Le Conseil d'État et le Health Data Hub
Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française a validé la décision de la CNIL (Commission nationale de l'informatique et des libertés) qui autorise le traitement des données de santé par le Health Data Hub, malgré l'hébergement de ces informations sur la plateforme Azure de Microsoft.
Contexte et enjeux
Cette décision intervient alors qu'un appel d'offres a été lancé en vue d'une migration vers une plateforme certifiée SecNumCloud. Bien que cette affaire remonte à 2025, c'est seulement à la fin de la semaine dernière que le Conseil d'État a mis un point final à la validation de la CNIL concernant le programme européen Darwin, qui vise à créer un réseau de collecte d'informations pour les chercheurs. Ce réseau est conçu pour étudier le fonctionnement des médicaments dans des conditions réelles, au-delà des seuls essais cliniques.
Galerie
Un projet ambitieux pour la santé en France
En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont hébergées sur Azure de Microsoft. En février 2025, la CNIL a donné son feu vert au projet malgré des contestations émanant de plusieurs associations et entreprises, telles que la Ligue des droits de l’Homme et Clever Cloud.
Les préoccupations sur la souveraineté des données
Dans sa décision, le Conseil d'État a reconnu qu'il ne peut « être exclu » que les autorités américaines puissent demander un accès aux informations de santé en vertu de leurs lois. Toutefois, il a également repris les argumentations de la CNIL concernant les garde-fous mis en place pour assurer la conformité au RGPD (Règlement général sur la protection des données) du choix de Microsoft. Ces garde-fous incluent :
- Stockage des informations dans des datacenters en France, certifiés pour l'hébergement de données de santé.
- Pseudonymisation des données.
- Durée du projet limitée à 3 ans.
Transfert de données techniques
Le Conseil d'État a également souligné qu'il est possible que certaines données techniques d'usage de la plateforme soient transférées vers des administrateurs de Microsoft situés aux États-Unis. Cependant, il est précisé que ces données ne concernent que les connexions liées aux utilisateurs, et non les données de santé elles-mêmes.
Une saga de longue haleine
La réponse du Conseil d'État marque probablement le dernier rebondissement d'une saga qui a débuté en 2019, concernant le lien entre le Health Data Hub et Microsoft. Dès le départ, ce choix a suscité des critiques au nom de la souveraineté numérique et de la sensibilité particulière des données de santé.
Le gouvernement français a tenté de rectifier le tir en 2021, notamment à travers les déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, qui a évoqué une doctrine du cloud centrée sur la confiance et a imposé « une migration des données des programmes dans les 12 mois dans un cloud de confiance ».
Appel d'offres et migrations futures
Il faudra cependant attendre plusieurs années pour que le premier appel d'offres soit lancé en juillet 2025, visant une migration « intercalaire ». Plusieurs candidats se sont positionnés, notamment Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales.
En début d'année 2026, le gouvernement a décidé de relancer un appel d'offres, cette fois-ci pour une migration complète vers une plateforme qualifiée SecNumCloud. Des sociétés comme Cloud Temple ou S3NS envisagent également de se porter candidates, en plus des entreprises déjà mentionnées.
Conclusion
Cette validation par le Conseil d'État est un moment clé dans la gestion des données de santé en France, ouvrant la voie à de nouvelles réflexions sur la sécurité et la protection des données dans un contexte numérique globalisé.
