Introduction
Le Conseil d'État, la plus haute juridiction administrative française, a récemment validé la décision de la Commission nationale de l'informatique et des libertés (CNIL) autorisant le traitement des données de santé par le Health Data Hub. Cette décision survient dans le contexte du projet européen Darwin, malgré l'hébergement des données sur la plateforme Azure de Microsoft.
Contexte du projet Darwin
Le projet Darwin vise à créer un réseau de collecte d'informations pour les chercheurs afin d'étudier l'efficacité des médicaments en conditions réelles, au-delà des simples essais cliniques. En France, ce projet touche environ 10 millions de personnes et a été confié au Health Data Hub, qui centralise les données de santé hébergées sur Azure.
Galerie
Décision de la CNIL et contestations
En février 2025, la CNIL a donné son feu vert au projet, malgré des contestations émanant de plusieurs associations et entreprises, telles que la Ligue des droits de l’Homme et Clever Cloud. Ces entités ont exprimé des préoccupations quant à la sécurité et à la souveraineté des données de santé.
Analyse du Conseil d'État
Le Conseil d'État a reconnu qu'il ne pouvait « être exclu » que les autorités américaines puissent, en vertu de leurs lois, demander un accès aux informations de santé. Toutefois, il a repris les arguments de la CNIL concernant les mesures de protection mises en place pour garantir la conformité au RGPD (Règlement Général sur la Protection des Données). Ces mesures incluent :
- Stockage des informations dans des datacenters en France, certifiés pour l'hébergement de données de santé.
- Pseudonymisation des données.
- Durée du projet limitée à trois ans.
Le Conseil a également souligné que, bien que certaines données techniques liées à l'utilisation de la plateforme puissent être transférées vers des administrateurs de Microsoft situés aux États-Unis, ces données ne concernent que les connexions des utilisateurs et non les données de santé elles-mêmes.
La saga autour du Health Data Hub
Cette décision du Conseil d'État marque probablement un tournant dans la saga du lien entre le Health Data Hub et Microsoft, qui a débuté en 2019. Dès le départ, le choix d'utiliser Azure a été critiqué pour des raisons de souveraineté numérique et de sensibilité des données de santé.
Les efforts du gouvernement
En 2021, le gouvernement français a tenté de corriger la situation avec les prises de position d’Amélie de Montchalin, alors ministre de la fonction publique, sur la doctrine du cloud au centre. Elle a plaidé pour une migration des données de programmes vers un cloud de confiance dans un délai de 12 mois.
Appels d'offres pour la migration
Il a fallu attendre jusqu'à juillet 2025 pour qu'un premier appel d'offres soit lancé en vue d'une migration « intercalaire ». Plusieurs entreprises, telles qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales, se sont positionnées pour participer à cet appel d'offres.
En début d'année 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud. De nouvelles sociétés, comme Cloud Temple ou S3NS, ainsi que celles déjà mentionnées, pourraient également se porter candidates.
Conclusion
La décision du Conseil d'État et le lancement d'appels d'offres pour une migration vers un cloud sécurisé soulèvent des questions essentielles sur la gestion des données de santé à l'ère numérique. Alors que le débat sur la souveraineté numérique et la protection des données se poursuit, il est crucial de trouver un équilibre entre l'innovation et la sécurité des informations sensibles.
