Données de santé : le Conseil d’Etat confirme le possible hébergement par Microsoft

Publié le 24 mars 2026
Données de santé : le Conseil d’Etat confirme le possible hébergement par Microsoft
© Pixabay
4 min de lecture

Dans une décision datée du 20 mars, le Conseil d’Etat a refusé d’annuler l’autorisation accordée au Health Data Hub « d’extraire et de traiter des données de santé dans le cadre d’études sur la prévalence et l’incidence des pathologies dans la population française ». Il avait été saisi par des associations et des particuliers pointant un risque de transfert de données personnelles vers les Etats-Unis. Le recours concernait en effet une autorisation de la CNIL encadrant le projet « Darwin EU »[1], validant le traitement des données de santé issues du SNDS[2] par le Health Data Hub et leur hébergement par Microsoft (cf. La CNIL autorise le stockage de données de santé chez Microsoft). Par cette décision, le Conseil confirme donc la possibilité de recourir à Microsoft pour l’hébergement et le traitement de données de santé.

Des « garanties » de sécurité

La Haute Cour reconnait toutefois « l’existence d’un risque d’accès aux données personnelles par les autorités américaines ». Mais les seules données personnelles qui pourraient être « éventuellement » transférées sont liées aux utilisateurs de la plateforme Health Data Hub et « le contrat avec la société d’hébergement prévoit pour cela des garanties conformes au RGPD ». L’autorisation délivrée par la CNIL, pour une durée de 3 ans, « ne permet que le traitement automatisé des données et n’autorise pas leur transfert vers les Etats-Unis ».

En outre, le Conseil d’Etat juge que « l’autorisation contestée est assortie de garanties permettant d’assurer la sécurité de ces données, notamment leur pseudonymisation et la limitation de leur durée de conservation ».

Vers un nouvel hébergement ?

Au mois de février l’Exécutif avait à nouveau annoncé son intention de changer de fournisseur pour l’hébergement de ses données (cf. Hébergement du Health Data Hub par Microsoft : le Conseil d’Etat rejette une nouvelle requête). Les candidatures peuvent se manifester jusqu’au 30 mars et la décision sera rendue 3 mois plus tard, pour une migration prévue « d’ici la fin de l’année ».

L’Agence du numérique en santé a par ailleurs indiqué que le décret d’application de l’article 32 de la loi visant à sécuriser et réguler l’espace numérique, qui ancre au niveau législatif les dispositions introduites par le gouvernement dans la nouvelle version du référentiel applicable aux hébergeurs de données de santé (HDS), sera publié en mars. « La loi étend aussi aux services d’archivage électronique de données de santé l’obligation de certification HDS ».

[1] L’agence européenne des médicaments a mis en place un réseau d’institutions publiques et privées, baptisé « DARWIN EU », visant à recueillir des données permettant d’étudier l’emploi, la sécurité et l’efficacité des médicaments et vaccins à usage humain. Dans ce cadre, elle a été autorisée par la Commission nationale de l’informatique et des libertés, le 13 février 2025, à mettre en œuvre des traitements automatisés de données personnelles, permettant l’exploitation des données personnelles de santé d’un échantillon de la population française, pour une durée de trois ans, afin de réaliser des études portant sur la prévalence et l’incidence des pathologies dans la population française. Ces traitements nécessitent l’extraction de ces données du Système national des données de santé (SNDS) par le Groupement d’intérêt public (GIP) « Plateforme des données de santé » (PDS), aussi dénommé « Health Data Hub », qui agit en tant que partenaire de l’agence européenne des médicaments. Pour l’hébergement des données ainsi extraites, le GIP a recours à la société Microsoft Ireland Operations, Ltd. (Source : Conseil d’Etat, communiqué du 20/03/2026)

[2] Système national des données de santé

Sources de la synthèse de presse : Conseil d’Etat (20/03/2026) ; L’Usine digitale, Alice Vitard (23/03/2026) ; APM news (14/10/2026) ; tic santé (20/03/2026)