Health Data Hub et Darwin EU : le Conseil d’État tranche malgré le risque Le Conseil d’État confirme l’accord HDH pour Darwin EU, tout en reconnaissant un risque résiduel lié à l’accès potentiel des États‑Unis.
Health Data Hub est au cœur d’un dossier où santé, données personnelles et souveraineté numérique se croisent. Le Conseil d’État a validé l’autorisation accordée par la CNIL au traitement automatisé des données de santé dans le cadre du projet Darwin EU, tout en reconnaissant qu’un risque subsiste que des autorités américaines demandent l’accès à certaines données. Cette décision clarifie le périmètre des traitements et les garanties associées.
Contexte et décision du Conseil d’État
Dans sa décision publiée vendredi, le Conseil d’État n’annule pas l’autorisation d’extraire et de traiter des données de santé dans le cadre d’études sur la prévalence et l’incidence des pathologies dans la population française, accordée à Health Data Hub. Les associations et particuliers qui avaient contesté cette autorisation n’obtiennent pas gain de cause.
Le texte rappelle que l’autorisation de la CNIL vise le traitement des données hébergées en France et non le transfert automatique vers les États-Unis.
Les plaignants objectaient le risque que les données soient transférées vers des administrateurs de Microsoft situés hors de France. Le Conseil d’État admet qu’un transfert partiel peut exister compte tenu des modalités contractuelles, mais précise que le contrat prévoit des garanties conformes au RGPD et que l’objectif reste le traitement des données hébergées en France.
« La CNIL n’a pas commis d’erreur d’appréciation »,
Sur la question des lois extraterritoriales américaines, le Conseil d’État reconnaît que le risque que les autorités américaines demandent l’accès à des données de santé ne peut être totalement exclu. Toutefois, il souligne que l’autorisation est assortie de garanties permettant d’assurer la sécurité des données, notamment leur pseudonymisation et la limitation de leur durée de conservation. En conséquence, la haute juridiction rejette la demande des requérants.
Garanties et cadre juridique
Les données concernées proviennent du Système national des données de santé (SNDS) et sont hébergées sur la plateforme Health Data Hub, chez Microsoft. Le Conseil d’État précise que les mesures de sécurité en place incluent notamment la pseudonymisation sous le contrôle de la Caisse nationale d’assurance maladie (CNAM) et de la PDS, la limitation de la durée de conservation des données brutes, l’analyse des risques de réidentification lors de chaque export et l’analyse des traces d’utilisation par la PDS.
Le texte revient aussi sur la question des lois extraterritoriales et leur impact sur la protection des données. Le Conseil d’État rappelle que les garanties prévues permettent de limiter les risques tout en permettant l’exploitation scientifique des données dans le cadre défini par la CNIL.
Hébergement et sécurité : ce que dit la réglementation
Le Conseil d’État s’appuie sur la certification d’hébergement et sur les mécanismes de sécurité disponibles. Il rappelle que Microsoft ne peut bénéficier de la certification SecNumCloud lorsque l’entité est sous droit américain, mais dispose de la certification d’hébergeur de données de santé, qui implique un audit régulier par un organisme accrédité.
Au début de l’année, le gouvernement a annoncé la migration du Health Data Hub vers une offre SecNumCloud. Dans ce cadre, S3ns (Google et Thales) est déjà qualifiée, et Bleu (Microsoft, Orange et Capgemini) espère suivre rapidement, d’ici la fin du premier semestre de l’année.
Pour terminer
Cette affaire montre une approche équilibrée : des garanties techniques et juridiques robustes pour permettre l’analyse des données de santé tout en restant vigilant face au risque d’accès par des autorités étrangères. L’enjeu reste de savoir si les mécanismes de protection suffiront à gagner la confiance des citoyens et des professionnels, dans un contexte où les défis de sécurité et les obligations transfrontalères évoluent rapidement.
