En quelques mois, la start-up Alan s'est taillé un franc succès dans la couverture santé des fonctionnaires, au détriment des acteurs historiques du secteur. Suite à un décret paru en juillet 2024, les employeurs publics de l'État sont tenus de financer une partie de la complémentaire santé de leurs agents. Ce qui a donné lieu à de multiples appels d'offres, ministère par ministère, visant à sélectionner une mutuelle couvrant les besoins des agents et de leurs ayants droit.

Dans ce processus, Alan s'est adjugé le ministère de la Transition écologique, les services du Premier ministre - dont relèvent le SGDSN (secrétariat général de la Défense et de la Sécurité nationale) et l'Anssi (Agence nationale pour la sécurité des systèmes d'information) -, l'Assemblée nationale (pour la couverture des assistants parlementaires) et, selon la Lettre de l'Assurance, le ministère de l'Économie et des Finances. Soit, pour cette seule administration, 130 000 fonctionnaires et agents. Une information - présente dans de nombreux articles - attribue aussi à Alan un contrat avec l'Elysée, mais reste non confirmée à date : une source indique qu'aucun appel d'offres n'a encore été effectué par le Palais pour la complémentaire santé de ses agents.

Philippe Latombe interpelle le gouvernement

Or, Alan a fait le choix d'un hébergement sur AWS, sur des datacenters situés à Francfort. Malgré ce choix d'une zone cloud européenne, cet hébergement de données sensibles - relatives à l'identité des fonctionnaires et à leurs remboursements de santé - pose question au regard de la directive cloud au centre, et à l'orientation que dessine la loi SREN (même si le décret d'application concernant l'article 31 de cette loi, relatif aux conditions d'hébergement cloud, n'est toujours pas publié). Le noeud du problème : les hébergements sur le cloud d'une société américaine restent soumis aux lois extraterritoriales des Etats-Unis, dont la section 702 de la loi Fisa (Foreign Intelligence Surveillance Act), qui permet des réquisitions de données hors de toute procédure judiciaire.

D'où la question posée à l'Assemblée nationale par le député Philippe Latombe au ministre de l'Économie, des Finances et de la Souveraineté industrielle et numérique, Eric Lombard. L'élu demande « si le gouvernement envisage, dans un souci de protection des données sensibles de ses agents et de cohérence avec les directives qu'il émet, de demander à Alan de migrer vers un cloud souverain. »

SecNumCloud absent des appels d'offres

Pour l'heure, selon nos informations, la perspective n'est pas envisagée dans un avenir proche du côté du néo-assureur, qui entend servir les besoins des administrations depuis son hébergement AWS en Allemagne, des environnements certifiés ISO 27001 et HDS. D'ailleurs, l'exigence d'un hébergement SecNumCloud ne figurait pas dans les appels d'offres soumis par les ministères. Une source au sein de la société souligne que les informations manipulées dans le cadre de son activité de mutuelle sont avant tout des données administratives et financières... Un argument partiellement valide, ces données pouvant être exploitées pour en déduire la pathologie d'un individu. La mutuelle se dit par ailleurs attentive à la direction que prendra le décret d'application de l'article 31 de la loi SREN afin de faire évoluer son offre en fonction. Le même article 31 prévoit par ailleurs des dérogations à un hébergement hors de portée de législations extraterritoriales pour les administrations ayant déjà engagé un projet, dérogation dont la durée maximale est fixée à 18 mois.

Nous avons interrogé la DSI de l'État, la Dinum (Direction interministérielle du numérique), pour savoir si elle avait été consultée sur les conditions de ces appels d'offres, mais nous n'avons pas obtenu de réponse.

Notons que, dans le cadre de la réforme de la facture électronique, Bercy exige une certification SecNumCloud des PDP (les plateformes de dématérialisation partenaires, par lesquelles les entreprises devront se raccorder au concentrateur de l'État), dès lors que ces PDP sont hébergées sur le cloud.