Données de santé : le Luxembourg affirme une souveraineté nationale… mais ne ferme pas la porte à des initiatives européennes

Publié le lundi 20 avril 2026 à 16h10

Dans un contexte marqué par les débats autour du Health data hub en France, les ministres luxembourgeois ont clarifié la doctrine du pays : les données de santé sensibles doivent rester hébergées sur le territoire national, sous contrôle public, tout en conservant une capacité d’ouverture pour la recherche à l’échelle européenne.

La souveraineté pour les données sensibles comme seul mot d’ordre

Interrogés par des députés sur les choix d’hébergement des données de santé et les risques de dépendance vis-à-vis d’acteurs étrangers, le gouvernement luxembourgeois a clarifié sa position. Ce dernier défend un principe central, celui de la garantie de la maîtrise des infrastructures critiques et limiter les dépendances vis-à-vis d’acteurs étrangers, en particulier extra-européens.

Concrètement, cette stratégie repose sur un socle public, le GovCloud opéré par le Centre des technologies de l’information de l’État luxembourgeois (CTIE). Les principales institutions sanitaires, telles que le ministère de la Santé, l’Inspection générale de la sécurité sociale, ou l’Observatoire de la santé, y hébergent déjà leurs données. Le positionnement est explicite : les données hospitalières sensibles sont conservées dans des infrastructures sécurisées situées au Luxembourg.

Pour les décideurs, cette approche vise à répondre directement aux préoccupations liées :

• aux risques d’accès extraterritorial,
• à la dépendance technologique,
• et à la continuité de service.

Le dossier patient au cœur du modèle souverain :

Le dossier de soins partagé (DSP) luxembourgeois illustre cette stratégie. Sa nouvelle génération, en lien avec l’Espace européen des données de santé (EHDS), sera désormais hébergée au sein des infrastructures publiques nationales.

Ce choix est structurant. En effet, il consacre le DSP comme actif souverain, au cœur de l’écosystème numérique de santé luxembourgeois. Pour les décideurs, cela traduit une évolution importante : désormais, les plateformes de données ne sont plus de simples outils techniques, mais des infrastructures critiques relevant de politiques publiques.

Un modèle hybride pour permettre la recherche à l’échelle européenne

Si la souveraineté est affirmée sur les données sensibles, le Luxembourg adopte une approche plus ouverte pour les usages de recherche. Les institutions comme le Luxembourg Institute of Health ou l’université du Luxembourg s’appuient sur :

• des infrastructures nationales,
• mais aussi des clouds localisés en Europe, notamment en Allemagne.

Ce modèle hybride permet de protéger les données sensibles, tout en facilitant les collaborations scientifiques internationales, et s’inscrit également pleinement  dans la logique du futur EHDS, qui repose sur la circulation encadrée des données à des fins de recherche.

Une alternative au modèle français :

Sans se positionner frontalement sur les choix français, le Luxembourg propose une alternative claire à l’hébergement des données de santé dans une solution américaine, permettant :

• une souveraineté opérationnelle sur les données critiques ;
• combinée à une interopérabilité européenne maîtrisée.

Cette approche évite une opposition binaire entre souveraineté et innovation. Elle reconnaît que certaines données doivent rester strictement sous contrôle national, tandis que d’autres usages nécessitent une ouverture pour créer de la valeur scientifique.

Vers un modèle reproductible ?

Au-delà du cas luxembourgeois, cette stratégie illustre une tendance émergente en Europe : la recherche d’un équilibre entre souveraineté, conformité réglementaire et performance scientifique. Dans ce contexte, la France semble progressivement converger vers une structuration comparable. Après plusieurs années de débats autour de l’hébergement du HDH, les pouvoirs publics ont engagé une réorientation stratégique visant à renforcer la maîtrise des infrastructures.

L’enjeu est désormais clairement identifié : sélectionner un hébergeur répondant à des exigences élevées en matière de sécurité et de souveraineté, notamment via la qualification SecNumCloud délivrée par l’Agence nationale de la sécurité des systèmes d’information. Cette évolution traduit une volonté de limiter les risques juridiques liés aux acteurs extra-européens, tout en maintenant la capacité d’exploiter les données à des fins de recherche.

Pour les décideurs, cette trajectoire marque un tournant : la France passe progressivement d’un modèle centré sur la performance technologique à une approche intégrant pleinement les enjeux de souveraineté, de conformité et de confiance.