Health Data Hub: le Conseil d’État valide Darwin EU malgré le risque Le Conseil d’État confirme l autorisation CNIL du Health Data Hub et Darwin EU tout en reconnaissant un risque de transfert vers les États-Unis et des garanties RGPD.
Le Health Data Hub, Microsoft et Darwin EU font la une après une décision du Conseil d’État qui valide l autorisation de traiter des données de santé tout en admettant un risque lié à un éventuel accès des autorités américaines.
La haute juridiction n’a pas annulé l autorisation accordée à Health Data Hub d’extraire et traiter des données de santé dans le cadre des études sur la prévalence et l incidences des pathologies dans la population française, décision contestée l’an dernier par des associations et des particuliers.
Ce que décide le Conseil d’État sur HDH et Darwin EU
La décision publiée ce vendredi rappelle que l autorisation CNIL vise le traitement de données hébergées en France et non le transfert automatique vers les États‑Unis. Le Conseil n annule donc pas l autorisation d effectuer des traitements dans le cadre des études sur la prévalence et l incidence des pathologies en France.
Les plaignants soutenaient que le recours à Microsoft entrainait un transfert potentiel hors de France. Le Conseil rappelle toutefois que l autorisation CNIL porte sur des données hébergées en France et que le contrat avec Microsoft peut impliquer des transferts vers des administrateurs situés à l étranger, sous réserve de garanties conformes au RGPD.
La CNIL n’a pas commis d’erreur d’appréciation et rejette la demande des requérants
Darwin EU et les garanties techniques
Darwin EU a pour objectif d analyser des données de vie réelle relatives à des médicaments et des vaccins afin d éclairer l efficacité et la sécurité en conditions réelles. L autorisation CNIL a été accordée en février 2025 pour une durée de trois ans.
Les données proviennent du Système national des données de santé (SNDS) et sont hébergées sur le Health Data Hub chez Microsoft. Le risque identifié concerne un transfert potentiel de données personnelles vers des administrateurs situés aux États‑Unis, mais le contrat prévoit des garanties conformes au RGPD et des mesures de protection.
- Transfert potentiel : le contrat peut impliquer des accès par des administrateurs basés hors de France, sous conditions du respect du RGPD.
- Pseudonymisation et conservation : mesures de pseudonymisation sous le contrôle de la CNAM et de la PDS, limitation de la durée de conservation et analyse des traces d utilisation lors des exports.
Hébergement et sécurité
Le Conseil s appuie sur la certification SecNumCloud. Il rappelle que Microsoft ne peut pas bénéficier de cette certification lorsque la filiale est soumise au droit des États-Unis. En revanche, Microsoft détient la certification d hébergeur de données de santé, avec audit régulier par un organisme accrédité.
À venir : migration vers SecNumCloud et prochaines échéances
Le gouvernement a promis, au début de l année, la migration du Health Data Hub vers une offre SecNumCloud. S3ns, la coentreprise de Google et Thales, est qualifiée, et Bleu, regroupant Microsoft, Orange et Capgemini, espère suivre rapidement, d’ici la fin du premier semestre de l année.
Pour terminer
En clair, la décision réaffirme le cadre juridique et les garde-fous autour du Health Data Hub et de Darwin EU, tout en reconnaissant un risque résiduel. Il sera intéressant de suivre si les garanties tenues sur le long terme suffiront face à l évolution des lois extraterritoriales et à l émergence d autres traitements de données de santé.
