Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a validé la décision de la Commission Nationale de l'Informatique et des Libertés (CNIL) autorisant le traitement des données de santé par le Health Data Hub, malgré l'hébergement des informations sur Azure, la plateforme de cloud computing de Microsoft.
Contexte du projet Darwin
L'initiative Darwin vise à créer un réseau de collecte d'informations sur la santé, permettant aux chercheurs d'étudier l'efficacité des médicaments en conditions réelles, et non uniquement lors des essais cliniques. En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont actuellement hébergées sur les serveurs d'Azure.
Galerie
Une décision controversée
La décision de la CNIL, prise en février 2025, a suscité des protestations de la part de plusieurs associations et entreprises, y compris la Ligue des droits de l'Homme et Clever Cloud. Les critiques portent principalement sur les implications de la souveraineté numérique et la protection des données de santé sensibles.
Les réserves du Conseil d'État
Dans sa décision, le Conseil d'État reconnaît qu'il ne peut pas exclure la possibilité que les autorités américaines demandent l'accès aux informations de santé conformément à leur législation. Toutefois, la juridiction reprend les arguments de la CNIL concernant les mesures de protection mises en place pour garantir la conformité avec le Règlement Général sur la Protection des Données (RGPD) dans le choix de Microsoft. Ces mesures incluent :
- Stockage des informations dans des datacenters en France certifiés pour l'hébergement de données de santé.
- Pseudonymisation des données.
- Durée du projet limitée à trois ans.
Transferts de données et sécurité
Le Conseil d'État souligne également qu'il est possible que des données techniques liées à l'usage de la plateforme soient transférées vers des administrateurs de Microsoft situés aux États-Unis. Cependant, ces données concernent uniquement les connexions des utilisateurs et non les données de santé elles-mêmes.
Une saga qui dure depuis 2019
La réponse du Conseil d'État constitue probablement un tournant dans la saga du lien entre le Health Data Hub et Microsoft, qui a débuté en 2019. Dès le départ, ce choix a été critiqué au nom de la souveraineté numérique et de la sensibilité particulière des données de santé.
Les tentatives de régulation du gouvernement
En 2021, le gouvernement a tenté de corriger le tir avec les déclarations d'Amélie de Montchalin, alors ministre de la fonction publique, qui a plaidé pour une migration des données vers un cloud de confiance dans un délai de 12 mois. Malgré ces efforts, il faudra attendre plusieurs années avant qu'un appel d'offres pour une migration « intercalaire » soit lancé en juillet 2025.
Appels d'offres et perspectives d'avenir
À cette occasion, plusieurs candidats tels que Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales se sont positionnés. En début d'année 2026, le gouvernement a pris la décision de relancer un appel d'offres, cette fois pour une migration complète vers une plateforme qualifiée SecNumCloud. Des sociétés comme Cloud Temple et S3NS se porteront également candidates, en plus des entreprises précédemment citées.
Conclusion
La validation par le Conseil d'État du traitement des données de santé par le Health Data Hub sur Azure soulève de nombreuses questions concernant la protection des données personnelles et la souveraineté numérique. Bien que des mesures de sécurité soient mises en place, le chemin vers une gestion optimale et sécurisée des données de santé reste semé d'embûches.
Articles Connexes
One Health Summit à Lyon : Un programme riche du 5 au 7 avril
One Health Summit à Lyon : Découvrez le programme de cette 9e édition
Révolution médicale : Réparer un genou sans avoir recours à une prothèse
