Le Conseil d'État approuve l'hébergement du Health Data Hub sur Azure de Microsoft
Le Conseil d'État approuve l'hébergement du Health Data Hub sur Azure
Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a validé la décision de la Commission Nationale de l'Informatique et des Libertés (CNIL) autorisant le traitement des données de santé par le Health Data Hub, malgré le fait que ces informations soient hébergées sur la plateforme Azure de Microsoft.
Contexte et enjeux du projet Darwin
Ce projet, qui vise à créer un réseau de collecte d'informations pour les chercheurs afin d'étudier l'efficacité des médicaments en conditions réelles, touche environ 10 millions de personnes en France. Le Health Data Hub, chargé de la gestion de ces données, a été critiqué depuis son lancement en 2019 en raison des préoccupations liées à la souveraineté numérique et à la sensibilité des données de santé.
Galerie
Décision du Conseil d'État et réactions
La décision du Conseil d'État, rendue à la fin de la semaine dernière, met un terme à un long processus de validation de la CNIL concernant le programme européen Darwin. En février 2025, la CNIL avait donné son accord malgré les contestations de plusieurs associations, dont la Ligue des droits de l'Homme et Clever Cloud.
Dans sa décision, le Conseil d'État a reconnu qu'il ne pouvait pas exclure la possibilité que les autorités américaines demandent l'accès aux informations de santé en vertu de leurs lois. Toutefois, il a repris les arguments de la CNIL concernant les mesures de sécurité mises en place pour garantir la conformité avec le Règlement Général sur la Protection des Données (RGPD). Ces mesures incluent :
- Stockage des informations dans des datacenters en France, certifiés pour l'hébergement de données de santé,
- Pseudonymisation des données,
- Durée du projet limitée à 3 ans.
Le Conseil d'État a également souligné que des données techniques relatives à l'utilisation de la plateforme pourraient être transférées vers des administrateurs de Microsoft basés aux États-Unis. Cependant, il a précisé que ces données ne concernaient que les connexions des utilisateurs et non les données de santé elles-mêmes.
Avenir du Health Data Hub et migration vers un cloud de confiance
La réponse du Conseil d'État pourrait marquer la fin d'un chapitre tumultueux concernant le lien entre le Health Data Hub et Microsoft. Le gouvernement français a tenté de rectifier la situation en 2021, avec les déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, qui a insisté sur la nécessité d'adopter une doctrine du cloud de confiance et a exigé une migration des données vers une plateforme de confiance dans les 12 mois.
Pourtant, il faudra attendre jusqu'en juillet 2025 pour que le premier appel d'offres soit lancé concernant cette migration. Plusieurs entreprises, dont Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales, se sont positionnées comme candidates pour ce projet. En début d'année 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud, cette fois-ci avec de nouveaux candidats comme Cloud Temple ou S3NS qui s'ajouteront aux autres entreprises mentionnées précédemment.
Conclusion
En résumé, la validation par le Conseil d'État du projet de traitement des données de santé par le Health Data Hub sur Azure de Microsoft souligne les enjeux complexes liés à la gestion des données de santé en France. Alors que le pays s'oriente vers une migration vers des solutions plus sûres, les préoccupations concernant la souveraineté numérique et la protection des données sensibles demeurent au centre des débats.
