Le Conseil d'Etat approuve l'hébergement du Health Data Hub sur Azure
Dans le cadre du projet européen Darwin, le Conseil d'Etat, la plus haute juridiction administrative française, a confirmé la décision de la CNIL (Commission Nationale de l'Informatique et des Libertés) autorisant le traitement des données de santé par le Health Data Hub, malgré l'hébergement de ces informations sur la plateforme Azure de Microsoft.
Contexte et enjeux du projet Darwin
Ce jugement intervient alors qu'un appel d'offres a été lancé pour migrer vers une plateforme SecNumCloud. Bien que cette affaire remonte à 2025, le Conseil d'Etat a mis un point final sur la validation de la CNIL concernant le programme européen Darwin sur les données de santé seulement la semaine dernière.
Le projet Darwin vise à créer un réseau de collecte d'informations pour les chercheurs, leur permettant d'étudier le fonctionnement des médicaments en conditions réelles, et non seulement en essai clinique. En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont hébergées sur Azure de Microsoft.
Feu vert de la CNIL malgré les contestations
En février 2025, la CNIL a donné son feu vert au projet, malgré les réticences exprimées par plusieurs associations et entreprises, telles que la Ligue des Droits de l'Homme et Clever Cloud. Dans sa décision, le Conseil d'Etat a reconnu qu'il ne pouvait « être exclu » que les autorités américaines puissent demander un accès aux informations de santé, conformément à leurs lois.
Les mesures de protection en place
Cependant, la juridiction a repris les arguments de la CNIL concernant les garde-fous instaurés pour garantir la conformité au RGPD (Règlement Général sur la Protection des Données) liés au choix de Microsoft :
- Stockage des informations dans des datacenters en France, certifiés pour l'hébergement de données de santé.
- Pseudonymisation des données.
- Durée du projet limitée à 3 ans.
Il est également souligné qu’« il est possible que des données techniques d’usage de la plateforme soient transférées vers des administrateurs de la société Microsoft situés aux Etats-Unis ». Toutefois, ces données ne concernent que les connexions liées aux utilisateurs, et non les données de santé elles-mêmes.
Une saga qui dure depuis 2019
En définitive, la réponse du Conseil d'Etat marque probablement le dernier rebondissement de la saga entre le Health Data Hub et Microsoft, qui a débuté en 2019. Dès le départ, ce choix a suscité des critiques au nom de la souveraineté numérique et de la sensibilité particulière des données de santé.
En 2021, le gouvernement a tenté de rectifier la situation avec les prises de position d'Amélie de Montchalin, alors ministre de la fonction publique, sur la doctrine du cloud au centre, imposant une migration des données des programmes dans les 12 mois vers un cloud de confiance.
Appel d'offres et migration vers SecNumCloud
Néanmoins, il a fallu attendre plusieurs années pour qu’un premier appel d'offres soit lancé en juillet 2025, concernant une migration « intercalaire ». Plusieurs candidats, tels qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales s'étaient alors manifestés.
Au début de l'année 2026, le gouvernement a décidé de relancer un nouvel appel d'offres, cette fois-ci pour une migration complète vers une plateforme qualifiée SecNumCloud. Des entreprises comme Cloud Temple ou S3NS devraient également se porter candidates, en plus des autres précédemment citées.
Conclusion
Cette décision du Conseil d'État représente une étape importante dans l'évolution des projets de traitement des données de santé en France, soulignant à la fois les défis de la protection des données et l'importance de la recherche médicale.
