Le Conseil d'État a rejeté, ce vendredi, les recours visant l'autorisation accordée par la CNIL au Health Data Hub pour traiter des données de santé françaises. Ces dernières, hébergées par Microsoft, resteront bien sur le sol français.
Plusieurs associations de défense des libertés numériques avaient attaqué en justice l'autorisation accordée par la Commission nationale de l'informatique et des libertés (CNIL), estimant qu'elle faisait courir un risque réel aux données médicales des Français en les confiant à une filiale de Microsoft. Ce 20 mars 2026, le Conseil d'État a tranché en faveur de l'autorité hexagonale. Les informations de santé extraites du système national des données de santé (SNDS) restent bien sur le sol français, et les rares transferts techniques résiduels sont couverts par le RGPD.
Health Data Hub, SNDS et Microsoft, comment ça fonctionne vraiment
Le dossier avait démarré avec un projet européen de grande ampleur. L'Agence européenne des médicaments a lancé DARWIN EU, un réseau conçu pour collecter des données de santé issues de plusieurs pays européens. Le but était de mieux comprendre comment les médicaments et les vaccins se comportent dans la vraie vie, pas seulement dans les essais cliniques. L'idée était aussi de surveiller leur sécurité et leur efficacité à grande échelle, en s'appuyant sur les systèmes de santé nationaux.
En France, c'est le Health Data Hub, un organisme public officiellement appelé « Plateforme des données de santé », qui est chargé d'exécuter le travail pour le compte de l'Agence européenne des médicaments. Concrètement, il puise dans le Système national des données de santé, une gigantesque base de données médicales françaises, pour produire des études sur la fréquence et la propagation des maladies dans la population. Ces données sont ensuite hébergées par Microsoft Ireland Operations, filiale irlandaise du groupe américain Microsoft.
Le 13 février 2025, la CNIL a donc autorisé ce traitement de données, mais pas sans conditions. L'autorisation est volontairement limitée à trois ans, le temps d'évaluer que tout se passe bien dans les faits. Pas de blanc-seing accordé à Microsoft ni à l'Agence européenne des médicaments, puisque chaque étape du projet reste sous surveillance. Mais cela n'a pas empêché les polémiques.
Les requérants avaient de bonnes raisons de s'inquiéter pour vos données médicales
La décision de la CNIL n'est pas passée inaperçue. Les Licornes célestes, Interhop, la Ligue des droits de l'homme, le Syndicat de la médecine générale ou encore la Fédération Sud Santé Sociaux ont tous saisi le Conseil d'État pour contester cette autorisation. Leur crainte commune était qu'en confiant des données médicales sensibles à la filiale d'un géant américain, on exposait les patients français à des risques qu'aucun contrat ne pourrait vraiment garantir.
Les plaignants visaient la législation américaine, qui autorise les autorités des États-Unis à réclamer des données à leurs entreprises nationales, où qu'elles soient stockées dans le monde. Microsoft étant une société américaine, rien n'empêcherait Washington d'exiger l'accès à des données pourtant hébergées en France. Les associations contestaient par ailleurs la solidité de l'accord signé le 10 juillet 2023 entre l'Union européenne et les États-Unis, censé garantir que les données des Européens y sont correctement protégées.
Les requérants soulevaient aussi deux arguments supplémentaires. D'abord, certaines données techniques, celles qui tracent simplement qui se connecte à la plateforme, risquaient de transiter vers des informaticiens de Microsoft basés aux États-Unis. Ensuite, fut évoqué l'article 31 de la loi SREN du 21 mai 2024, un texte censé encadrer le recours des administrations au cloud d'entreprises privées : les associations estimaient que cette loi aurait dû s'appliquer ici.
Pseudonymisation, clauses contractuelles, les garanties qui ont convaincu le Conseil d'État
Sur le risque de transfert vers les États-Unis, le Conseil d'État estime que l'autorisation délivrée par la CNIL ne porte que sur le traitement de données hébergées en France. Elle n'autorise aucun transfert vers les États-Unis ni vers quelque pays que ce soit. Dès lors, attaquer la validité de l'accord UE-États-Unis de 2023 ne servait à rien, puisque cet accord ne s'applique tout simplement pas ici.
Quid des données d'usage ? Les juges reconnaissent qu'une partie des données techniques, celles qui enregistrent les connexions des utilisateurs de la plateforme, pourrait effectivement transiter vers des équipes Microsoft aux États-Unis. Mais ils relativisent : ces données n'ont rien à voir avec les dossiers médicaux des patients concernés par les études. Et surtout, le contrat signé avec Microsoft prévoit explicitement des garanties jugées suffisantes au regard du RGPD.
Reste la crainte la plus sérieuse. Et si les autorités américaines réclamaient directement l'accès aux données médicales elles-mêmes ? Le Conseil d'État l'écarte, en s'appuyant sur les protections concrètes mises en place. Les données sont pseudonymisées, c'est-à-dire que les noms et identifiants des patients en sont retirés, sous le contrôle de la Caisse nationale d’assurance maladie (CNAM) et du Health Data Hub. Leur durée de conservation est limitée, et les risques de réidentification sont régulièrement évalués. Microsoft Ireland dispose par ailleurs d'une certification officielle d'hébergeur de données de santé, soumise à des audits réguliers.
