Le Conseil d'État approuve l'hébergement du Health Data Hub sur la plateforme Azure de Microsoft
Le Conseil d'État valide l'hébergement du Health Data Hub dans Azure
Le 25 octobre 2025, le Conseil d'État, la plus haute juridiction administrative française, a donné son feu vert à la décision de la Commission nationale de l'informatique et des libertés (CNIL) d'autoriser le traitement des données de santé par le Health Data Hub. Cette validation intervient dans le cadre du projet européen Darwin, qui vise à créer un réseau de collecte d’informations pour la recherche médicale.
Un projet controversé
Le Health Data Hub, qui centralise les données de santé d'environ 10 millions de personnes, a suscité de vives critiques depuis son lancement en 2019. En effet, l'hébergement de ces données sur les serveurs Azure de Microsoft a soulevé des inquiétudes concernant la souveraineté numérique et la protection des données sensibles.
Les réserves de la CNIL
En février 2025, la CNIL avait donné son approbation, malgré les contestations de plusieurs associations et entreprises, dont la Ligue des droits de l'Homme et Clever Cloud. Dans sa décision, le Conseil d'État a reconnu qu'il ne pouvait « être exclu » que les autorités américaines puissent demander, en vertu de leurs lois, un accès aux informations de santé. Toutefois, il a également rappelé les mesures de sécurité mises en place par la CNIL pour garantir la conformité avec le Règlement général sur la protection des données (RGPD).
Les mesures de sécurité en place
- Stockage des données : Les informations sont hébergées dans des datacenters situés en France, certifiés comme hébergeurs de données de santé.
- Pseudonymisation : Les données sont pseudonymisées afin de réduire les risques d'identification.
- Durée limitée : Le projet est limité à une durée de trois ans, après quoi une évaluation de la situation sera effectuée.
Le Conseil d'État a également noté que des données techniques liées à l'utilisation de la plateforme pourraient être transférées à des administrateurs de Microsoft basés aux États-Unis, mais ces données ne concerneraient pas les données de santé.
Un appel d'offres pour une migration vers SecNumCloud
Actuellement, un appel d'offres a été lancé pour envisager une migration vers une plateforme SecNumCloud. Ce processus de migration avait été évoqué par le gouvernement en 2021, dans le cadre des efforts visant à renforcer la souveraineté numérique de la France.
En juillet 2025, un appel d'offres pour une migration « intercalaire » sera lancé, avec plusieurs candidats potentiels tels qu'Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales. Cependant, début 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud.
Les enjeux de la souveraineté numérique
La saga du Health Data Hub et de Microsoft met en lumière les enjeux liés à la gestion des données de santé. Alors que le gouvernement tente de rectifier le tir, les interrogations persistent quant à la sécurité et la confidentialité des informations sensibles. La déclaration d'Amélie de Montchalin, ancienne ministre de la Fonction publique, en 2021, sur la nécessité d'une migration vers un cloud de confiance, reste d'actualité.
Il est crucial que le gouvernement et les organismes concernés continuent d'évaluer les risques et de mettre en œuvre des solutions pour protéger les données de santé des citoyens français.
Conclusion
La décision du Conseil d'État représente une étape significative dans la gestion des données de santé en France, mais elle soulève encore de nombreuses questions sur la sécurité et la souveraineté numérique. Le suivi des développements futurs sera essentiel pour garantir que les droits des citoyens sont préservés tout en permettant l'innovation dans le domaine de la santé.
