Le Conseil d'État a validé l'hébergement du Health Data Hub sur Azure de Microsoft, malgré des préoccupations concernant la sécurité des données. Ce projet, qui concerne 10 millions de personnes, a pour but d'améliorer la recherche médicale. Toutefois, des appels d'offres pour une migration vers des solutions cloud plus sécurisées sont prévus dans les années à venir.
Dans le cadre du projet européen Darwin, le Conseil d'État, la plus haute juridiction administrative française, a récemment validé la décision de la CNIL (Commission Nationale de l'Informatique et des Libertés) autorisant le traitement des données de santé par le Health Data Hub. Cette décision intervient malgré les préoccupations liées à l'hébergement des données sur Azure de Microsoft.
Un projet au service de la recherche
Ce projet, qui concerne près de 10 millions de personnes en France, vise à créer un réseau de collecte d'informations cruciales pour les chercheurs. Ces données permettront d'étudier l'efficacité des traitements en conditions réelles, au-delà des seuls essais cliniques. La CNIL avait donné son feu vert en février 2025, malgré des contestations de plusieurs associations et entreprises, y compris la Ligue des Droits de l'Homme et Clever Cloud.
Des préoccupations sur la sécurité des données
Dans sa décision, le Conseil d'État reconnaît que « il ne peut être exclu » que les autorités américaines demandent un accès aux informations de santé en vertu de leur législation. Toutefois, il s'appuie sur les arguments de la CNIL, qui a mis en place des garde-fous pour assurer la conformité avec le RGPD (Règlement Général sur la Protection des Données). Ces mesures incluent :
- Le stockage des données dans des datacenters situés en France, certifiés pour l'hébergement de données de santé.
- La pseudonymisation des données pour limiter leur exposition.
- Une durée de projet limitée à trois ans.
Le Conseil d'État souligne également que des données techniques liées à l'utilisation de la plateforme pourraient être transférées à des administrateurs de Microsoft basés aux États-Unis, mais que ces données ne concernent que les connexions des utilisateurs et non les données de santé elles-mêmes.
Une saga qui dure depuis 2019
Cette décision du Conseil d'État marque probablement la fin d'une saga qui a débuté en 2019, lorsque le choix de Microsoft comme hébergeur a été critiqué au nom de la souveraineté numérique et de la sécurité des données sensibles. En 2021, le gouvernement a tenté de rectifier le tir avec des déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, qui a proposé une migration vers un cloud de confiance dans un délai de 12 mois.
Avenir du Health Data Hub : vers une migration vers SecNumCloud
Malgré ces efforts, il a fallu attendre jusqu'en juillet 2025 pour qu'un premier appel d'offres soit lancé pour une migration vers une plateforme qualifiée SecNumCloud. Plusieurs candidats se sont positionnés, incluant des entreprises telles qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales.
En début d'année 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète sur une plateforme qualifiée SecNumCloud, attirant à nouveau des entreprises comme Cloud Temple et S3NS, en plus de celles déjà mentionnées.
Conclusion
La décision du Conseil d'État sur le Health Data Hub et son hébergement sur Azure de Microsoft souligne des enjeux critiques en matière de sécurité des données et de souveraineté numérique. Alors que la France s'engage dans une transition vers des solutions de cloud plus sûres, le chemin reste semé d'embûches et les préoccupations des citoyens et des organisations continueront d'influencer les décisions à venir.
Galerie
