Le Conseil d'État approuve l'hébergement du Health Data Hub sur la plateforme Azure
Le Conseil d'État valide l'hébergement du Health Data Hub
Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a récemment validé la décision de la CNIL (Commission nationale de l'informatique et des libertés) autorisant le traitement des données de santé par le Health Data Hub, malgré l'hébergement des informations sur la plateforme Azure de Microsoft. Cette décision intervient au moment où un appel d'offres a été lancé pour une migration vers une infrastructure certifiée SecNumCloud.
Une décision cruciale dans le traitement des données de santé
Bien que l'affaire remonte à 2025, c'est seulement en fin de semaine dernière que le Conseil d'État a mis un point final sur la validation de la CNIL concernant le programme européen Darwin, qui vise à créer un réseau de collecte d'informations pour les chercheurs. Ce réseau permet d'étudier le fonctionnement des médicaments en conditions réelles, et non uniquement dans le cadre d'essais cliniques. En France, ce projet concerne environ 10 millions de personnes et est géré par le Health Data Hub, dont les données sont actuellement hébergées sur Azure de Microsoft.
Galerie
Les controverses entourant le choix d'Azure
En février 2025, la CNIL a donné son feu vert pour le traitement des données de santé, malgré les contestations d'associations et entreprises, telles que la Ligue des droits de l'Homme et Clever Cloud. Dans sa décision, le Conseil d'État a reconnu qu'il ne pouvait « être exclu » que des autorités américaines puissent demander l'accès aux informations de santé en vertu de leurs lois. Toutefois, la juridiction a soutenu les arguments de la CNIL concernant les mesures de protection mises en place pour garantir la conformité au RGPD (Règlement général sur la protection des données) du choix de Microsoft. Ces garde-fous comprennent le stockage des informations dans des datacenters en France, certifiés pour héberger des données de santé, ainsi que des mesures de pseudonymisation et une durée de projet limitée à trois ans.
Transfert de données et préoccupations sécuritaires
Le Conseil d'État a également souligné qu'il était possible que des données techniques relatives à l'utilisation de la plateforme soient transférées à des administrateurs de Microsoft situés aux États-Unis. Cependant, il est important de noter que ces données ne concernent que les connexions des utilisateurs et non les données de santé elles-mêmes.
Un parcours semé d'embûches pour le Health Data Hub
En définitive, la réponse du Conseil d'État représente probablement le dernier rebondissement dans la saga concernant le lien entre le Health Data Hub et Microsoft, qui a débuté en 2019. Dès le départ, ce choix a été critiqué au nom de la souveraineté numérique et de la sensibilité particulière des données de santé.
Des efforts pour redresser la situation
Le gouvernement français a tenté de rectifier le tir en 2021, avec les déclarations d'Amélie de Montchalin, alors ministre de la fonction publique, qui a plaidé pour une doctrine du cloud au centre et a imposé une migration des données des programmes dans un délai de 12 mois vers une solution de confiance. Toutefois, il a fallu attendre jusqu'à juillet 2025 pour qu'un premier appel d'offres soit lancé concernant une migration intercalaire. Plusieurs entreprises, dont Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales, se sont positionnées comme candidats.
Un nouvel appel d'offres en perspective
Au début de 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud. Des entreprises comme Cloud Temple ou S3NS se porteront candidates, aux côtés des autres sociétés mentionnées précédemment.
Conclusion
Cette décision du Conseil d'État marque une étape importante dans le traitement des données de santé en France et souligne les enjeux complexes liés à la protection des données et à la souveraineté numérique.