Le Conseil d'État confirme l'hébergement des données de santé sur Azure
Dans le cadre du projet européen Darwin, le Conseil d'État, la plus haute juridiction administrative française, a validé la décision de la CNIL (Commission nationale de l'informatique et des libertés) autorisant le traitement des données de santé par le Health Data Hub, malgré l'hébergement de ces informations sur les serveurs Azure de Microsoft. Cette décision a été rendue alors qu'un appel d'offres a été lancé pour migrer vers une plateforme certifiée SecNumCloud.
Un projet controversé depuis 2019
L'affaire remonte à 2025, mais c'est seulement à la fin de la semaine dernière que le Conseil d'État a mis un point final sur la validation du programme européen Darwin concernant les données de santé. Ce programme vise à créer un réseau de collecte d'informations pour les chercheurs, leur permettant d'étudier le fonctionnement des médicaments dans des conditions réelles, et non seulement lors d'essais cliniques. En France, ce projet, qui concerne environ 10 millions de personnes, a été confié au Health Data Hub, dont les données sont actuellement hébergées sur Azure de Microsoft.
Galerie
Feu vert de la CNIL malgré les contestations
En février 2025, la CNIL a donné son feu vert pour le projet, malgré des contestations de plusieurs associations et entreprises, telles que la Ligue des droits de l'Homme et Clever Cloud. Dans sa décision, le Conseil d'État a reconnu qu'il ne peut "être exclu" que les autorités américaines puissent demander un accès aux informations de santé en vertu de leurs lois. Toutefois, la juridiction reprend les arguments de la CNIL concernant les garde-fous mis en place pour garantir la conformité au RGPD (Règlement général sur la protection des données) dans le choix de Microsoft, tels que :
- Stockage des informations dans des datacenters en France certifiés pour l'hébergement des données de santé.
- Pseudonymisation des données.
- Limitation de la durée du projet à 3 ans.
Le Conseil d'État souligne également qu'"il est possible que des données techniques d'usage de la plateforme soient transférées vers des administrateurs de Microsoft situés aux États-Unis". Cependant, ces données ne concernent que les connexions liées aux utilisateurs et non les données de santé elles-mêmes.
Une saga de la souveraineté numérique
En définitive, la réponse du Conseil d'État pourrait marquer la fin d'une longue saga concernant le lien entre le Health Data Hub et Microsoft, entamée en 2019. Dès le début, ce choix a été critiqué au nom de la souveraineté numérique et de la sensibilité particulière des données de santé. En 2021, le gouvernement a tenté de rectifier la situation, avec des déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, sur la nécessité d'adopter une doctrine centrée sur le cloud et d'imposer "une migration des données des programmes dans les 12 mois vers un cloud de confiance".
Appels d'offres et migrations à venir
Il faudra cependant attendre encore quelques années pour qu'un premier appel d'offres soit lancé en juillet 2025 pour une migration "intercalaire". Plusieurs candidats s'étaient positionnés, dont Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales. Au début de l'année 2026, le gouvernement a décidé de relancer un appel d'offres, cette fois-ci pour une migration complète vers une plateforme qualifiée SecNumCloud. Des sociétés comme Cloud Temple ou S3NS se porteront également candidates, aux côtés des autres entreprises mentionnées précédemment.
Conclusion
La décision du Conseil d'État sur l'hébergement des données de santé dans le cadre du Health Data Hub soulève des questions cruciales sur la souveraineté numérique et la protection des données personnelles. Alors que le projet européen Darwin continue d'évoluer, la mise en œuvre des garde-fous et la migration vers des solutions plus sécurisées seront essentielles pour garantir la confiance du public et des chercheurs dans l'utilisation des données de santé.
