Le CASD, vitrine française de la souveraineté numérique européenne

La France a récemment marqué un tournant majeur en matière de souveraineté numérique et de protection des données. Le Centre d’Accès Sécurisé aux Données (CASD) est devenu le premier hébergeur en Europe à obtenir la certification Europrivacy, validée conformément à l’article 42 du RGPD.

Une très bonne nouvelle, car on ne peut pas dire que le RGPD soit entré dans les mœurs de toutes les entreprises alors qu’il est applicable depuis mai 2018 ! La preuve, depuis mai 2025, seize nouvelles sanctions ont été prononcées par la CNIL dans le cadre de sa procédure simplifiée. Montant total : 108 000 euros.

Ces chiffres paraissent modestes comparés aux amendes spectaculaires infligées par le passé à des géants du numérique : 325 millions d’euros pour Google, 150 millions pour Shein, ou encore 900 000 euros pour une filiale de Solocal (Ex. Pages Jaunes).

La certification décrochée par le CASD confirme le haut niveau de son processus d’accès sécurisé aux données personnelles à des fins statistiques et de recherche. Reconnue par trente pays européens, cette certification ouvre la voie à une coopération renforcée en matière de transfert de données au sein du continent.

Une belle récompense pour ce Groupement d’intérêt public (GIP) mis en place au début du RGPD. Créé par arrêté interministériel le 29 décembre 2018, le CASD réunit l’État (via l’INSEE), le GENES, le CNRS, l’École polytechnique, HEC Paris et la Banque de France.

Sa mission principale est de mettre en œuvre des services d’accès sécurisé aux données confidentielles, dans un cadre non lucratif, au service de la recherche, de l’évaluation et de l’innovation. Le CASD valorise également les technologies développées pour sécuriser l’accès aux données, tant dans le secteur public que privé.

Ses missions couvrent plusieurs volets :

• offrir des services sécurisés d’accès aux données confidentielles ;
• participer à l’anonymisation et à la constitution de bases de données ;
• assurer la documentation et l’archivage des données sensibles.

Un boîtier physique pour des accès sécurisés

La certification Europrivacy a été obtenue à l’issue d’un audit rigoureux mené par TAM-CERT, organisme indépendant spécialisé en sécurité et protection des données. Elle confirme que les données les plus sensibles du pays – santé, justice, finances, éducation, environnement, agriculture, etc. – bénéficient d’un traitement conforme aux standards les plus exigeants en matière de sécurité, de transparence et d’éthique.

Le CASD dispose déjà de plusieurs certifications reconnues dans le domaine de la cybersécurité : ISO 27001, ISO 27701, Hébergeur de Données de Santé (HDS). Il est également homologué au référentiel de sécurité du Système National des Données de Santé (SNDS) et conforme au référentiel des Entrepôts de Données de Santé (EDS).

L’une de ses innovations phares est la SD-Box, un boîtier physique qui permet aux chercheurs d’accéder à distance, de manière fluide et sécurisée, à leurs environnements de travail. Les chiffres témoignent de son ampleur : 1 803 projets gérés, 549 sources de données disponibles, 1 116 institutions utilisatrices, 6 874 chercheurs accrédités et plus de 400 publications scientifiques issues de ses travaux.

Au-delà de ses performances techniques, le CASD incarne une vision stratégique : offrir une alternative française et souveraine face à la domination américaine dans l’hébergement des données.

Le CASD constitue ainsi une solution intermédiaire pour le Health Data Hub (HDH), en attendant la mise en place d’une offre commerciale pleinement conforme aux exigences de souveraineté.

Il démontre que la France ne se contente pas de suivre le mouvement : elle prend les devants, en plaçant la protection des données personnelles au cœur de sa stratégie numérique et scientifique.