Le Conseil d'État valide l'hébergement du Health Data Hub sur Azure
Dans le cadre du projet européen Darwin, la plus haute juridiction administrative de France, le Conseil d'État, a confirmé la décision de la Commission nationale de l'informatique et des libertés (CNIL) autorisant le traitement des données de santé par le Health Data Hub, même si ces informations sont hébergées sur Azure, la plateforme cloud de Microsoft.
Contexte du projet
Ce jugement intervient alors qu'un appel d'offres a été lancé pour migrer vers une plateforme certifiée SecNumCloud. Bien que cette affaire remonte à 2025, la décision finale du Conseil d'État n'a été rendue que la semaine dernière, validant ainsi la position de la CNIL sur le programme européen Darwin, qui vise à collecter des données pour des recherches sur l'efficacité des médicaments en conditions réelles, et pas seulement lors d'essais cliniques.
Galerie
Impact du projet sur la population
En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, qui centralise les données de santé, hébergées sur Azure. En février 2025, la CNIL a donné son feu vert, malgré les critiques de plusieurs associations, comme la Ligue des droits de l’Homme et Clever Cloud, qui craignaient des atteintes à la vie privée.
Les arguments du Conseil d'État
Dans sa décision, le Conseil d'État a reconnu qu'il n'est pas exclu que les autorités américaines puissent, à travers leur législation, demander l'accès aux informations de santé. Toutefois, la juridiction s'est appuyée sur les arguments de la CNIL concernant les garanties mises en place pour assurer la conformité avec le RGPD (Règlement général sur la protection des données) dans le choix de Microsoft. Ces garanties incluent :
- Stockage des données dans des datacenters en France, certifiés pour l'hébergement de données de santé.
- Pseudonymisation des données.
- Durée limitée du projet à trois ans.
De plus, il a été souligné que les données techniques relatives à l'utilisation de la plateforme pourraient être transférées à des administrateurs de Microsoft situés aux États-Unis, mais ces données ne concerneraient que les connexions des utilisateurs et non les informations de santé elles-mêmes.
Une saga controversée
En définitive, la décision du Conseil d'État marque probablement la fin d'une longue saga concernant le lien entre le Health Data Hub et Microsoft, qui a débuté en 2019. Ce choix a été vivement critiqué dès le départ, notamment en raison des enjeux de souveraineté numérique et de la sensibilité des données de santé.
Le gouvernement a tenté de rectifier le tir en 2021, suite aux déclarations d'Amélie de Montchalin, alors ministre de la fonction publique. Elle a évoqué une doctrine visant à privilégier un cloud de confiance et a imposé une migration des données dans un délai de 12 mois.
Appel d'offres et futurs développements
Cependant, il faudra attendre encore quelques années avant que le premier appel d'offres pour une migration « intercalaire » ne soit lancé, prévu pour juillet 2025. Plusieurs entreprises telles qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales se sont déjà positionnées comme candidats.
Au début de l'année 2026, le gouvernement a décidé de relancer un nouvel appel d'offres, cette fois pour une migration complète vers une plateforme certifiée SecNumCloud. Des sociétés comme Cloud Temple et S3NS devraient également se porter candidates, en plus des autres déjà mentionnées.
Conclusion
La validation par le Conseil d'État du traitement des données par le Health Data Hub sur Azure représente un tournant significatif dans la gestion des données de santé en France, qui continuera d'évoluer avec les appels d'offres à venir et les enjeux de la souveraineté numérique.
