Le Conseil d'État, la plus haute juridiction administrative en France, a récemment validé la décision de la Commission nationale de l'informatique et des libertés (CNIL) concernant le traitement des données de santé par le Health Data Hub, qui est hébergé sur la plateforme Azure de Microsoft. Cette décision intervient dans le cadre du projet européen Darwin, visant à améliorer la recherche médicale en collectant des données de santé.
Le projet Darwin a pour objectif de créer un réseau de collecte d'informations pour les chercheurs, permettant d'étudier l'efficacité des médicaments dans des conditions réelles, au-delà des essais cliniques traditionnels. En France, ce programme concerne environ 10 millions de personnes et a été confié au Health Data Hub. Les données de santé y sont stockées sur les serveurs d'Azure, ce qui a suscité des inquiétudes quant à la sécurité et à la souveraineté numérique.
En février 2025, la CNIL a donné son feu vert au projet, malgré les objections de plusieurs associations et entreprises, dont la Ligue des droits de l'Homme et Clever Cloud. Ces organisations ont exprimé leurs préoccupations quant aux implications de l'hébergement des données de santé sur une plateforme américaine.
Dans sa décision, le Conseil d'État a reconnu qu'il ne pouvait pas exclure la possibilité que des autorités américaines demandent un accès aux données de santé en vertu de leurs lois. Toutefois, la juridiction a également pris en compte les mesures de sécurité mises en place par la CNIL pour garantir la conformité au RGPD (Règlement général sur la protection des données). Parmi ces mesures, on note :
Le Conseil d'État a également souligné que seules des données techniques relatives à l'utilisation de la plateforme pourraient être transférées vers des administrateurs de Microsoft situés aux États-Unis, et que ces données ne concerneraient pas les informations de santé.
Cette décision du Conseil d'État marque probablement le dernier épisode d'une saga qui a débuté en 2019, lorsqu'un choix controversé a été fait en faveur d'Azure pour héberger le Health Data Hub. Depuis le départ, ce choix a été critiqué au nom de la souveraineté numérique et de la protection des données sensibles.
En 2021, le gouvernement a tenté de rectifier la situation. Amélie de Montchalin, alors ministre de la Fonction publique, a exprimé l'intention d'imposer une migration des données vers un cloud de confiance dans un délai de 12 mois.
Il a fallu attendre jusqu'en juillet 2025 pour qu'un premier appel d'offres soit lancé pour une migration « intercalaire ». Plusieurs entreprises, dont Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales, se sont positionnées comme candidats pour ce projet. Cependant, au début de l'année 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud.
Des sociétés comme Cloud Temple et S3NS, ainsi que d'autres précédemment citées, devraient faire acte de candidature pour ce nouveau projet.
La validation par le Conseil d'État de l'hébergement du Health Data Hub sur Microsoft Azure ouvre un nouveau chapitre dans la gestion des données de santé en France. Alors que le débat sur la souveraineté numérique se poursuit, la nécessité d'assurer la protection des données sensibles reste cruciale. Les prochaines étapes de migration vers une plateforme certifiée SecNumCloud seront attentivement surveillées par les parties prenantes.
