Le Conseil d'État approuve l'hébergement des données de santé sur Azure

Le Conseil d'État valide l'hébergement du Health Data Hub sur Azure

Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a validé la décision de la CNIL (Commission nationale de l'informatique et des libertés) autorisant le traitement des données de santé par le Health Data Hub, malgré l'hébergement de ces informations sur la plateforme Azure de Microsoft.

Contexte de la décision

Cette décision intervient alors qu'un appel d'offres a été lancé pour migrer vers une plateforme SecNumCloud, visant à renforcer la sécurité et la souveraineté des données. Bien que l'affaire remonte à 2025, le Conseil d'État a mis un point final à la validation de la CNIL concernant ce programme européen sur les données de santé seulement en fin de semaine dernière.

Objectifs du projet Darwin

Le projet Darwin a pour objectif de créer un réseau de collecte d'informations destiné aux chercheurs, afin d'étudier l'efficacité des médicaments dans des conditions réelles, en dehors des essais cliniques traditionnels. En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, qui utilise Azure de Microsoft pour l'hébergement de ses données.

Réactions et controverses

En février 2025, la CNIL a donné son feu vert au projet, malgré les contestations de plusieurs associations et entreprises, dont la Ligue des droits de l’Homme et Clever Cloud. Dans sa décision, le Conseil d'État a reconnu qu'il ne peut « être exclu » que les autorités américaines puissent demander l'accès aux informations de santé en vertu de leurs lois.

Article connexe Procès libyen : les familles des victimes du DC-10 accusent Nicolas Sarkozy de manipulation médiatique

Garanties de conformité

Cependant, le Conseil d'État a repris les arguments de la CNIL concernant les garanties mises en place pour assurer la conformité avec le RGPD (Règlement général sur la protection des données) dans le choix de Microsoft. Ces garanties comprennent :

• Stockage des informations dans des datacenters en France certifiés pour l'hébergement de données de santé.
• Pseudonymisation des données pour limiter les risques d'identification.
• Une durée de projet limitée à 3 ans.

Le Conseil d'État a également souligné qu'il est possible que certaines données techniques relatives à l'usage de la plateforme soient transférées vers des administrateurs de Microsoft situés aux États-Unis. Toutefois, ces données concernent uniquement les connexions des utilisateurs et non les données de santé elles-mêmes.

Évolutions futures et appels d'offres

La réponse du Conseil d'État marque probablement la fin d'une saga débutée en 2019, où le choix d'héberger les données de santé sur Azure a été largement critiqué au nom de la souveraineté numérique et de la sensibilité des données de santé. En 2021, le gouvernement a tenté de rectifier la situation, avec des déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, sur la nécessité d'imposer une migration des données vers un cloud de confiance dans un délai de 12 mois.

Article connexe Le Conseil d'État confirme l'hébergement du Health Data Hub sur la plateforme Azure de Microsoft

Il a fallu attendre jusqu'à juillet 2025 pour qu'un premier appel d'offres soit lancé pour une migration « intercalaire ». Plusieurs entreprises, dont Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales, s'étaient positionnées comme candidates. Cependant, au début de l'année 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud. D'autres entreprises comme Cloud Temple ou S3NS se porteront candidates, en plus des précédentes.

Conclusion

La décision du Conseil d'État et les réactions qui l'entourent soulignent l'importance cruciale de la sécurité des données de santé et des enjeux de souveraineté numérique au sein de l'UE. Alors que le débat autour des choix d'hébergement se poursuit, la protection des données personnelles des citoyens reste une priorité pour les autorités françaises.