Le Conseil d'État, la plus haute juridiction administrative française, a validé la décision de la Commission nationale de l'informatique et des libertés (Cnil) concernant le traitement des données de santé via le Health Data Hub. Cette décision survient dans le cadre du projet européen Darwin, qui vise à établir un réseau de collecte d'informations pour la recherche sur l'efficacité des médicaments dans des conditions réelles.
Le projet Darwin, qui concerne environ 10 millions de personnes en France, a été conçu pour permettre aux chercheurs d'accéder à des données de santé de manière à étudier l'efficacité des traitements au-delà des essais cliniques traditionnels. Le Health Data Hub, en charge de cette initiative, stocke les données sur la plateforme Azure de Microsoft.
En février 2025, la Cnil a donné son feu vert au traitement des données, malgré les objections de plusieurs associations et entreprises, dont la Ligue des droits de l'Homme et Clever Cloud. Ces critiques étaient principalement axées sur des questions de souveraineté numérique et de protection des données sensibles.
Le Conseil d'État a reconnu que, bien qu'il soit possible que les autorités américaines puissent requérir l'accès aux données de santé par le biais de leurs lois, plusieurs mesures de protection ont été mises en place pour assurer la conformité avec le Règlement général sur la protection des données (RGPD). Parmi ces mesures, on trouve :
Le Conseil d'État a également noté que des données techniques relatives à l'utilisation de la plateforme pourraient être transférées vers des administrateurs de Microsoft situés aux États-Unis, mais a précisé que ces données ne concernaient que les connexions des utilisateurs et non les données de santé elles-mêmes.
Cette décision marque peut-être la fin d'une saga qui a commencé en 2019, lorsque le choix d'héberger les données de santé sur Azure a suscité de vives critiques. Le gouvernement a tenté de redresser la situation en 2021 en annonçant une migration des données vers un cloud de confiance dans les douze mois à venir, une idée soutenue par Amélie de Montchalin, alors ministre de la fonction publique.
Malgré ces intentions, il a fallu attendre jusqu'en juillet 2025 pour qu'un premier appel d'offres soit lancé concernant une migration « intercalaire » vers une plateforme certifiée SecNumCloud. Plusieurs entreprises, telles qu’Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales, ont exprimé leur intérêt pour ce projet.
En début 2026, le gouvernement a décidé de relancer un nouvel appel d'offres, cette fois pour une migration complète vers une plateforme qualifiée SecNumCloud. Des entreprises comme Cloud Temple et S3NS se joindront aux autres candidats mentionnés précédemment.
La décision du Conseil d'État, tout en répondant à des préoccupations légitimes, souligne les défis liés à la gestion des données de santé à une époque où la technologie et la réglementation évoluent rapidement. Le débat sur la souveraineté numérique et la sécurité des données de santé continuera de faire l'objet de discussions intenses en France.
Pour recevoir nos actualités, abonnez-vous à notre newsletter, comme plus de 50 000 professionnels de l'IT en France.
