Le Conseil d'État valide l'hébergement du Health Data Hub dans le cloud d'Azure
Le Conseil d'État, la plus haute juridiction administrative française, a récemment validé la décision de la Commission nationale de l'informatique et des libertés (Cnil) concernant le traitement des données de santé par le Health Data Hub, malgré le fait que ces informations soient hébergées sur la plateforme Azure de Microsoft.
Contexte du projet européen Darwin
Cette décision intervient dans le cadre du projet européen Darwin, qui vise à établir un réseau de collecte d'informations pour permettre aux chercheurs d'étudier l'efficacité des médicaments en conditions réelles, plutôt qu'en se limitant aux essais cliniques. En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont actuellement hébergées sur les serveurs d'Azure.
Galerie
Controverses et objections
En février 2025, la Cnil a donné son feu vert au projet, malgré les contestations de plusieurs associations et entreprises, telles que la Ligue des droits de l'Homme et Clever Cloud. La décision du Conseil d'État, rendue la semaine dernière, marque un tournant dans cette saga, qui a débuté en 2019.
Garanties et préoccupations
Dans son jugement, le Conseil d'État a reconnu que « il ne peut être exclu » que les autorités américaines demandent un accès aux informations de santé selon leur législation. Toutefois, il s'est appuyé sur les arguments de la Cnil concernant les mesures de protection mises en place pour garantir la conformité avec le Règlement général sur la protection des données (RGPD). Ces mesures incluent :
- Le stockage des données dans des datacenters en France certifiés pour l'hébergement de données de santé.
- La pseudonymisation des données.
- Une durée de projet limitée à 3 ans.
Le Conseil a également précisé que des données techniques concernant l'utilisation de la plateforme pourraient être transférées vers des administrateurs de Microsoft aux États-Unis, mais ces données ne concerneraient que les connexions des utilisateurs, et non les données de santé elles-mêmes.
Les efforts du gouvernement pour assurer la souveraineté numérique
Le gouvernement français a été sous pression pour rectifier le tir concernant cette question de souveraineté numérique dès 2021, avec des déclarations de Amélie de Montchalin, alors ministre de la fonction publique, qui a évoqué la nécessité de migrer les données vers un cloud de confiance dans un délai de 12 mois.
Un premier appel d'offres pour une migration a été lancé en juillet 2025, avec la participation de plusieurs entreprises telles que Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales.
Nouveaux développements en 2026
Au début de 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud. D'autres acteurs tels que Cloud Temple et S3NS pourraient également se porter candidats, en plus des entreprises déjà citées.
Conclusion
La réponse du Conseil d'État représente probablement le dernier rebondissement dans l'histoire complexe du lien entre le Health Data Hub et Microsoft. Cette saga, marquée par des préoccupations sur la sécurité et la souveraineté des données de santé, continuera d'évoluer au fil des développements réglementaires et technologiques.
