Le Conseil d'État confirme l'hébergement du Health Data Hub sur Microsoft Azure
Le Conseil d'État valide l'hébergement du Health Data Hub sur Azure
Dans une décision attendue, le Conseil d'État, la plus haute juridiction administrative française, a approuvé la décision de la Commission nationale de l'informatique et des libertés (CNIL) concernant le traitement des données de santé par le Health Data Hub, malgré l'hébergement des informations sur la plateforme cloud Azure de Microsoft. Cette validation intervient à un moment où un appel d'offres a été lancé pour la migration vers une plateforme certifiée SecNumCloud.
Contexte et enjeux du projet
Ce projet, qui s'inscrit dans le cadre du programme européen Darwin, vise à créer un réseau de collecte d'informations pour les chercheurs. Son objectif est d'étudier l'efficacité des médicaments en conditions réelles, plutôt que de se limiter aux essais cliniques traditionnels. En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont actuellement hébergées sur les serveurs d'Azure de Microsoft.
La décision de la CNIL et ses implications
En février 2025, la CNIL a donné son feu vert au projet, malgré les contestations de plusieurs associations et entreprises, dont la Ligue des droits de l'Homme et Clever Cloud. Dans sa décision, le Conseil d'État a reconnu qu'il ne pouvait « être exclu » que les autorités américaines puissent, par le biais de leurs lois, demander un accès aux informations de santé. Toutefois, il a également mis en avant les mesures de protection mises en place pour assurer la conformité avec le Règlement général sur la protection des données (RGPD).
Mesures de protection et conformité
- Stockage des informations dans des datacenters situés en France, certifiés comme hébergeurs de données de santé.
- Pseudonymisation des données pour protéger la vie privée des utilisateurs.
- Durée de traitement des données limitée à trois ans.
Le Conseil d'État a également précisé que des données techniques sur l'utilisation de la plateforme pourraient être transférées vers des administrateurs de Microsoft situés aux États-Unis, mais a insisté sur le fait que ces données ne concernaient que les connexions des utilisateurs et non les données de santé elles-mêmes.
Un long parcours semé d’embûches
Cette décision marque un tournant dans la saga du lien entre le Health Data Hub et Microsoft, qui a débuté en 2019. Depuis le lancement du projet, le choix d'Azure a été critiqué au nom de la souveraineté numérique et de la sensibilité des données de santé. En 2021, le gouvernement a tenté de rectifier la situation avec les déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, qui a plaidé pour une migration des données vers un cloud de confiance dans les 12 mois.
Avenir du Health Data Hub
Il faudra cependant attendre jusqu'à juillet 2025 pour que le premier appel d'offres soit lancé pour une migration « intercalaire ». Plusieurs entreprises, dont Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales, s'étaient positionnées comme candidates. En début d'année 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme certifiée SecNumCloud. Des sociétés comme Cloud Temple et S3NS devraient également participer à ce processus.
Conclusion
La validation du Conseil d'État marque une étape cruciale dans la mise en œuvre du Health Data Hub et dans la gestion des données de santé en France. Alors que la question de la sécurité et de la souveraineté numérique reste au cœur des préoccupations, les prochaines étapes de migration vers une plateforme plus sécurisée devraient répondre aux attentes des citoyens et des professionnels de la santé.