Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a récemment validé la décision de la Commission nationale de l'informatique et des libertés (CNIL) qui autorise le traitement des données de santé par le Health Data Hub, et ce, malgré l'hébergement de ces informations sur les serveurs de Microsoft Azure.
Cette décision intervient alors qu'un appel d'offres a été lancé pour migrer les données vers une plateforme SecNumCloud. Bien que cette affaire remonte à 2025, c'est seulement la semaine dernière que le Conseil d'État a mis un point final sur la validation de la CNIL concernant le programme européen Darwin. Ce programme vise à établir un réseau de collecte d'informations pour les chercheurs, leur permettant d'étudier le fonctionnement des médicaments dans des conditions réelles, et non seulement en essais cliniques.
En France, ce projet touche environ 10 millions de personnes et a été confié au Health Data Hub, qui utilise les infrastructures d'Azure de Microsoft. En février 2025, la CNIL avait donné son feu vert au projet, malgré des contestations émanant de plusieurs associations et entreprises, telles que la Ligue des droits de l'Homme et Clever Cloud.
Dans sa décision, le Conseil d'État reconnaît qu'il ne peut « être exclu » que les autorités américaines puissent, par le biais de leurs lois, demander un accès aux informations de santé. Cependant, il reprend les arguments de la CNIL concernant les garde-fous mis en place pour assurer la conformité au RGPD dans le choix de Microsoft. Parmi ces mesures, on trouve :
Le Conseil d'État souligne également qu'il est possible que certaines données techniques liées à l'utilisation de la plateforme soient transférées vers des administrateurs de Microsoft basés aux États-Unis. Toutefois, ces données ne concernent que les connexions utilisateurs et non les données de santé elles-mêmes.
En définitive, la réponse du Conseil d'État semble marquer un tournant dans la saga du lien entre le Health Data Hub et Microsoft, qui a débuté en 2019. Dès le départ, ce choix a été critiqué au nom de la souveraineté numérique et de la sensibilité des données de santé. Le gouvernement a tenté de rectifier le tir en 2021 avec les déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, qui prônait une migration des données vers un cloud de confiance dans un délai de douze mois.
Il faudra néanmoins encore patienter quelques années avant qu'un premier appel d'offres soit lancé en juillet 2025 pour une migration « intercalaire ». Plusieurs candidats, tels qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales, se sont déjà positionnés. En début d'année 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud, avec des sociétés comme Cloud Temple ou S3NS parmi les candidats potentiels.
Cette décision du Conseil d'État illustre les défis contemporains en matière de traitement des données de santé, et souligne l'importance d'un cadre législatif robuste pour protéger la vie privée des citoyens tout en permettant des avancées significatives en recherche médicale.
