les demandes d’autorités.
À l’époque, c’était un choix d’intuition autant que de raison. Aujourd’hui, c’est un choix que l’État valide avec ses 350 critères techniques, et que la Commission européenne valide avec son marché à 180 millions d’euros.
Ce que cela change concrètement pour votre cabinet
Si vous utilisez déjà AppliCab
Rien ne change techniquement, mais votre infrastructure vient d’être indirectement labellisée par les exigences les plus strictes de l’État français et de la Commission européenne. Vous pouvez le dire à un client qui s’inquiète, à un confrère qui questionne, à un bâtonnier qui s’interroge sur la conformité de vos outils. Vous travaillez sur la même infrastructure que celle retenue pour héberger les données médicales des Français.
Si vous hésitez encore à franchir le pas
La question de savoir si une plateforme de gestion de cabinet d’avocat doit être hébergée chez un acteur souverain n’est plus une question d’opinion. Elle est tranchée par les autorités françaises et européennes, sur des données dont la sensibilité juridique n’est pas inférieure à celle qui occupe nos dossiers.
Si vous êtes en phase de comparaison entre plusieurs solutions
La question de l’hébergement n’apparaît jamais en page d’accueil des éditeurs. Posez-la directement. Trois questions précises permettent de trier rapidement :
1. Où sont stockées les données ? (Pas seulement la région : le pays exact, et le statut juridique de l’entreprise qui détient les serveurs.)
2. Sous quelle juridiction se trouve l’éditeur du logiciel ?
3. Quelles certifications l’hébergeur a-t-il obtenues ? (ISO 27001, HDS, SecNumCloud sont les plus pertinentes.)
Une plateforme conçue pour des avocats doit pouvoir répondre à ces trois questions sans hésiter. Si l’éditeur en face est évasif, c’est déjà une réponse.
Le contexte RFE : un calendrier qui rend ces questions urgentes
L’arrivée de la facturation électronique en septembre 2026 va exposer de nouvelles informations sensibles : les montants facturés à chaque client, la nature des prestations, la fréquence des paiements. Tout cela transitera par une Plateforme Agréée (PA).
AppliCab est connectée à Pennylane, qui a obtenu cette qualification de Plateforme Agréée immatriculée par la DGFIP. L’ensemble de la chaîne — données de dossier, échanges client, facturation — reste hébergée dans des conditions qui respectent vos obligations professionnelles : sur une infrastructure souveraine, sous juridiction française, conforme RGPD et HDS.
Le calendrier est têtu. La RFE arrive. Les contrôles déontologiques sur la confidentialité numérique vont se renforcer. Les clients eux-mêmes commencent à poser les bonnes questions sur la sécurité de leurs données. Choisir un outil hébergé en France, par un acteur que l’État vient de désigner pour gérer ses données les plus sensibles, ce n’est plus un argument technique. C’est une décision professionnelle.
Pour conclure
Je ne suis pas une experte du cloud. Je suis avocate. Mais je sais reconnaître une décision sérieuse quand je la vois, et celle de la Plateforme des Données de Santé, après sept ans de débats, en est une.
Elle confirme ce que j’avais choisi en silence pour mon outil il y a déjà longtemps, et que je peux désormais expliquer à voix haute : nos dossiers méritent un hébergement à la hauteur du serment que nous avons prêté.
Si l’État a mis sept ans à arriver à cette conclusion pour ses données de santé, ne mettons pas sept ans à l’appliquer aux nôtres.
Découvrez AppliCab, l’application de gestion conçue par des avocats pour des avocats — hébergée chez Scaleway, en France, conforme RGPD.
