Dans le cadre du projet européen Darwin, le Conseil d'État, la plus haute juridiction administrative française, a récemment validé la décision de la Commission nationale de l'informatique et des libertés (Cnil) autorisant le traitement des données de santé par le Health Data Hub. Cette décision a été prise malgré l'hébergement des informations sur la plateforme Azure de Microsoft.
Le projet Darwin vise à établir un réseau de collecte d'informations destiné aux chercheurs, leur permettant d'étudier le fonctionnement des médicaments dans des conditions réelles, et non seulement lors d'essais cliniques. En France, ce projet touche environ 10 millions de personnes et a été confié au Health Data Hub, qui centralise les données de santé, hébergées sur les serveurs d'Azure.
En février 2025, la Cnil a donné son feu vert au projet, malgré des contestations de plusieurs associations et entreprises, notamment la Ligue des Droits de l'Homme et Clever Cloud. Ces opposants soulignent les risques liés à la souveraineté numérique et à la protection des données sensibles.
Dans sa décision, le Conseil d'État a reconnu qu'il ne pouvait pas « exclure » la possibilité que les autorités américaines demandent l'accès aux informations de santé en vertu de leurs lois. Toutefois, il a également mis en avant les mesures de sécurité mises en place par la Cnil pour garantir la conformité au Règlement général sur la protection des données (RGPD) dans le choix d'Azure, telles que :
Le Conseil d'État a également précisé que des données techniques relatives à l'utilisation de la plateforme pourraient être transférées à des administrateurs de Microsoft basés aux États-Unis. Cependant, ces données ne concernent que les connexions des utilisateurs et non les informations de santé elles-mêmes.
Cette décision du Conseil d'État marquerait peut-être la fin d'une saga qui a débuté en 2019 concernant la relation entre le Health Data Hub et Microsoft. Dès le départ, ce choix a été critiqué en raison des enjeux de souveraineté numérique et de la sensibilité des données de santé. En 2021, le gouvernement a tenté de corriger le tir en se positionnant en faveur d'une « migration des données des programmes dans un cloud de confiance », sous l'impulsion d'Amélie de Montchalin, alors ministre de la Fonction publique.
Le premier appel d'offres pour une migration vers une plateforme SecNumCloud a été lancé en juillet 2025. Plusieurs entreprises se sont alors manifestées, dont Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales.
En début 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud, avec des sociétés comme Cloud Temple ou S3NS parmi les candidats, en plus des autres déjà mentionnés.
La décision du Conseil d'État concernant le Health Data Hub et son hébergement sur Azure de Microsoft soulève des questions essentielles sur la protection des données de santé en France et la souveraineté numérique. Alors que le gouvernement s'efforce de trouver un équilibre entre l'innovation et la sécurité des données personnelles, l'avenir du projet Darwin reste à surveiller de près.
