Une décision cruciale pour le Health Data Hub
Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a validé la décision de la CNIL (Commission Nationale de l'Informatique et des Libertés) autorisant le traitement des données de santé par le Health Data Hub, malgré l'hébergement des informations sur la plateforme Azure de Microsoft.
Contexte du projet Darwin
Cette décision intervient alors qu'un appel d'offres a été lancé pour migrer vers une plateforme SecNumCloud. Bien que l'affaire remonte à 2025, c'est seulement à la fin de la semaine dernière que le Conseil d'État a mis un point final à la validation de la CNIL concernant le programme européen Darwin, qui vise à créer un réseau de collecte d'informations pour les chercheurs. Ce réseau permettra d'étudier le fonctionnement des médicaments en conditions réelles, et non uniquement lors d'essais cliniques.
Impact du projet en France
En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont hébergées sur Azure de Microsoft. En février 2025, la CNIL a donné son feu vert à ce projet, malgré les contestations émanant de plusieurs associations et entreprises, parmi lesquelles figurent la Ligue des Droits de l'Homme et Clever Cloud.
Les réserves du Conseil d'État
Dans sa décision, le Conseil d'État a reconnu qu'il ne peut « être exclu » que les autorités américaines puissent, par le biais de leurs lois, demander un accès aux informations de santé. Toutefois, la juridiction a repris les arguments avancés par la CNIL concernant les garde-fous mis en place pour garantir la conformité au RGPD (Règlement Général sur la Protection des Données) dans le choix de Microsoft :
- Stockage des informations dans des datacenters situés en France, certifiés pour l'hébergement de données de santé.
- Pseudonymisation des données.
- Durée du projet limitée à 3 ans.
Le Conseil d'État a également souligné qu'il est possible que des données techniques relatives à l'usage de la plateforme soient transférées vers des administrateurs de Microsoft situés aux États-Unis. Cependant, il a précisé que ces données concernent uniquement les connexions liées aux utilisateurs et non les données de santé elles-mêmes.
Les défis de la souveraineté numérique
En somme, la réponse du Conseil d'État représente probablement le dernier soubresaut de la saga qui lie le Health Data Hub à Microsoft, saga qui a débuté en 2019. Dès le départ, ce choix a été critiqué et contesté au nom de la souveraineté numérique et de la sensibilité particulière des données de santé.
Les tentatives du gouvernement pour rectifier la situation
Le gouvernement a tenté de corriger le tir en 2021, avec des déclarations d'Amélie de Montchalin, alors ministre de la fonction publique, sur la nécessité d'une doctrine du cloud au centre, visant à imposer « une migration des données des programmes dans les 12 mois vers un cloud de confiance ». Cependant, il a fallu attendre encore quelques années pour qu'un premier appel d'offres soit lancé en juillet 2025 pour une migration « intercalaire ». Plusieurs candidats se sont alors positionnés, notamment Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales.
Un nouvel appel d'offres en perspective
Au début de l'année 2026, le gouvernement a décidé de relancer un appel d'offres, cette fois-ci pour une migration complète vers une plateforme qualifiée SecNumCloud. Des entreprises telles que Cloud Temple et S3NS envisagent de se porter candidates, aux côtés des autres sociétés mentionnées précédemment.
Conclusion
La validation du Conseil d'État en faveur de l'hébergement des données de santé sur Azure de Microsoft soulève des questions cruciales sur la sécurité des données et la souveraineté numérique. Elle marque également une étape importante dans l'évolution du Health Data Hub et de son rôle dans la recherche médicale en France.
