
Le Conseil d'État, la plus haute juridiction administrative française, a récemment validé la décision de la Commission nationale de l'informatique et des libertés (CNIL) concernant le traitement des données de santé par le Health Data Hub dans le cadre du projet européen Darwin. Cette décision survient alors qu'un appel d'offres a été lancé pour envisager une migration vers une plateforme SecNumCloud.
Bien que l'affaire remonte à 2025, le Conseil d'État a mis un point final à la validation de la CNIL du programme européen Darwin sur les données de santé à la fin de la semaine dernière. Ce programme a pour but de créer un réseau de collecte d'informations destiné aux chercheurs, leur permettant d'étudier le fonctionnement des médicaments dans des conditions réelles, plutôt qu'exclusivement en essais cliniques.
En France, ce projet concerne plus de 10 millions de citoyens et a été confié au Health Data Hub, dont les données sont actuellement hébergées sur les serveurs Azure de Microsoft. En février 2025, la CNIL avait donné son feu vert à ce traitement, malgré les réticences exprimées par diverses associations et entreprises, parmi lesquelles la Ligue des droits de l'homme et Clever Cloud.
Dans sa décision, le Conseil d'État reconnaît qu'il n'est pas possible d'exclure que les autorités américaines puissent demander un accès aux informations de santé en vertu de leurs lois. Toutefois, il reprend les arguments avancés par la CNIL sur les mesures de sécurité mises en place pour garantir la conformité au RGPD (Règlement général sur la protection des données) dans le choix de Microsoft. Ces mesures comprennent :
Il est également précisé que des données techniques concernant l'utilisation de la plateforme peuvent être transférées à des administrateurs de Microsoft basés aux États-Unis. Cependant, ces données ne concernent que les connexions liées aux utilisateurs et non les données de santé elles-mêmes.
La réponse du Conseil d'État pourrait bien représenter le dernier chapitre d'une saga qui a débuté en 2019, lorsque le choix d'Azure pour l'hébergement du Health Data Hub a été controversé. Ce choix a été critiqué au nom de la souveraineté numérique et de la protection des données sensibles de santé. En 2021, le gouvernement a tenté de rectifier le tir, avec des déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, sur la nécessité d'adopter une doctrine de cloud de confiance et d'imposer une migration des données dans les 12 mois.
Il a fallu attendre jusqu'à juillet 2025 pour qu'un premier appel d'offres soit lancé pour une migration « intercalaire ». Plusieurs entreprises, telles qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales, s'étaient positionnées pour répondre à cet appel d'offres. Cependant, au début de l'année 2026, le gouvernement a décidé de relancer un nouvel appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud. Des entreprises comme Cloud Temple et S3NS envisagent également de participer à cet appel d'offres, en plus des autres entreprises déjà mentionnées.
La validation du Conseil d'État concernant l'hébergement du Health Data Hub sur Azure de Microsoft soulève des questions importantes sur la gestion des données de santé en France. Alors que le projet poursuit son développement, les enjeux de sécurité et de souveraineté numérique demeurent au cœur des débats.
