La polémique autour de l’hébergement réalisé par Microsoft des données de santé des Français dans le cadre d’un projet projet européen nommé “Darwin EU” (Data Analysis and Real-World Interrogation Network – European Union) ravive l’éternel débat sur la souveraineté des données de santé des français.

 Cette épineuse problématique de la souveraineté des données a été soulevée à l’occasion d’un projet de recours devant le Conseil d’Etat de la part d’associations contre l’autorisation rendue par la CNIL en février 2025 donnant le feu vert au projet Darwin EU.

Ce projet lancé par l’Agence européenne des médicaments (« EMA ») en 2022 vise à fournir un accès structuré aux données de santé réelles pour l’évaluation des médicaments et des vaccins tout au long de leur cycle de vie

Le Health Data Hub (« HDH ») a été intégré au réseau en juillet 2023. À ce titre, le HDH rend accessibles des données au format OMOP-CDM issues de la base principale du Système National des Données de Santé (« SNDS »), couvrant l’ensemble des soins présentés au remboursement.

L’EMA a saisi la Commission nationale de l’informatique et des libertés (« CNIL ») pour demander l’autorisation de traiter les données du SNDS, notamment pour constituer un échantillon représentatif de 10 millions de personnes.

Le 13 février 2025, la CNIL dans une délibération a donné son feu vert à cette initiative, ce qui a été fortement critiqué par plusieurs associations, notamment Constances, InterHop, AIDES, la Ligue des Droits de l’Homme (LDH), et la fédération SUD Santé Sociaux, qui s’inquiètent du fait que les données de santé de 10 millions de personnes soient hébergées par Microsoft, et soient donc potentiellement exposées aux autorités américaines en vertu de la législation des États-Unis. Ces associations ont dès lors annoncé préparer un recours devant le Conseil d’Etat.

Pour autant, il est intéressant de relever que la délibération de la CNIL reconnait que les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères, et ce, malgré la présence du Data Privacy Framework, texte qui reconnaissait que le cadre de transferts de données à caractère personnel entre les États-Unis et l’Union européenne assure un niveau de protection adéquat depuis la décision d’adéquation rendue le 10 juillet 2023 par la Commission européenne.

À ce titre, la CNIL évoque l’application de l’article 31 de la loi visant à sécuriser et à réguler l’espace numérique (« SREN ») opposable au HDH en rappelant que « les organismes doivent veiller à ce que le service de cloud fourni par le prestataire privé mette en œuvre des critères de sécurité et de protection des données garantissant notamment leur protection contre tout accès par des autorités publiques d’Etats tiers non autorisé par le droit de l’Union européenne ou d’un Etat membre ».

Selon l’interprétation donnée par la CNIL, le respect de cette exigence se matérialisera notammentpar le recours à un prestataire exclusivement soumis au droit de l’Union européenne et offrant le niveau de protection adéquat, tel que prévu par le référentiel SecNumCloud de l’Agence nationale de la sécurité des systèmes d’information (« ANSSI »).

Or, la CNIL précise bien qu’au jour de sa délibération, le décret d’application cité par l’article 31 de la loi SREN n’est toujours pas entré en vigueur, l’empêchant ainsi de s’opposer plus fermement au choix de recourir à Microsoft.

La CNIL a donc appelé le HDH à scruter l’entrée en application du décret d’application et à trouver le moment venu un nouvel hébergeur pour assurer un hébergement souverain des données.

Cependant, la migration vers un hébergeur souverain est un sujet en suspens depuis plusieurs années, bien que le HDH avait communiqué à l’occasion de son bilan annuel 2024 sur la mise en place d’une solution « intercalaire » en 2025 pour sortir de Microsoft Azure.

De même, on peut s’interroger sur les suites de ce recours formé par les associations devant le Conseil d’Etat contre l’autorisation de la CNIL, dans la mesure où le Conseil d’Etat a déjà été amené à considérer, s’agissant d’un entrepôt de données de santé hébergé sur la solution technique du HDH, que Microsoft présentait des « garanties suffisantes pour l’application de l’article 28 du RGPD malgré la persistance d’un risque d’accès aux données par les administrations des Etats-Unis » (CE, 19 nov. 2024, Ass. Internet Society France, n° 491644, inédit).

Les associations devront donc compter d’ici là sur la parution du décret d’application de l’article 31 de la loi SREN s’ils veulent muscler leur argumentaire devant le Conseil d’Etat.

Pour rappel, ce décret d’application qui devait être publié dans les 6 mois à compter de la publication de la Loi SREN, le 21 mai 2024, a été notifié devant la Commission européenne à la fin du mois de janvier 2025 et n’est toujours pas paru au Journal Officiel de la République Française (« JORF »).