TL;DR
Le Conseil d’État valide Microsoft pour héberger les données de santé de 10 millions de Français, malgré les risques du Cloud Act.
Données de santé : Microsoft et le Conseil d’État, une décision qui divise la France numérique
La question fait débat depuis plusieurs années dans les cercles de la souveraineté numérique, et elle vient de connaître un nouveau rebondissement majeur. Données de santé : Microsoft et le Conseil d’État se retrouvent au coeur d’une controverse qui dépasse largement le cadre juridique. En validant l’hébergement des informations médicales de 10 millions de Français par le géant américain, la plus haute juridiction administrative française a tranché. Mais a-t-elle vraiment répondu aux bonnes questions ? C’est ce que nous allons décortiquer ensemble, sans langue de bois et avec le souci de rendre cette affaire compréhensible pour tout le monde, qu’on soit juriste, médecin, ou simplement citoyen soucieux de ses données personnelles.
Avant d’aller plus loin, posons le décor. Le Health Data Hub est une plateforme nationale créée en 2019 pour centraliser et exploiter les données de santé françaises à des fins de recherche médicale. Une ambition louable sur le papier : accélérer la recherche, faciliter les études épidémiologiques, mieux comprendre les maladies. Sauf que, dès le départ, un choix a mis le feu aux poudres : confier l’infrastructure technique à Microsoft, via sa solution cloud Azure.
Le Health Data Hub : c’est quoi exactement, et pourquoi ça concerne tout le monde ?
Imaginez une immense bibliothèque médicale numérique. À l’intérieur, des dossiers contenant des informations extrêmement sensibles : diagnostics, traitements, hospitalisations, ordonnances. Ces données appartiennent à des millions de patients français qui, pour la plupart, ne savent même pas qu’elles sont collectées et centralisées. C’est en substance ce qu’est le Health Data Hub.
L’objectif officiel est de permettre à des chercheurs, des hôpitaux, des laboratoires pharmaceutiques, d’accéder à ces données de façon encadrée pour produire des études médicales de qualité. En théorie, les données sont pseudonymisées, c’est-à-dire que votre nom n’apparaît pas directement. En pratique, la pseudonymisation n’est pas une anonymisation totale et le risque de réidentification existe dans certaines conditions.
Ce qui rend ce projet particulièrement sensible, c’est donc la nature des données concernées. Les informations de santé font partie des données à caractère personnel les plus protégées par le droit européen. Le RGPD (Règlement général sur la protection des données) les classe explicitement dans la catégorie des données sensibles, soumises à des exigences renforcées. C’est précisément pour cette raison que le choix de Microsoft comme hébergeur a déclenché une tempête politique et juridique dès l’origine du projet.
Le Cloud Act : le grand absent qui hante pourtant toute la décision
Pour comprendre pourquoi ce dossier est si explosif, il faut parler du Cloud Act. Cette loi américaine, adoptée en 2018, permet aux autorités fédérales des États-Unis d’exiger d’une entreprise américaine qu’elle leur transmette des données stockées sur ses serveurs, y compris quand ces serveurs sont situés en dehors du territoire américain, donc potentiellement en France ou en Europe.
Concrètement, cela signifie que même si les données de santé des Français sont physiquement hébergées dans un datacenter en Île-de-France, Microsoft, en tant qu’entreprise soumise au droit américain, pourrait théoriquement être contrainte de les transmettre aux autorités américaines sur demande judiciaire ou administrative. C’est un peu comme si vous confiez la clé de votre appartement à un gardien qui, lui, est légalement obligé d’ouvrir la porte à un tiers étranger si on le lui demande, même si vous n’êtes pas au courant.
Face à cette réalité, le Conseil d’État a adopté une position qui surprend : il a jugé que ce risque est acceptable. Pas nul, pas inexistant, mais acceptable. L’Usine Digitale rapporte que la juridiction a estimé que le risque lié au Cloud Act ne suffit pas à invalider l’hébergement par Microsoft, en l’absence de preuve concrète d’une tentative d’accès aux données par des autorités américaines.
Cette logique de « risque hypothétique donc acceptable » est précisément ce qui divise. Pour les défenseurs de la souveraineté numérique, c’est une capitulation déguisée en pragmatisme. Pour les partisans de la décision, c’est du réalisme juridique dans un monde où aucune solution n’est parfaite.
Ce que la CNIL a autorisé, et ce que le Conseil d’État a validé
La chaîne de décisions qui a mené à cette situation mérite d’être retracée clairement, car elle implique plusieurs acteurs institutionnels dont les rôles sont souvent confondus.
- La CNIL (Commission nationale de l’informatique et des libertés) a d’abord autorisé le traitement automatisé des données de santé dans le cadre du Health Data Hub. Cette autorisation porte sur la façon dont les données sont traitées, agrégées, pseudonymisées et mises à disposition des chercheurs.
- Des associations et des syndicats ont contesté cette autorisation devant le Conseil d’État, estimant qu’elle était incompatible avec le RGPD et qu’elle exposait les données à des risques inacceptables.
