Dans le cadre du projet européen Darwin, le Conseil d'État, la plus haute juridiction administrative en France, a validé la décision de la Commission nationale de l'informatique et des libertés (CNIL) autorisant le traitement des données de santé par le Health Data Hub. Cette décision est intervenue malgré l'hébergement des données sur Azure, la plateforme cloud de Microsoft.
La décision du Conseil d'État est tombée alors qu'un appel d'offres a été lancé pour migrer vers une plateforme conforme aux exigences SecNumCloud. L'affaire remonte à 2025, mais c'est seulement la semaine dernière que le Conseil d'État a mis un terme à la validation de la CNIL concernant le programme européen Darwin, qui vise à créer un réseau de collecte d'informations pour la recherche. Ce réseau permettra aux chercheurs d'étudier le fonctionnement des médicaments en conditions réelles, au-delà des essais cliniques traditionnels.
Ce projet concerne environ 10 millions de personnes en France et a été confié au Health Data Hub, dont les données sont hébergées sur les serveurs d'Azure. En février 2025, la CNIL a donné son accord, malgré les objections de plusieurs associations et entreprises, telles que la Ligue des droits de l'Homme et Clever Cloud.
Dans sa décision, le Conseil d'État a reconnu qu'il n'était pas possible d'exclure que les autorités américaines puissent, en vertu de leur législation, demander l'accès aux informations de santé. Toutefois, la juridiction a repris les arguments avancés par la CNIL concernant les mesures de protection mises en place pour garantir la conformité au RGPD. Parmi ces mesures, on trouve :
Le Conseil d'État a également souligné qu'il était possible que certaines données techniques liées à l'utilisation de la plateforme soient transférées à des administrateurs de Microsoft situés aux États-Unis, mais ces données ne concerneraient que les connexions des utilisateurs, et non les données de santé elles-mêmes.
La réponse du Conseil d'État pourrait bien marquer le dernier chapitre d'une saga entamée en 2019 concernant la relation entre le Health Data Hub et Microsoft. Depuis le début, ce choix a suscité des critiques, notamment au nom de la souveraineté numérique et de la sensibilité des données de santé.
En 2021, le gouvernement a tenté de redresser la situation avec les déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, qui a proposé une doctrine centrée sur le cloud et a imposé une migration des données vers un cloud de confiance dans un délai de douze mois.
Il faudra cependant attendre encore quelques années avant qu'un premier appel d'offres soit lancé en juillet 2025 pour une migration « intercalaire ». Plusieurs candidats, tels qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales, s'étaient alors positionnés.
Au début de l'année 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud. Des entreprises comme Cloud Temple et S3NS devraient également se porter candidates, en plus des autres sociétés mentionnées.
Cette évolution dans la gestion des données de santé soulève des questions cruciales sur la protection des données personnelles et la souveraineté numérique. Les décisions à venir sur les migrations et les choix d'hébergement seront essentielles pour l'avenir du traitement des données de santé en France.
