Le Conseil d'État approuve l'hébergement du Health Data Hub sur Microsoft Azure

Le Conseil d'État valide l'hébergement du Health Data Hub sur Azure

Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a récemment validé la décision de la Cnil (Commission nationale de l'informatique et des libertés) qui autorise le traitement des données de santé par le Health Data Hub, malgré l'hébergement de ces informations sur Azure, la plateforme cloud de Microsoft.

Contexte du projet Darwin

Le projet Darwin vise à créer un réseau de collecte d'informations destiné aux chercheurs, leur permettant d'étudier l'efficacité des médicaments en conditions réelles, au-delà des essais cliniques traditionnels. En France, ce programme concerne environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont hébergées sur Azure de Microsoft.

Les décisions de la Cnil et du Conseil d'État

En février 2025, la Cnil a donné son feu vert au traitement des données de santé, malgré les contestations émanant de plusieurs associations et entreprises, telles que la Ligue des droits de l’Homme et Clever Cloud. Ces opposants mettent en avant des préoccupations concernant la souveraineté numérique et la sécurité des données sensibles.

Dans sa décision, le Conseil d'État a reconnu qu'il ne pouvait pas « être exclu » que les autorités américaines, en vertu de leurs lois, puissent demander un accès aux informations de santé. Cependant, la juridiction a repris les arguments de la Cnil, qui a mis en avant les garde-fous instaurés pour assurer la conformité avec le RGPD (Règlement général sur la protection des données) dans le choix de Microsoft. Parmi ces mesures, on trouve :

Article connexe Mise à jour en direct sur le financement du DHS : Johnson annonce un vote de la Chambre sur son propre plan, et non celui du Sénat

• Le stockage des informations dans des datacenters localisés en France et certifiés pour héberger des données de santé.
• La pseudonymisation des données.
• Une durée de projet limitée à 3 ans.

Le Conseil d'État a également précisé qu'il est envisageable que des données techniques d'usage de la plateforme soient transférées vers des administrateurs de Microsoft situés aux États-Unis. Toutefois, ces données concernent uniquement les connexions des utilisateurs et non les données de santé elles-mêmes.

Une saga juridique en cours

La réponse du Conseil d'État marque probablement un tournant dans la saga du lien entre le Health Data Hub et Microsoft, qui a débuté en 2019. Dès le départ, ce choix a été critiqué et contesté au nom de la souveraineté numérique et de la sensibilité des données de santé. En 2021, le gouvernement a tenté de rectifier le tir avec des déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, qui a exprimé une volonté d'imposer une « migration des données des programmes dans un cloud de confiance » dans un délai de 12 mois.

Il a fallu néanmoins attendre jusqu'à juillet 2025 pour qu'un premier appel d'offres soit lancé concernant une migration « intercalaire ». Plusieurs candidats se sont alors manifestés, notamment Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales.

Article connexe Régime Natman : Menu Complet de 4 Jours pour Perdre du Poids

En début d'année 2026, le gouvernement a décidé de relancer un nouvel appel d'offres, cette fois-ci pour une migration complète vers une plateforme qualifiée SecNumCloud. Des sociétés comme Cloud Temple ou S3NS devraient également se porter candidates, aux côtés des autres entreprises déjà citées.

Conclusion

En définitive, la décision du Conseil d'État souligne les défis persistants liés au traitement des données de santé et à la technologie cloud, tout en mettant en lumière les enjeux de souveraineté numérique dans un contexte globalisé. Les prochaines étapes de ce dossier seront donc cruciales pour l'avenir du Health Data Hub et pour la protection des données personnelles en France.