Le Conseil d'État approuve l'hébergement du Health Data Hub sur Microsoft Azure
Le Conseil d'État se prononce sur le Health Data Hub
Dans le cadre du projet européen Darwin, le Conseil d'État, la plus haute juridiction administrative française, a validé la décision de la Commission Nationale de l'Informatique et des Libertés (CNIL) concernant le traitement des données de santé par le Health Data Hub. Cette décision a été prise malgré le fait que les données soient hébergées sur Azure, la plateforme cloud de Microsoft.
Contexte et enjeux
Cette décision intervient alors qu'un appel d'offres a été lancé pour migrer vers une plateforme SecNumCloud, ce qui soulève des interrogations sur la souveraineté numérique et la protection des données de santé. Bien que l'affaire remonte à 2025, le Conseil d'État a mis un terme à la validation de la CNIL concernant le programme européen Darwin, qui vise à établir un réseau de collecte d'informations pour les chercheurs. Ce programme permettra d'étudier l'efficacité des médicaments dans des conditions réelles, allant au-delà des simples essais cliniques.
Impact sur la population
En France, le projet concerne environ 10 millions de personnes et a été confié au Health Data Hub, dont les données sont stockées sur les serveurs d'Azure. En février 2025, la CNIL a donné son feu vert à ce traitement des données, malgré les objections formulées par plusieurs associations et entreprises, dont la Ligue des droits de l'Homme et Clever Cloud.
Réaction du Conseil d'État
Dans sa décision, le Conseil d'État a reconnu qu'il ne pouvait pas exclure la possibilité que les autorités américaines puissent demander l'accès aux informations de santé en vertu de leurs lois. Cependant, il a également repris les arguments avancés par la CNIL, soulignant les mesures de protection mises en place pour garantir la conformité au Règlement Général sur la Protection des Données (RGPD) dans le choix de Microsoft. Parmi ces mesures, on trouve :
- Le stockage des informations dans des datacenters en France, certifiés pour héberger des données de santé.
- La pseudonymisation des données.
- Une durée de projet limitée à 3 ans.
Le Conseil d'État a également précisé que des données techniques concernant l'utilisation de la plateforme pourraient être transférées vers des administrateurs de Microsoft basés aux États-Unis. Toutefois, ces données ne concernent que les connexions des utilisateurs et non les données de santé elles-mêmes.
Une saga qui dure depuis 2019
La décision récente du Conseil d'État pourrait marquer un tournant dans la saga qui unit le Health Data Hub et Microsoft, une histoire qui a débuté en 2019. Dès le départ, ce choix a suscité des critiques au nom de la souveraineté numérique et de la protection des données sensibles.
Les réponses du gouvernement
Pour tenter de répondre aux préoccupations soulevées, le gouvernement français a pris des mesures en 2021, notamment par le biais des déclarations d'Amélie de Montchalin, alors ministre de la Fonction publique, qui a souligné la nécessité d'une migration des données vers un cloud de confiance dans un délai de 12 mois.
Appels d'offres et migrations à venir
Il a fallu attendre jusqu'à juillet 2025 pour qu'un premier appel d'offres soit lancé concernant une migration « intercalaire ». Plusieurs entreprises se sont positionnées pour cette migration, notamment Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH et Thales.
Au début de 2026, le gouvernement a décidé de relancer un appel d'offres pour une migration complète vers une plateforme qualifiée SecNumCloud. Des entreprises comme Cloud Temple ou S3NS se porteront candidates, en plus des autres sociétés déjà mentionnées.
Conclusion
La décision du Conseil d'État sur l'hébergement du Health Data Hub dans Azure de Microsoft soulève de nombreuses questions sur la gestion des données de santé en France. Alors que les appels d'offres pour des solutions plus sécurisées sont en cours, l'avenir de la protection des données de santé dépendra des choix qui seront faits dans les années à venir.
