Le Conseil d'Etat, la plus haute juridiction administrative de France, a récemment validé la décision de la Commission nationale de l'informatique et des libertés (Cnil) concernant le traitement des données de santé par le Health Data Hub. Ce projet s'inscrit dans le cadre du programme européen Darwin et soulève des interrogations sur l'hébergement des données sur la plateforme Azure de Microsoft.
Le programme Darwin vise à créer un réseau de collecte d'informations pour la recherche, permettant aux scientifiques d'étudier le fonctionnement des médicaments dans des conditions réelles, au-delà des essais cliniques traditionnels. En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont actuellement hébergées sur Azure de Microsoft.
En février 2025, la Cnil a donné son feu vert au traitement des données de santé, malgré les réticences exprimées par plusieurs associations et entreprises, telles que la Ligue des droits de l'Homme et Clever Cloud. La décision du Conseil d'Etat, rendue la semaine dernière, vient confirmer cette autorisation.
Dans sa décision, le Conseil d'Etat reconnaît qu'il ne peut être exclu que les autorités américaines puissent, en vertu de leurs lois, demander l'accès aux informations de santé hébergées sur Azure. Toutefois, la juridiction a souligné les mesures de sécurité mises en place par la Cnil pour garantir la conformité avec le Règlement général sur la protection des données (RGPD). Ces mesures incluent :
Le Conseil d'Etat a également noté que certaines données techniques liées à l'utilisation de la plateforme pourraient être transférées vers des administrateurs de Microsoft basés aux États-Unis, mais a précisé que ces données ne concerneraient que les connexions des utilisateurs et non les données de santé elles-mêmes.
Cette décision représente probablement l'épilogue d'une saga qui a débuté en 2019, lorsque le choix d'Azure comme hébergeur pour le Health Data Hub a été vivement critiqué. Les opposants ont invoqué des préoccupations concernant la souveraineté numérique et la gestion des données sensibles. En 2021, le gouvernement, sous l'égide d'Amélie de Montchalin, alors ministre de la fonction publique, a tenté de rectifier cette situation en affirmant sa volonté de migrer les données vers un « cloud de confiance » dans un délai de 12 mois.
Malgré ces promesses, il a fallu attendre jusqu'en juillet 2025 pour que le premier appel d'offres soit lancé en vue d'une migration « intercalaire » vers un autre cloud. Plusieurs entreprises, dont Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales, se sont positionnées comme candidats. Cependant, début 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud, élargissant ainsi le champ des candidats potentiels, notamment à des sociétés comme Cloud Temple et S3NS.
La décision du Conseil d'Etat de valider l'hébergement des données de santé sur Azure soulève des questions essentielles sur la sécurité et la souveraineté des données. Alors que le projet Darwin continue de se développer, les implications de cette décision seront scrutées de près par les acteurs de la santé, les chercheurs et les défenseurs des droits numériques.
