La France veut reprendre la main sur l’hébergement de ses données de santé.
L’ambition d’un cloud souverain pour le Health Data Hub marque une inflexion politique. Dans le même temps, le Conseil d’État valide un dispositif qui repose encore sur l’infrastructure d’un acteur américain.
Saisi par des associations et des particuliers, le Conseil d’État refuse d’annuler l’autorisation accordée au Health Data Hub. Cette autorisation, délivrée par la CNIL pour trois ans, concerne l’exploitation de données de santé dans le cadre d’études sur la prévalence et l’incidence des pathologies en France. Elle s’inscrit dans le programme européen Darwin EU, piloté par l’Agence européenne des médicaments.
Le point le plus sensible concerne Microsoft. Le Health Data Hub s’appuie sur Microsoft Ireland Operations, filiale d’un groupe soumis au droit américain.
Le Conseil d’État reconnaît un risque : certaines données liées aux utilisateurs de la plateforme, et non aux patients étudiés, pourraient transiter vers des administrateurs situés aux États-Unis. Mais il estime que le contrat prévoit des garanties conformes au RGPD.
Le raisonnement repose sur la distinction : traiter n’est pas transférer. L’autorisation encadre un traitement automatisé de données hébergées en France. Elle ne porte pas sur un transfert vers les États-Unis.
Dès lors, l’argument des requérants, fondé sur les risques liés au droit américain et à la décision d’adéquation* de 2023, tombe hors sujet aux yeux du Conseil d'État.
Une lecture stricte du droit des transferts de données
Sur les données de santé elles-mêmes, le raisonnement reste constant. Le juge admet qu’un accès par les autorités américaines ne peut être totalement exclu. Il considère toutefois que les garde-fous suffisent : pseudonymisation, limitation de la durée de conservation, encadrement contractuel. En conséquence, il valide l’appréciation de la CNIL.
Cette décision ne nie pas les risques. Elle les hiérarchise. Le Conseil d’État ne cherche pas à trancher le débat politique sur la souveraineté numérique. Il vérifie si, dans le cadre précis de l’autorisation contestée, le droit est respecté et les garanties jugées suffisantes.
C’est là que se loge le paradoxe. D’un côté, l’État affiche une volonté de rupture avec les solutions extra-européennes.
De l’autre, il valide un montage qui repose encore sur ces acteurs, dès lors que le cadre juridique tient. Deux temporalités coexistent : celle du droit positif, qui s’appuie sur les outils disponibles, et celle de la stratégie industrielle, qui vise une autonomie future.
Le Conseil d’État ne dit pas que la dépendance est souhaitable. Il dit qu’elle reste, à ce stade, juridiquement acceptable sous conditions strictes.
*Le Conseil d’État écarte le débat sur la décision d’adéquation UE–États-Unis en considérant que l’autorisation de la CNIL ne porte pas sur un transfert de données hors de l’Union, mais uniquement sur leur traitement en France. Dès lors, même une éventuelle fragilité de ce cadre juridique transatlantique reste sans incidence sur la légalité du dispositif examiné.
![[Vidéo] Reportage sur les opticiens en Ehpad : une expérimentation prometteuse face au vieillissement de la population](https://www.acuite.fr/sites/acuite.fr/files/styles/home_slider_video/public/articles/reportage_refraction_ehpad_opticien_lunettes_senior.png?itok=885hmxLm)
![[Vidéo] Les Ray-Ban Meta, une solution pour les déficients visuels ? Nous avons testé](https://www.acuite.fr/sites/acuite.fr/files/styles/home_slider_video/public/articles/test_rb_meta_mavoyant.png?itok=PQG6A-HL)