Dans le cadre du projet européen Darwin, le Conseil d'État, la plus haute juridiction administrative française, a validé la décision de la Cnil autorisant le traitement des données de santé par le Health Data Hub, malgré l'hébergement de ces informations sur la plateforme Azure de Microsoft. Cette décision intervient au moment où un appel d'offres a été lancé pour migrer vers une solution SecNumCloud.
Bien que cette affaire remonte à 2025, c'est seulement à la fin de la semaine dernière que le Conseil d'État a mis un point final sur la validation par la Cnil du programme européen Darwin, axé sur l'utilisation des données de santé. Ce programme vise à créer un réseau de collecte d'informations pour les chercheurs, leur permettant d'étudier le fonctionnement des médicaments en conditions réelles, et non uniquement dans le cadre d'essais cliniques.
En France, ce projet touche environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont actuellement hébergées sur Azure de Microsoft. En février 2025, la Cnil a donné son feu vert au projet, malgré les contestations émanant de plusieurs associations et entreprises, dont la Ligue des droits de l’Homme et Clever Cloud.
Dans sa décision, le Conseil d'État a reconnu qu'il ne peut « être exclu » que les autorités américaines puissent, par le biais de leur législation, demander un accès aux informations de santé. Toutefois, la juridiction a repris les arguments de la Cnil, qui a mis en avant les garde-fous instaurés pour assurer la conformité au RGPD concernant le choix de Microsoft. Ces mesures incluent :
Le Conseil d'État a également souligné qu’« il est possible que des données techniques d’usage de la plateforme soient transférées vers des administrateurs de la société Microsoft situés aux États-Unis ». Cependant, ces données se limitent aux informations relatives aux connexions des utilisateurs et n'incluent pas les données de santé elles-mêmes.
La réponse du Conseil d'État marque probablement une étape importante dans la saga du lien entre le Health Data Hub et Microsoft, qui a débuté en 2019. Dès le départ, ce choix a été critiqué pour des raisons de souveraineté numérique, en raison de la sensibilité particulière des données de santé.
Pour tenter de rectifier cette situation, le gouvernement a pris des mesures en 2021, notamment par le biais des déclarations d'Amélie de Montchalin, alors ministre de la fonction publique, qui a évoqué une doctrine axée sur le cloud de confiance. Elle a également insisté sur l'importance d'imposer « une migration des données des programmes dans les 12 mois vers un cloud de confiance ».
Néanmoins, il a fallu attendre encore quelques années pour qu’un premier appel d'offres soit lancé en juillet 2025, visant une migration « intercalaire ». Plusieurs candidats s'étaient alors manifestés, parmi lesquels Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales.
Au début de l'année 2026, le gouvernement a décidé de relancer un nouvel appel d'offres, cette fois-ci pour une migration complète vers une plateforme qualifiée SecNumCloud. Des entreprises telles que Cloud Temple et S3NS se sont également portées candidates, en plus des sociétés déjà mentionnées.
Cette évolution montre que, malgré les validations légales, le débat autour de la gestion des données de santé et de la souveraineté numérique est loin d'être clos.
