Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a récemment validé la décision de la CNIL (Commission Nationale de l'Informatique et des Libertés) autorisant le traitement des données de santé par le Health Data Hub. Cette approbation intervient malgré l'hébergement des données sur Azure, la plateforme cloud de Microsoft.
Bien que cette affaire remonte à 2025, c'est seulement à la fin de la semaine dernière que le Conseil d'État a mis un terme à la contestation de la décision de la CNIL concernant le programme Darwin. Ce projet vise à établir un réseau de collecte d'informations destiné aux chercheurs, leur permettant d'évaluer le fonctionnement des médicaments dans des conditions réelles, au-delà des essais cliniques.
En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont actuellement hébergées sur Azure de Microsoft. En février 2025, la CNIL a donné son feu vert malgré des contestations émanant de plusieurs associations et entreprises, telles que la Ligue des droits de l'Homme et Clever Cloud.
Dans sa décision, le Conseil d'État a reconnu qu'il ne peut « être exclu » que les autorités américaines puissent demander, selon leurs lois, un accès aux informations de santé. Toutefois, la juridiction a repris les arguments de la CNIL concernant les garde-fous mis en place pour garantir la conformité au RGPD (Règlement Général sur la Protection des Données) dans le choix de Microsoft. Ces garde-fous incluent :
Le Conseil d'État a également souligné qu'il est possible que des données techniques relatives à l'utilisation de la plateforme soient transférées à des administrateurs de Microsoft situés aux États-Unis. Ces données concernent uniquement les connexions des utilisateurs et non les données de santé elles-mêmes.
En définitive, la réponse du Conseil d'État semble constituer un dernier rebondissement dans la saga du lien entre le Health Data Hub et Microsoft, qui a débuté en 2019. Dès le départ, ce choix a été critiqué au nom de la souveraineté numérique et de la sensibilité particulière des données de santé.
Le gouvernement a tenté de rectifier la situation en 2021 avec les prises de position d'Amélie de Montchalin, alors ministre de la fonction publique, qui a affirmé la nécessité d'une migration des données vers un cloud de confiance dans les 12 mois suivant la décision.
Il a toutefois fallu attendre jusqu'à juillet 2025 pour qu'un premier appel d'offres soit lancé concernant une migration « intercalaire ». Plusieurs candidats, tels qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales, s'étaient positionnés à ce moment-là.
En début 2026, le gouvernement a décidé de relancer un appel d'offres, cette fois-ci pour une migration complète vers une plateforme qualifiée SecNumCloud. Des sociétés comme Cloud Temple et S3NS se porteront candidates, en plus des autres entreprises mentionnées précédemment.
Ce dossier complexe continue d'évoluer, soulevant des questions cruciales sur la gestion des données de santé et la sécurité des informations sensibles dans un contexte de souveraineté numérique.
