Dans le contexte du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a récemment validé la décision de la CNIL (Commission Nationale de l'Informatique et des Libertés) autorisant le traitement des données de santé par le Health Data Hub. Cette validation survient malgré le fait que les informations sont hébergées sur la plateforme Azure de Microsoft.
Un projet controversé
Cette décision intervient alors même qu'un appel d'offres a été lancé pour la migration vers une plateforme SecNumCloud, témoignant des préoccupations persistantes concernant la sécurité des données de santé. Bien que l'affaire remonte à 2025, c'est seulement la semaine dernière que le Conseil d'État a finalisé la validation de la CNIL concernant le programme européen Darwin, qui vise à établir un réseau de collecte d'informations pour les chercheurs. L'objectif est de permettre l'étude des médicaments en conditions réelles, au-delà des seuls essais cliniques.
Galerie
Impact sur 10 millions de personnes
En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont actuellement hébergées sur Azure de Microsoft. En février 2025, la CNIL a donné son feu vert, malgré les oppositions de plusieurs associations et entreprises, y compris la Ligue des droits de l'Homme et Clever Cloud.
Les réserves du Conseil d'État
Dans sa décision, le Conseil d'État a reconnu qu'il « ne peut être exclu » que les autorités américaines puissent demander l'accès aux informations de santé en vertu de leurs lois. Cependant, la juridiction a également pris en considération les mesures de protection mises en place par la CNIL pour assurer la conformité avec le RGPD (Règlement Général sur la Protection des Données). Ces mesures incluent :
- Le stockage des informations dans des datacenters en France certifiés pour l'hébergement de données de santé.
- La pseudonymisation des données.
- Une durée de projet limitée à 3 ans.
Le Conseil d'État a également souligné qu'il est possible que certaines données techniques liées à l'utilisation de la plateforme soient transférées à des administrateurs situés aux États-Unis, mais ces données ne concernent que les connexions des utilisateurs et non les données de santé elles-mêmes.
Une saga en cours
La réponse du Conseil d'État représente probablement le dernier rebondissement dans la saga qui lie le Health Data Hub et Microsoft, une histoire qui a débuté en 2019. Dès le départ, le choix de Microsoft a été critiqué au nom de la souveraineté numérique et de la sensibilité des données de santé. En 2021, le gouvernement a tenté de rectifier le tir via des déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, sur la doctrine du cloud au centre, visant une migration des données vers un cloud de confiance dans un délai de 12 mois.
Appels d'offres à venir
Il a fallu attendre jusqu'en juillet 2025 pour qu'un premier appel d'offres soit lancé concernant une migration « intercalaire ». Plusieurs candidats se sont alors manifestés, notamment Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales. Cependant, en début d'année 2026, le gouvernement a décidé de relancer un appel d'offres, cette fois-ci pour une migration complète vers une plateforme qualifiée SecNumCloud. Des entreprises comme Cloud Temple ou S3NS sont également attendues parmi les candidats, aux côtés des sociétés précédemment citées.
Conclusion
La saga du Health Data Hub et de Microsoft continue d’évoluer, avec des implications majeures pour la gestion des données de santé en France. La décision du Conseil d'État constitue une étape clé dans ce processus, mais la question de la souveraineté numérique et de la protection des données sensibles reste au cœur des préoccupations.
Articles Connexes
Municipales 2026 : L'essor fulgurant de l'extrême droite
Iran : La désescalade dans un contexte d'incertitude pour Donald Trump
L'Origine de Gabriel Attal : Un Voyage à Travers Son Histoire
