La localisation et la souveraineté des données de santé des patients wallons à la lumière du cas français
- Session : 2025-2026
- Année : 2026
- N° : 883 (2025-2026) 1
2 élément(s) trouvé(s).
Question écrite du 24/03/2026
- de LEPINE Jean-Pierre
- à COPPIETERS Yves, Ministre de la Santé, de l'Environnement, des Solidarités et de l'Economie sociale
En Belgique, l'INAMI et Sciensano ont développé une politique des registres de données de soins de santé et la plateforme healthdata.be, qui centralise de nombreuses bases de données pour la recherche, tandis que la plate‑forme eHealth fournit des services de base (identification, chiffrement, eHealthBox, registre des traitements). En Wallonie, le Réseau Santé Wallon (RSW) organise le partage sécurisé des dossiers entre prestataires, la plupart des documents restant techniquement hébergés chez les hôpitaux, laboratoires ou prestataires, le RSW jouant un rôle de hub et, dans certains cas, de coffre‑fort pour les médecins de première ligne.
Si l'architecture belge apparaît donc plus distribuée que le modèle français de Health Data Hub, la question de la localisation géographique et juridique effective des données de santé des patients wallons (pays d'hébergement, type d'infrastructure, recours éventuel à des « hyperscalers » extraeuropéens) reste peu claire pour le citoyen, alors même que des acteurs privés de cloud, dont Microsoft, mettent en avant de nouvelles régions cloud en Belgique et des engagements en matière de « souveraineté numérique ».
Dans ce contexte, M. le Ministre peut‑il indiquer, pour les principaux flux de données de santé concernant les patients wallons - dossiers partagés via le Réseau Santé wallon (RSW), données transmises à healthdata.be, registres de données de soins de santé - dans quels pays et sous la responsabilité de quels types de prestataires ces données sont actuellement hébergées, et quels cadres juridiques étrangers pourraient, le cas échéant, être susceptibles de s'appliquer ?
M. le Ministre dispose‑t‑il d'une analyse spécifique des risques en matière de souveraineté numérique pour les données de santé wallonnes, et d'une position quant à un éventuel objectif de privilégier, à terme, des solutions d'hébergement relevant exclusivement du droit de l'Union européenne ?
M. le Ministre envisage‑t‑il enfin de demander au niveau fédéral (INAMI, Sciensano, Plateforme eHealth) une cartographie publique et régulièrement mise à jour de la localisation et des principaux prestataires d'hébergement des données de santé des citoyens, afin de renforcer la transparence, la lisibilité et la confiance du public ?
Réponse du 30/03/2026
- de COPPIETERS Yves
Dans ce contexte, la Wallonie peut faire valoir une ligne claire : lorsqu’elle agit sur des dispositifs relevant de sa compétence, elle privilégie un hébergement de proximité, un haut niveau de sécurité et une gouvernance lisible pour les citoyens comme pour les professionnels.
Le Réseau de santé wallon, reconnu comme plateforme régionale d’échange de données de santé, a ainsi finalisé en février 2025 la migration de son hébergement vers WIN s.a. (Data Center | Données hébergées en Belgique | Hébergement belge | Win). Cet environnement, conforme à la norme ISO 27001 (ISO/IEC 27001:2022 - Systèmes de management de la sécurité de l'information) et reposant sur une architecture Tier III (https://uptimeinstitute.com/tiers), offre des garanties élevées en termes de sécurité, de résilience et de continuité de service. Il s’appuie sur un datacenter situé en Wallonie. Ce choix répond donc non seulement à de hautes exigences techniques, mais également à une logique d’ancrage territorial wallon.
L’honorable membre souligne une autre caractéristique fondamentale du RSW : son architecture décentralisée. Les données restent, autant que possible, hébergées au niveau de leurs producteurs – hôpitaux, laboratoires, médecins, autres prestataires – tandis que la plateforme organise l’indexation, les accès et la traçabilité. Cet élément est important, car il implique une limitation des concentrations inutiles de données sensibles.
La Wallonie accorde, par ailleurs, une attention particulière à la gouvernance des données et à la transparence offerte aux patients et professionnels de santé. Les citoyens wallons disposent d’outils leur permettant de visualiser chaque prestataire qui accède à ses données, ainsi que d’exercer leurs droits et de comprendre les règles applicables. Dans le débat sur la souveraineté des données, cette dimension est essentielle : la confiance repose non seulement sur la sécurité et la localisation de l’hébergement, mais aussi sur la capacité à comprendre et contrôler l’accès aux données et les garanties liées. Sur cet aspect, la Wallonie se distingue par un niveau de maîtrise particulièrement élevé laissé au patient : celui-ci peut gérer les accès à ses données avec une granularité fine, y compris selon le type de document ou de donnée concerné, et au niveau des prestataires individuels.
