Le Conseil d'État approuve l'hébergement du Health Data Hub sur la plateforme Azure de Microsoft
Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a confirmé la décision de la CNIL (Commission Nationale de l'Informatique et des Libertés) autorisant le traitement des données de santé par le Health Data Hub, malgré l'hébergement des informations sur la plateforme Azure de Microsoft.
Un contexte de migration
Cette décision intervient alors qu'un appel d'offres a été lancé pour migrer vers une plateforme qualifiée SecNumCloud. Bien que l'affaire remonte à 2025, c'est seulement en fin de semaine dernière que le Conseil d'État a mis un point final à la validation de la CNIL concernant le programme européen Darwin sur les données de santé.
Le projet Darwin : un enjeu pour la recherche médicale
Le programme Darwin vise à créer un réseau de collecte d'informations pour les chercheurs, permettant d'étudier le fonctionnement des médicaments en conditions réelles, et non uniquement dans le cadre d'essais cliniques. En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont actuellement hébergées sur Azure de Microsoft.
Le feu vert de la CNIL malgré des contestations
En février 2025, la CNIL a donné son feu vert au projet, malgré les réserves exprimées par plusieurs associations et entreprises, telles que la Ligue des droits de l'Homme et Clever Cloud. Dans sa décision, le Conseil d'État a reconnu qu'il ne peut « être exclu » que les autorités américaines puissent demander, par le biais de leurs lois, un accès aux informations de santé. Toutefois, il reprend les arguments de la CNIL concernant les garde-fous mis en place pour assurer la conformité au RGPD (Règlement Général sur la Protection des Données) du choix de Microsoft.
Les mesures de sécurité mises en place
- Stockage des informations dans des datacenters en France, certifiés hébergeur de données de santé,
- Pseudonymisation des données,
- Durée du projet limitée à 3 ans.
Le Conseil d'État a également souligné qu'il est « possible que des données techniques d'usage de la plateforme soient transférées vers des administrateurs de Microsoft situés aux États-Unis ». Cependant, ces données ne concernent que les connexions liées aux utilisateurs et non les données de santé elles-mêmes.
Une saga qui dure depuis 2019
La réponse du Conseil d'État marque probablement le dernier rebondissement d'une saga qui a débuté en 2019, où le choix de Microsoft pour l'hébergement des données de santé a été critiqué au nom de la souveraineté numérique et de la sensibilité particulière des données de santé.
Les efforts du gouvernement pour rectifier la situation
En 2021, le gouvernement a tenté de corriger le tir, avec les prises de position d'Amélie de Montchalin, alors ministre de la fonction publique, soulignant l'importance d'une doctrine de cloud de confiance. Elle avait également imposé une migration des données des programmes dans un délai de 12 mois vers un cloud de confiance.
Vers une nouvelle migration en 2026
Il faudra encore attendre quelques années pour qu'un premier appel d'offres soit lancé en juillet 2025 pour une migration « intercalaire ». Plusieurs candidats, tels qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales, se sont positionnés pour ce projet. En début d'année 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud, avec des sociétés comme Cloud Temple ou S3NS parmi les candidats potentiels.
Conclusion
Cette décision du Conseil d'État soulève des questions importantes sur la gestion des données de santé et la souveraineté numérique en France. Alors que les enjeux de sécurité et de conformité demeurent cruciaux, la transition vers des solutions de cloud de confiance est plus que jamais nécessaire pour protéger les données sensibles des citoyens.
