Le Conseil d'Etat valide l'hébergement du Health Data Hub dans Azure

Dans le cadre du projet européen Darwin, la plus haute juridiction administrative française a validé la décision de la Cnil autorisant le traitement des données de santé par le Health Data Hub malgré l'hébergement des informations sur Azure de Microsoft. Une décision qui intervient au moment où un appel d'offres a été lancé pour migrer vers une plateforme SecNumCloud.

L’affaire date de 2025, mais c’est seulement en fin de semaine dernière que le Conseil d’Etat a mis un point final sur la validation de la Cnil du programme européen Darwin sur les données de santé. Ce dernier créé un réseau de collecte d’informations pour les chercheurs afin d'étudier le fonctionnement de médicaments en conditions réelles et non uniquement en essai clinique. En France, ce projet qui concerne 10 millions de personnes a été confié au Health Data Hub dont les données sont hébergées sur Azure de Microsoft. En février 2025, la Cnil a donné son feu vert malgré des contestations de plusieurs associations et entreprises dont la ligue des droits de l’Homme et Clever Cloud.

Dans sa décision, le Conseil d’Etat reconnait qu’il ne peut « être exclu » que les autorités américaines puissent demander à travers leurs lois un accès aux informations de santé. Cependant, la juridiction reprend les argumentaires de la Cnil sur les garde-fous mis en place pour assurer la conformité RGPD du choix de Microsoft : stockage des informations dans des datacenters en France certifiés hébergeur de données de santé, pseudonymisation, durée du projet limité à 3 ans… Elle souligne par ailleurs qu’ « il est possible que des données techniques d’usage de la plateforme soient transférées vers des administrateurs de la société Microsoft situés aux Etats-Unis ». Là encore, les data ne concernent que les connexions liées aux utilisateurs et non aux données de santé.

Un dernier appel d’offre pour sortir de Microsoft

En définitif, la réponse du Conseil d’Etat constitue probablement le dernier soubresaut de la saga du lien entre le Health Data Hub et Microsoft qui a commencé en 2019. Dès le début, ce choix a été critiqué et contesté au nom de la souveraineté numérique et de la sensibilité particulière des données de santé. Le gouvernement a essayé de rectifier le tir en 2021 avec les prises de position d’Amélie de Montchalin alors ministre de la fonction publique sur la doctrine du cloud au centre et d’imposer « une migration des données des programmes dans les 12 mois dans un cloud de confiance ».

Il faudra néanmoins attendre encore quelques années pour qu’un premier appel d’offres soit lancé en juillet 2025 sur une migration « intercalaire ». Plusieurs candidats s’étaient alors positionnés comme Atos, Iliad (Scaleway), La Poste (Docaposte), Orange, OVH, et Thales. Mais au début de l’année 2026, le gouvernement a décidé de relancer un appel d’offres cette fois-ci sur une migration complète sur une plateforme qualifié SecNumCloud. Des sociétés comme Cloud Temple ou S3NS se porteront candidats comme les autres cités précédemment.