Le Conseil d’État a validé l’autorisation accordée par la CNIL au Health Data Hub pour traiter des données extraites du Système national des données de santé (SNDS) et hébergées sur la plateforme Microsoft Azure, dans le cadre du programme européen DARWIN EU. La juridiction administrative était saisie par plusieurs associations et acteurs du numérique qui contestaient cette délibération du 13 février 2025, notamment en raison du risque de transfert de données personnelles vers les Etats-Unis.
Conduit par l’agence européenne des médicaments, le programme Darwin EU vise à recueillir des données permettant d’étudier l’emploi, la sécurité et l’efficacité des médicaments et vaccins. La CNIL l’a autorisé à mettre en œuvre des traitements automatisés de données personnelles, permettant l’exploitation des données personnelles de santé d’un échantillon de la population française, pour une durée de trois ans. Selon l’AFP, le projet prévoit de transférer les données de santé détenues par l’Assurance maladie sur 10 millions de personnes.
Dans le résumé de son avis, le Conseil d’État relève que cette autorisation « a pour seul objet d’autoriser le traitement de données de santé hébergées dans des centres de données situés en France, et non d’autoriser le transfert de ces données vers les Etats-Unis ». En vertu du cadre réglementaire, il rejette l’argumentation des requérants relative à l’illégalité de cette décision.
Dans son raisonnement, il reconnaît que « le risque que les autorités américaines, sur le fondement de leur propre législation, demandent à la société Microsoft d’accéder à des données personnelles de santé ne peut être totalement exclu ». Toutefois, précise-t-il, les éventuelles données susceptibles d’être transférées vers des administrateurs de la société situés aux Etats-Unis ne concernent pas directement les personnes incluses dans les études mais seulement les utilisateurs de la plateforme, et sous réserve de clauses contractuelles conformes au RGPD.
Au final, le Conseil d’État juge que « l’autorisation contesté est assortie de garanties permettant d’assurer la sécurité de ces données, notamment leur pseudonymisation et la limitation de leur durée de conservation » et que la CNIL n’a pas commis d’erreur d’appréciation.
Cette décision sécurise donc la situation juridique du Health Data Hub, tout en laissant intacte la question de fond. Car le recours à Microsoft continue d’alimenter les critiques sur la souveraineté numérique et la protection des données de santé. Le gouvernement a d’ailleurs annoncé vouloir trouver un nouvel opérateur non soumis à une législation extra-européenne. D’abord prévu par appel d’offres, le marché devrait finalement être passé via l’Union des groupements d’achats publics (UGAP), avec l’objectif d’un transfert total sur une plateforme souveraine cette année.