Dans le cadre du projet européen Darwin, le Conseil d'État, la plus haute juridiction administrative française, a récemment validé la décision de la Commission nationale de l'informatique et des libertés (CNIL). Cette décision autorise le traitement des données de santé par le Health Data Hub, malgré l'hébergement de ces informations sur les serveurs Azure de Microsoft.
Contexte et objectifs du projet Darwin
Le projet Darwin vise à créer un réseau de collecte et d'analyse des données de santé, permettant aux chercheurs d'étudier l'efficacité des médicaments en conditions réelles, et non seulement dans le cadre d'essais cliniques. En France, ce programme concerne environ 10 millions de personnes et est géré par le Health Data Hub, dont les données sont actuellement hébergées sur Azure.
Galerie
Une décision contestée
Bien que la CNIL ait donné son feu vert en février 2025, cette décision a été contestée par plusieurs associations et entreprises, notamment la Ligue des droits de l’Homme et Clever Cloud. Ces organismes ont exprimé des préoccupations concernant la souveraineté numérique et la sensibilité des données de santé.
Les préoccupations sur l'accès aux données
Dans sa décision, le Conseil d'État a reconnu qu'il ne pouvait pas être exclu que les autorités américaines puissent demander, via leurs lois, un accès aux informations de santé hébergées sur les serveurs d'Azure. Cependant, la juridiction a également repris les arguments de la CNIL, qui a mis en avant plusieurs garde-fous pour assurer la conformité avec le RGPD :
- Stockage des données dans des datacenters en France, certifiés pour l'hébergement de données de santé.
- Pseudonymisation des données.
- Durée du projet limitée à trois ans.
Le Conseil d'État a également souligné que des données techniques liées à l'usage de la plateforme pourraient être transférées à des administrateurs de Microsoft situés aux États-Unis, mais a précisé que ces données ne concernaient que les connexions des utilisateurs et non les données de santé elles-mêmes.
Un chemin semé d'embûches depuis 2019
La réponse du Conseil d'État marque probablement un tournant dans la saga du lien entre le Health Data Hub et Microsoft, qui a débuté en 2019. Dès le départ, le choix d'Azure a été critiqué en raison des enjeux de souveraineté numérique et de la protection des données sensibles.
En 2021, le gouvernement avait tenté de rectifier le tir avec les déclarations d'Amélie de Montchalin, alors ministre de la fonction publique, sur la nécessité d'une doctrine du cloud de confiance. Elle avait également annoncé une migration des données vers un cloud de confiance dans les 12 mois.
Appels d'offres et perspectives d'avenir
Il a fallu attendre jusqu'à juillet 2025 pour qu'un premier appel d'offres soit lancé pour une migration « intercalaire ». Plusieurs entreprises, telles qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales, avaient alors manifesté leur intérêt.
Cependant, en début d'année 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud. Des entreprises comme Cloud Temple ou S3NS devraient également participer, en plus de celles déjà mentionnées.
Conclusion
Cette validation par le Conseil d'État ouvre la voie à de nouveaux développements pour le Health Data Hub et souligne les enjeux cruciaux liés à la gestion des données de santé à l'ère numérique. Les décisions futures concernant la migration vers des solutions cloud de confiance seront scrutées de près par les acteurs du secteur.
Articles Connexes
Le One Health Summit à Lyon : un programme riche et varié à découvrir
Guerre au Moyen-Orient : Donald Trump proroge son ultimatum sur les frappes américaines en Iran jusqu'au 6 avril
Trump ordonne au DHS de rémunérer les agents de la TSA alors que le conflit sur le shutdown se poursuit
