Dans le cadre du projet européen Darwin, le Conseil d'État, la plus haute juridiction administrative française, a confirmé la décision de la Commission nationale de l'informatique et des libertés (CNIL) qui autorise le traitement des données de santé par le Health Data Hub, malgré l'hébergement de ces informations sur Azure, la plateforme de Microsoft.
Le programme Darwin vise à créer un réseau de collecte d'informations permettant aux chercheurs d'étudier l'efficacité des médicaments dans des conditions réelles, et non uniquement lors des essais cliniques. Ce projet, qui implique près de 10 millions de personnes en France, a été confié au Health Data Hub, dont les données sont actuellement hébergées sur Azure.
En février 2025, la CNIL a donné son feu vert au projet, malgré les réticences exprimées par plusieurs associations et entreprises, notamment la Ligue des droits de l’homme et Clever Cloud. Ces acteurs ont soulevé des préoccupations quant à la confidentialité et à la sécurité des données de santé, en raison de l'implication de Microsoft, une entreprise américaine.
Dans sa décision, le Conseil d'État reconnaît qu'il ne peut pas exclure que les autorités américaines demandent l'accès aux informations de santé en vertu de leurs lois. Cependant, il reprend les arguments avancés par la CNIL concernant les garde-fous mis en place pour garantir la conformité avec le Règlement général sur la protection des données (RGPD). Ces mesures incluent :
Le Conseil d'État souligne également qu'il est possible que des données techniques liées à l'utilisation de la plateforme soient transférées vers des administrateurs de Microsoft situés aux États-Unis. Néanmoins, ces données ne concernent que les connexions des utilisateurs et non les données de santé elles-mêmes.
Cette décision marque probablement le dernier chapitre d'une saga qui a débuté en 2019, lorsque le choix d'héberger le Health Data Hub sur Azure a été critiqué au nom de la souveraineté numérique et de la sensibilité des données de santé. En 2021, le gouvernement a tenté de corriger le tir, avec des déclarations de Amélie de Montchalin, alors ministre de la Fonction publique, qui a plaidé pour une migration rapide vers un cloud de confiance.
Un premier appel d'offres a été lancé en juillet 2025 pour une migration « intercalaire » vers une plateforme sécurisée. Plusieurs entreprises, dont Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales, se sont positionnées comme candidates. Cependant, au début de 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud. D'autres sociétés, telles que Cloud Temple ou S3NS, devraient également se porter candidates.
En définitive, la décision du Conseil d'État représente une avancée significative dans le traitement des données de santé en France, tout en soulevant des questions cruciales sur la protection des données et la souveraineté numérique. Le chemin reste encore long pour assurer une migration sécurisée et conforme aux attentes des citoyens.
