Le Conseil d'État approuve l'hébergement du Health Data Hub sur Azure de Microsoft

Le Conseil d'État valide l'hébergement du Health Data Hub sur Azure

Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française, le Conseil d'État, a récemment approuvé la décision de la Cnil (Commission nationale de l'informatique et des libertés) qui autorise le traitement des données de santé par le Health Data Hub, malgré l'hébergement de ces informations sur la plateforme Azure de Microsoft.

Contexte et implications de la décision

Cette décision intervient alors qu'un appel d'offres a été lancé pour migrer les données vers une plateforme certifiée SecNumCloud. Bien que l'affaire remonte à 2025, c'est seulement à la fin de la semaine dernière que le Conseil d'État a officialisé la validation de la Cnil concernant le programme européen Darwin, qui vise à créer un réseau de collecte d'informations pour les chercheurs. L'objectif est d'étudier le fonctionnement des médicaments dans des conditions réelles, et non uniquement en essai clinique.

En France, ce projet concerne quelque 10 millions de personnes et a été confié au Health Data Hub, qui stocke ses données sur la plateforme Azure de Microsoft. En février 2025, la Cnil a donné son feu vert malgré les contestations émanant de plusieurs associations et entreprises, telles que la Ligue des droits de l'Homme et Clever Cloud.

Les réserves exprimées par le Conseil d'État

Dans sa décision, le Conseil d'État a reconnu qu'il ne pouvait « être exclu » que les autorités américaines puissent demander, par le biais de leurs lois, un accès aux informations de santé. Toutefois, la juridiction a repris les arguments de la Cnil concernant les garanties mises en place pour assurer la conformité au RGPD (Règlement général sur la protection des données) du choix de Microsoft. Parmi ces garanties, on trouve :

• Le stockage des informations dans des datacenters en France, certifiés comme hébergeurs de données de santé,
• La pseudonymisation des données,
• Une durée de projet limitée à 3 ans.

Le Conseil d'État a également souligné qu'il était « possible que des données techniques d'usage de la plateforme soient transférées vers des administrateurs de la société Microsoft situés aux États-Unis ». Cependant, ces données ne concernent que les connexions liées aux utilisateurs, et non les données de santé elles-mêmes.

Le cheminement du dossier depuis 2019

En définitive, la réponse du Conseil d'État marque probablement le dernier épisode de la saga concernant le lien entre le Health Data Hub et Microsoft, qui a débuté en 2019. Dès le départ, ce choix a suscité des critiques et des contestations au nom de la souveraineté numérique et de la sensibilité particulière des données de santé.

Le gouvernement a tenté de rectifier le tir en 2021, lorsque Amélie de Montchalin, alors ministre de la fonction publique, a formulé des prises de position concernant la doctrine du cloud, affirmant la nécessité d'une migration des données des programmes dans un cloud de confiance dans un délai de 12 mois.

Les prochaines étapes

Néanmoins, il a fallu attendre plusieurs années avant qu'un premier appel d'offres soit lancé en juillet 2025 pour une migration « intercalaire ». Plusieurs candidats s'étaient alors positionnés, notamment Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales.

Au début de 2026, le gouvernement a décidé de relancer un appel d'offres, cette fois-ci pour une migration complète sur une plateforme qualifiée SecNumCloud. Des entreprises comme Cloud Temple et S3NS se porteront candidates, aux côtés des autres sociétés mentionnées précédemment.

Conclusion

Le débat autour de l'hébergement des données de santé sur Azure illustre les enjeux cruciaux de la protection des données et de la souveraineté numérique. Alors que le projet Darwin promet des avancées significatives pour la recherche médicale, il soulève également des questions essentielles sur la gestion et la sécurité des données sensibles.