Le Conseil d'État, la plus haute juridiction administrative française, a récemment validé la décision de la Cnil (Commission nationale de l'informatique et des libertés) concernant le traitement des données de santé par le Health Data Hub, malgré l'hébergement de ces données sur Azure, la plateforme cloud de Microsoft. Cette décision intervient à un moment où un appel d'offres est lancé pour migrer vers une plateforme qualifiée SecNumCloud.
Contexte du projet européen Darwin
Le projet européen Darwin a pour objectif de créer un réseau de collecte d'informations destiné aux chercheurs, leur permettant d'étudier le fonctionnement des médicaments en conditions réelles, et non seulement lors d'essais cliniques. En France, ce projet touche environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont actuellement hébergées sur Azure.
Galerie
La décision de la Cnil et les controverses
En février 2025, la Cnil a accordé son feu vert au projet, malgré les critiques et les contestations de plusieurs associations et entreprises, notamment la Ligue des droits de l’Homme et Clever Cloud. Dans sa décision, le Conseil d'État reconnaît qu'il ne peut « être exclu » que les autorités américaines puissent demander l'accès aux informations de santé via leurs lois. Cependant, il se base sur les garanties fournies par la Cnil concernant la conformité au RGPD (Règlement général sur la protection des données) dans le choix de Microsoft.
Les garanties de sécurité mises en place
Le Conseil d'État souligne les mesures de sécurité adoptées, telles que :
- Stockage des données dans des datacenters en France certifiés pour l'hébergement de données de santé,
- Pseudonymisation des données,
- Durée du projet limitée à 3 ans.
Il est également mentionné que certaines données techniques d'utilisation de la plateforme pourraient être transférées vers des administrateurs de Microsoft situés aux États-Unis, mais ces données ne concernent que les connexions des utilisateurs, et non les données de santé elles-mêmes.
Une saga qui dure depuis 2019
La décision du Conseil d'État représente probablement l'épilogue d'une saga débutée en 2019 concernant le lien entre le Health Data Hub et Microsoft. Depuis le départ, ce choix a été critiqué au nom de la souveraineté numérique et de la sensibilité particulière des données de santé.
Les tentatives de réformes du gouvernement
Pour tenter de rectifier la situation, le gouvernement a pris des positions en 2021 par l'intermédiaire d'Amélie de Montchalin, alors ministre de la Fonction publique, qui a plaidé pour une migration des données vers un cloud de confiance dans un délai de 12 mois.
Appels d'offres pour la migration des données
Il faudra cependant attendre jusqu'à juillet 2025 pour qu'un premier appel d'offres soit lancé concernant une migration « intercalaire ». À ce moment-là, plusieurs candidats se sont positionnés, parmi lesquels Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales.
En début 2026, le gouvernement a décidé de relancer un nouvel appel d'offres, cette fois pour une migration complète vers une solution qualifiée SecNumCloud. D'autres sociétés comme Cloud Temple ou S3NS pourraient également se porter candidates.
Conclusion
La décision du Conseil d'État marque un tournant dans la gestion des données de santé en France et soulève des questions importantes sur la souveraineté numérique et la protection des données personnelles. Ce dossier reste à suivre de près alors que les enjeux de la santé numérique continuent d'évoluer.
Articles Connexes
« Le Moment orwellien » : Quand la science devient la cible des populismes
One Health Summit à Lyon : Un programme riche et engageant dévoilé
Brice Hortefeux face à la « note Moussa Koussa » lors du procès en appel de l'affaire Sarkozy-Kadhafi : une situation déconcertante
