Le Conseil d'État a approuvé l'hébergement des données du Health Data Hub sur Microsoft Azure, malgré des préoccupations liées à la souveraineté numérique. Ce projet, dans le cadre du programme européen Darwin, vise à améliorer la recherche sur les médicaments en conditions réelles. Des garanties ont été mises en place pour assurer la conformité au RGPD, mais des questions demeurent quant à l'accès potentiel des autorités américaines aux données de santé.
Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a récemment validé la décision de la Commission nationale de l'informatique et des libertés (Cnil) autorisant le traitement des données de santé par le Health Data Hub. Cette décision est d'autant plus significative qu'elle intervient alors qu'un appel d'offres a été lancé pour migrer vers une plateforme SecNumCloud.
Un projet ambitieux pour la recherche
Le projet Darwin vise à créer un réseau de collecte d'informations afin d'aider les chercheurs à étudier le fonctionnement des médicaments en conditions réelles, au-delà des simples essais cliniques. En France, ce projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, qui héberge actuellement ses données sur la plateforme Azure de Microsoft.
Une décision controversée
En février 2025, la Cnil a donné son feu vert au projet, malgré les contestations de plusieurs associations et entreprises, dont la Ligue des droits de l'Homme et Clever Cloud. Le Conseil d'État a reconnu dans sa décision qu'il ne peut « être exclu » que les autorités américaines puissent demander, par le biais de leurs lois, un accès aux informations de santé. Toutefois, la juridiction a également souligné les garanties mises en place pour assurer la conformité avec le Règlement général sur la protection des données (RGPD).
Les garde-fous mis en place
- Stockage des informations : Les données sont hébergées dans des datacenters en France, certifiés pour l'hébergement de données de santé.
- Pseudonymisation : Les informations sont pseudonymisées afin de protéger l'identité des utilisateurs.
- Durée du projet : La durée d'exploitation du projet est limitée à 3 ans.
Il a également été précisé que des données techniques liées à l'utilisation de la plateforme pourraient être transférées vers des administrateurs de Microsoft situés aux États-Unis. Cependant, ces données ne concernent que les connexions des utilisateurs et non les données de santé elles-mêmes.
Une saga entamée en 2019
Cette décision du Conseil d'État marque probablement le dernier chapitre d'une saga débutée en 2019, qui a vu le choix du Health Data Hub critiqué pour des raisons de souveraineté numérique et de sensibilité des données de santé. En 2021, le gouvernement a tenté de rectifier ce tir avec les déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, qui a prôné une migration des données vers un cloud de confiance dans un délai de 12 mois.
Les perspectives de migration
Malgré ces efforts, il a fallu attendre jusqu'à juillet 2025 pour qu'un premier appel d'offres soit lancé concernant une migration « intercalaire ». Plusieurs entreprises, dont Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales, avaient alors manifesté leur intérêt. En début d'année 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud, avec des sociétés comme Cloud Temple ou S3NS qui pourraient se porter candidates.
Conclusion
La validation par le Conseil d'État du choix d'Azure pour le Health Data Hub soulève des questions importantes sur la gestion des données de santé et la souveraineté numérique. Alors que le projet avance, il sera essentiel de surveiller les développements futurs et les implications de cette décision sur la protection des données personnelles.
Galerie