La plateforme WalCareNet, destinée aux échanges entre opérateurs wallons et organismes assureurs, traite également des données personnelles liées à la santé. Son déploiement par le collège intermutualiste repose sur un hébergement en conformité Tier III et situé en Flandre et aux Pays-Bas. Le Centre de coordination et de référence pour le dépistage du cancer utilise quant à lui un hébergement en Wallonie.
Les principales plateformes relevant de la compétence wallonne utilisent donc des hébergements situés en Belgique ou à tout le moins en Europe.
Concernant les données traitées par l’ONE, l’hébergement est assuré par l’Etnic, en partie via NRBC sur la base d’un datacenter situé dans deux endroits en Wallonie.
Le dossier pharmaceutique partagé, au travers de Farmaflux, repose pour sa part sur un hébergement spécifiquement créé par Proximus à Bruxelles et en Flandre.
Ces exemples confirment qu’un hébergement en Belgique est compatible avec les exigences techniques élevées.
S’agissant d’autres dispositifs fédéraux ou interfédéraux, l’appréciation doit être plus nuancée. Une part importante des dispositifs, notamment portés par le SPF SPSCAE (BelRAI, e-Health, …) ou l’INAMI (Recip-e, Mes médicaments …), est déployée par la SMALS, qui indique disposer de trois datacenters en région bruxelloise. Ces éléments permettent de constater qu’une partie significative de l’écosystème fédéral repose également sur des infrastructures situées en Belgique.
Pour autant, ces éléments ne suffisent pas, à eux seuls, à établir une cartographie complète et immédiatement lisible de l’ensemble des grandes bases et plateformes de données de santé. Selon les dispositifs, il n’est pas toujours possible d’identifier de manière rapide et consolidée la nature exacte des données stockées, les opérateurs techniques concernés, le lieu précis d’hébergement, les redondances éventuelles ou encore les chaînes de sous-traitance associées. S’agissant, par exemple, de certains dispositifs tels que Healthdata ou le Registre du cancer, le lieu précis d’hébergement n’apparaît pas directement identifiable. Notons toutefois que les notions de recours à des « hyperscalers » extraeuropéens dont nous avons connaissance réfèrent à des dispositifs qui n’incluent pas de données personnelles, comme le répertoire SAM v.2 par exemple.
Il y a donc lieu de considérer qu’une clarification complémentaire sur ce point serait utile. La Wallonie n’a pas vocation à se substituer au niveau fédéral pour documenter de manière exhaustive des dispositifs qui ne relèvent pas de sa gouvernance directe. En revanche, elle peut légitimement estimer qu’une cartographie fédérale ou interfédérale structurée des grandes plateformes et bases de données de santé constituerait une initiative opportune de bonne gouvernance. Une telle cartographie permettrait, pour chaque dispositif structurant, d’identifier la nature des données concernées, le responsable du traitement, l’opérateur technique, le pays d’hébergement, la localisation de redondance éventuelle et, le cas échéant, les dépendances à l’égard d’opérateurs soumis à un droit non européen.
Cette exigence de clarté est d’autant plus importante que les débats européens récents relatifs aux transferts de données, à l’accès par des autorités de pays tiers et aux conditions d’usage de certains services cloud ont renforcé les attentes de transparence et de maîtrise. L’Autorité de protection des données a elle-même rappelé (Services cloud dans le secteur public: rapport du CEPD et observations de l’APD | Autorité de protection des données), dans le cadre de l’action coordonnée européenne sur l’usage du cloud dans le secteur public, l’importance d’une vigilance particulière de la part des responsables du traitement et de garanties renforcées lorsqu’il est fait recours à de tels services. En matière de santé, où les données concernées figurent parmi les plus sensibles, il est légitime de considérer que les conditions d’hébergement doivent être identifiées, documentées et comprises avec précision.
La Wallonie peut donc mettre en avant, pour les dispositifs relevant de sa compétence, une approche fondée sur un hébergement de proximité, des garanties élevées de sécurité, une infrastructure résiliente et une attention particulière à la transparence pour le patient. Le Réseau santé wallon en constitue l’illustration principale. Pour les autres grands dispositifs belges comportant des données personnelles de santé, plusieurs exemples montrent qu’un hébergement en Belgique, ou à tout le moins dans un cadre européen maîtrisé, est déjà une réalité. Pour certains dispositifs, enfin, l’information disponible ne permet pas toujours une vision exhaustive et homogène ; dans ce contexte, la création d’une cartographie consolidée au niveau fédéral semble judicieuse. Cependant, étant donné la sensibilité de ces informations en matière de sécurité, il convient de s’interroger sur la pertinence de leur divulgation publique, notamment concernant les lieux d’hébergement.