Introduction
Dans le cadre du projet européen Darwin, le Conseil d'État, la plus haute juridiction administrative française, a récemment validé la décision de la CNIL (Commission nationale de l'informatique et des libertés) autorisant le traitement des données de santé par le Health Data Hub, malgré l'hébergement de ces informations sur la plateforme Azure de Microsoft.
Contexte et enjeux du projet Darwin
Ce projet, qui a été initié pour améliorer le fonctionnement des traitements médicaux en conditions réelles, implique la collecte de données de santé de près de 10 millions de personnes en France. Le Health Data Hub a été désigné comme l'entité responsable de la gestion de ces données. L'objectif est de permettre aux chercheurs d'étudier l'efficacité des médicaments au-delà des essais cliniques traditionnels.
Galerie
Décision de la CNIL et contestations
En février 2025, la CNIL a donné son feu vert à ce projet, malgré les contestations de plusieurs associations et entreprises, dont la Ligue des droits de l’Homme et Clever Cloud. Ces opposants ont soulevé des inquiétudes concernant la protection des données de santé, en particulier en ce qui concerne l'accès potentiel des autorités américaines aux informations hébergées sur des serveurs situés à l'étranger.
Le jugement du Conseil d'État
Dans sa décision, le Conseil d'État a reconnu qu'il ne peut « être exclu » que les autorités américaines puissent demander l'accès à ces données de santé en vertu de leurs lois. Cependant, il a également rappelé les garanties mises en place par la CNIL pour assurer la conformité avec le RGPD (Règlement général sur la protection des données) dans le choix de Microsoft, notamment :
- Stockage des informations dans des datacenters en France, certifiés pour l'hébergement de données de santé
- Pseudonymisation des données
- Durée du projet limitée à 3 ans
Le Conseil d'État a également souligné qu'il existe une possibilité que des données techniques relatives à l'utilisation de la plateforme puissent être transférées à des administrateurs de Microsoft situés aux États-Unis. Toutefois, ces données ne concernent que les connexions des utilisateurs et non les données de santé elles-mêmes.
Perspectives futures et migration vers SecNumCloud
Cette décision clôt probablement un chapitre de la saga concernant la relation entre le Health Data Hub et Microsoft, qui a débuté en 2019. Depuis le départ, le choix de Microsoft a suscité des critiques, notamment au nom de la souveraineté numérique et de la sensibilité des données de santé. En 2021, le gouvernement français a tenté de corriger le tir avec les déclarations d'Amélie de Montchalin, alors ministre de la fonction publique, qui a exprimé la nécessité d'une migration des données vers un cloud de confiance dans un délai de 12 mois.
Cependant, il a fallu attendre jusqu'en juillet 2025 pour qu'un premier appel d'offres soit lancé pour une migration intercalaire vers une plateforme qualifiée comme SecNumCloud. Plusieurs acteurs, tels qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales, ont manifesté leur intérêt pour ce projet.
En début d'année 2026, le gouvernement a décidé de relancer un nouvel appel d'offres, cette fois-ci pour une migration complète vers une plateforme qualifiée SecNumCloud. Des sociétés comme Cloud Temple et S3NS se sont également portées candidates, en plus des précédentes entreprises mentionnées.
Conclusion
La décision du Conseil d'État constitue une étape décisive dans l'évolution du Health Data Hub et soulève des questions cruciales sur la sécurité et la gestion des données de santé à l'ère numérique. Alors que des solutions de migration vers des plateformes plus sécurisées sont envisagées, la vigilance sera de mise pour protéger les données sensibles des citoyens.
