Une décision cruciale pour le Health Data Hub
Le Conseil d'État, la plus haute juridiction administrative française, a récemment validé la décision de la Commission nationale de l'informatique et des libertés (Cnil) concernant le traitement des données de santé par le Health Data Hub, même si ces informations sont hébergées sur la plateforme Azure de Microsoft. Cette décision survient alors qu'un appel d'offres a été lancé pour envisager une migration vers une solution certifiée SecNumCloud.
Contexte du projet européen Darwin
Le projet européen Darwin vise à créer un réseau de collecte d'informations pour les chercheurs, permettant d'étudier l'efficacité des médicaments en conditions réelles, au-delà des simples essais cliniques. En France, ce projet concerne environ 10 millions de personnes et est géré par le Health Data Hub, qui stocke les données sur les serveurs d'Azure.
La validation de la Cnil et les controverses
En février 2025, la Cnil a donné son feu vert pour l'utilisation de ces données, malgré les objections soulevées par plusieurs associations et entreprises, dont la Ligue des droits de l'Homme et Clever Cloud. Dans sa décision, le Conseil d'État reconnaît la possibilité que les autorités américaines puissent, en vertu de leurs lois, exiger l'accès aux informations de santé. Toutefois, il reprend les arguments de la Cnil concernant les mesures de protection mises en place pour garantir la conformité au Règlement général sur la protection des données (RGPD) dans le choix de Microsoft.
Les garde-fous du RGPD
- Stockage des données dans des datacenters en France, certifiés pour l'hébergement de données de santé.
- Pseudonymisation des données.
- Durée du projet limitée à trois ans.
Le Conseil d'État souligne également que seules des données techniques liées à l'utilisation de la plateforme pourraient être transférées aux administrateurs de Microsoft situés aux États-Unis, et que cela ne concernerait pas les données de santé elles-mêmes.
Une saga en cours depuis 2019
Cette décision met probablement un point final à une saga qui a débuté en 2019, lorsque le choix d'héberger les données de santé sur une infrastructure américaine a été critiqué au nom de la souveraineté numérique et de la sensibilité des informations de santé. En 2021, le gouvernement a tenté de rectifier le tir, avec les déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, qui a plaidé pour une migration des données des programmes vers un cloud de confiance dans un délai d'un an.
Les prochaines étapes
Il a fallu attendre jusqu'en juillet 2025 pour qu'un premier appel d'offres soit lancé pour une migration "intercalaire". Plusieurs entreprises, telles qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales, s'étaient portées candidates. Cependant, début 2026, le gouvernement a décidé de relancer un nouvel appel d'offres visant une migration complète vers une plateforme qualifiée SecNumCloud. Des sociétés comme Cloud Temple ou S3NS, ainsi que celles déjà mentionnées, se positionneront à nouveau en tant que candidats.
Conclusion
La décision du Conseil d'État représente une étape importante dans l'évolution du Health Data Hub et pose la question de l'équilibre entre l'innovation en matière de santé et la nécessité de protéger les données sensibles des citoyens. Les débats autour de la souveraineté numérique continueront probablement d'alimenter les discussions à l'avenir.
