Health Data Hub et Microsoft : un cadre juridique clarifié, une souveraineté à construire

Depuis sa création, le Health Data Hub cristallise la tension entre valorisation des données de santé et souveraineté numérique. Chargée de faciliter l’usage secondaire des données du SNDS pour la recherche et la politique publique, la plateforme s’appuie sur une infrastructure Microsoft Azure hébergée en France. Ce choix, opéré au lancement du projet, a été aussitôt contesté par plusieurs associations, syndicats et défenseurs des libertés numériques, qui y voient un risque d’ingérence des autorités américaines via des législations extraterritoriales.

Face à ces recours, la CNIL a autorisé, le 13 février 2025, l’Agence européenne des médicaments à mettre en œuvre, pendant trois ans, des traitements automatisés de données de santé à des fins de recherche dans le cadre du projet DARWIN EU (délibération 2025‑013, publiée le 11 mars 2025 sur Légifrance). L’autorisation encadre strictement finalités, périmètre des données, durée de conservation et mesures de sécurité, en exigeant que les données de santé restent hébergées sur le territoire national, sans transfert vers des pays tiers. Seules certaines données techniques liées à l’administration de la plateforme peuvent, en cas de nécessité, faire l’objet d’un accès depuis des administrateurs situés aux États‑Unis, sous réserve de clauses contractuelles conformes au RGPD.

Le Conseil d’État vient de rejeter les recours contre cette autorisation. La haute juridiction considère que les garanties mises en place – pseudonymisation, cloisonnement des données, limitation des accès et contrôle régulier de la CNIL – sont suffisantes pour respecter le RGPD. Elle rappelle que les données de santé ne sortent pas de l’Union européenne et que seules des données techniques, non sensibles au sens médical, peuvent être soumises à un accès depuis l’étranger. Pour les requérants, la décision sous‑estime la portée des lois américaines et le risque structurel lié à l’hébergement chez un hyperscaler américain.

En parallèle, le Health Data Hub doit composer avec une autre pression : la loi SREN (sécuriser et réguler l’espace numérique, 21 mai 2024), qui encadre l’utilisation des services de cloud par l’État et certains opérateurs publics, y compris la Plateforme des données de santé. Elle impose de limiter le recours à des prestataires soumis à des législations étrangères pouvant s’opposer au droit de l’Union et, pour le cas du Health Data Hub, de converger vers une solution d’hébergement reconnue SecNumCloud par l’ANSSI. Auditionné par la commission d’enquête parlementaire sur les dépendances numériques, le directeur de la plateforme a rappelé que le choix initial de Microsoft répondait à des contraintes de délai, de performance et de sécurité, en l’absence, à l’époque, d’offres européennes jugées capables de porter le projet à échelle nationale. Il a souligné la complexité du cadre juridique, entre exigences nationales, européennes et attentes des porteurs de projets de santé publique.

Le temps du compromis semble désormais compté. La plateforme a renoncé à une migration intermédiaire vers un autre hyperscaler et a lancé une procédure pour basculer directement vers un cloud qualifié de « souverain ». L’objectif est de sortir d’Azure dans les prochaines années, sans interrompre les projets de recherche ni dégrader les performances pour les équipes de recherche. La commission d’enquête s’est par ailleurs penchée sur le coût du dispositif, pointant le poids de l’hébergement et des prestations associées dans le budget global du Health Data Hub, dans la lignée des débats parlementaires sur la stratégie cloud des administrations publiques.

Pour les établissements de santé et les éditeurs, ce cas d’usage national illustre la manière dont un projet de données de santé peut être encadré juridiquement, même lorsqu’il s’appuie sur un hyperscaler américain, tout en s’inscrivant dans les orientations de la loi SREN et de la stratégie cloud de l’État.