Le Conseil d'État confirme l'hébergement des données de santé sur Azure dans le cadre du projet européen Darwin

Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a confirmé la décision de la Cnil (Commission nationale de l'informatique et des libertés) autorisant le traitement des données de santé par le Health Data Hub, qui utilise la plateforme Azure de Microsoft pour héberger ces informations. Cette décision survient alors qu'un appel d'offres a été lancé pour envisager une migration vers une plateforme SecNumCloud.

Une saga judiciaire depuis 2025

Bien que l'affaire remonte à 2025, c'est seulement à la fin de la semaine dernière que le Conseil d'État a mis un point final sur la validation de la Cnil concernant le programme européen Darwin. Ce programme a pour but de créer un réseau de collecte d'informations à destination des chercheurs, leur permettant d'étudier le fonctionnement des médicaments dans des conditions réelles, et non seulement lors d'essais cliniques.

Un projet pour 10 millions de personnes

En France, ce projet, qui concerne environ 10 millions de personnes, a été confié au Health Data Hub, dont les données sont hébergées sur la plateforme Azure de Microsoft. En février 2025, la Cnil a donné son feu vert au projet, malgré de vives contestations de la part de plusieurs associations et entreprises, y compris la Ligue des droits de l’Homme et Clever Cloud.

Les réserves du Conseil d'État

Dans sa décision, le Conseil d'État a reconnu qu'il ne pouvait pas « être exclu » que les autorités américaines puissent demander, en vertu de leurs lois, un accès aux informations de santé. Toutefois, la juridiction a repris les arguments de la Cnil concernant les garde-fous mis en place pour garantir la conformité au RGPD dans le choix de Microsoft :

• Stockage des informations dans des datacenters en France, certifiés pour l'hébergement de données de santé,
• Pseudonymisation des données,
• Durée du projet limitée à 3 ans.

Le Conseil d'État a également souligné qu'il était possible que des données techniques relatives à l'utilisation de la plateforme soient transférées vers des administrateurs de la société Microsoft situés aux États-Unis. Toutefois, il est important de préciser que ces données ne concernent que les connexions liées aux utilisateurs et non les données de santé elles-mêmes.

Une controverse persistante

En définitive, la réponse du Conseil d'État s'inscrit dans un long parcours judiciaire lié au Health Data Hub et à son partenariat avec Microsoft, qui a débuté en 2019. Dès le départ, ce choix a suscité des critiques et des contestations, notamment sur les questions de souveraineté numérique et de la sensibilité particulière des données de santé.

Pour tenter de rectifier la situation, le gouvernement a pris des mesures en 2021, avec les déclarations d’Amélie de Montchalin, alors ministre de la Fonction publique, qui a évoqué la nécessité d'adopter une doctrine du cloud au centre des préoccupations et d'imposer « une migration des données des programmes dans les 12 mois vers un cloud de confiance ».

Vers une migration vers un cloud de confiance

Néanmoins, il faudra encore attendre quelques années pour qu'un premier appel d'offres soit lancé en juillet 2025 concernant une migration « intercalaire ». À cette occasion, plusieurs candidats se positionneront, tels qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales. En début d'année 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud. Des sociétés comme Cloud Temple ou S3NS se porteront également candidates, en plus des entreprises déjà mentionnées.

Conclusion

La validation par le Conseil d'État du traitement des données de santé par le Health Data Hub sur Azure représente une étape cruciale dans une affaire qui continue de susciter débats et controverses. Les enjeux de protection des données personnelles et de souveraineté numérique demeurent au cœur des préoccupations des acteurs concernés.