- Le Conseil d’État a finalement rejeté ces recours, jugeant que l’autorisation accordée par la CNIL est conforme au RGPD et que les garanties mises en place sont suffisantes.
Ce qui est notable dans le raisonnement du Conseil d’État, c’est qu’il s’appuie sur une évaluation des risques plutôt que sur une interdiction de principe. La juridiction reconnaît implicitement qu’il existe une tension entre l’utilité de la recherche médicale et les exigences de protection des données. Elle tranche en faveur de la première, en estimant que les secondes sont suffisamment respectées.
Mais « suffisamment » est un mot qui peut cacher beaucoup. Les détails concrets des mesures de sécurité techniques mises en place par Microsoft pour l’hébergement de ces données sensibles restent peu documentés publiquement. Cette opacité n’est pas de nature à rassurer ceux qui demandent des comptes.
10 millions de Français concernés : ce que ça signifie vraiment
Le chiffre de 10 millions mérite qu’on s’y attarde. La Tribune confirme que ce sont bien les données de santé de 10 millions de citoyens français qui sont hébergées par Microsoft dans le cadre de ce dispositif. Pour donner une idée de l’ampleur : c’est à peu près la population totale de la région Île-de-France.
Ces personnes n’ont, dans la très grande majorité des cas, pas été consultées individuellement sur ce choix. La base légale du traitement repose sur une notion d’intérêt public et de recherche médicale, ce qui permet de se passer du consentement explicite de chaque patient. C’est légalement possible dans le cadre du RGPD, mais c’est politiquement et éthiquement questionnable quand on parle de confier ces données à une entreprise étrangère soumise à une loi extraterritoriale.
Voici ce que contiennent potentiellement ces données :
- Des diagnostics médicaux, y compris des pathologies chroniques, psychiatriques ou liées à des comportements (addictions, maladies sexuellement transmissibles, etc.)
- Des traitements médicamenteux et leurs évolutions dans le temps
- Des données d’hospitalisation, de chirurgie, de soins intensifs
- Des informations indirectement révélatrices de la vie intime (suivi de grossesse, contraception, etc.)
- Des données génétiques dans certains cas
Ce ne sont pas des données banales. Ce sont des informations que vous partagez avec votre médecin dans un contexte de confiance absolue. La question de savoir qui y a accès, sous quelles conditions et avec quelles garanties, n’est pas une question technique. C’est une question de société.
La souveraineté numérique en santé : pourquoi les alternatives n’ont pas été retenues
La question qui dérange le plus dans ce dossier est peut-être celle-ci : pourquoi Microsoft ? Pourquoi un hébergeur américain pour des données aussi sensibles, alors que l’Europe a officiellement fait de la souveraineté numérique une priorité stratégique ?
La réponse officielle mêle plusieurs arguments. Premièrement, la capacité technique : au moment du lancement du Health Data Hub, aucune solution européenne ou française n’était jugée aussi mature, scalable et opérationnelle que l’offre Azure de Microsoft. Deuxièmement, la rapidité : la crise du Covid-19 a accéléré le déploiement, et changer de prestataire au beau milieu d’une pandémie était présenté comme irréaliste. Troisièmement, les coûts : les solutions souveraines sont souvent plus onéreuses et moins bien intégrées.
Ces arguments ne sont pas tous sans fondement, mais ils révèlent un problème structurel plus profond : l’Europe n’a pas investi suffisamment tôt dans des infrastructures cloud souveraines. Le résultat, c’est une dépendance de fait qui se justifie après coup par l’absence d’alternatives crédibles, alternatives dont l’absence est elle-même le résultat de décisions politiques passées.
Des acteurs comme OVHcloud, Scaleway ou encore la coopérative Gaia-X au niveau européen existent et montent en puissance. Mais ils n’ont pas encore la surface suffisante pour rivaliser avec les hyperscalers américains sur des appels d’offres de cette ampleur. C’est un cercle vicieux : les grands contrats publics vont aux grands acteurs américains parce qu’ils sont plus matures, et les acteurs européens restent en retard parce qu’ils n’obtiennent pas les grands contrats publics.
| Critère | Microsoft Azure (choix actuel) | Alternatives souveraines européennes |
|---|---|---|
| Maturité technique | Très élevée, offre complète | En progression, encore partielle sur certains services |
| Exposition au Cloud Act | Oui, entreprise américaine | Non, si hébergeur 100% européen |
| Conformité RGPD | Encadrée mais sous tension | Naturellement alignée |
| Coût | Compétitif à grande échelle | Souvent plus élevé à volume équivalent |
| Dépendance politique | Forte (législation américaine) | Faible à nulle |
Ce que cette décision révèle sur notre rapport collectif aux données de santé
Au-delà du cas spécifique du Health Data Hub, la décision du Conseil d’État est un révélateur de tensions plus profondes dans notre façon collective de penser la donnée médicale.
D’un côté, il y a une logique utilitariste : les données de santé sont une ressource précieuse pour la recherche médicale. Les exploiter à grande échelle peut permettre de mieux comprendre des maladies, d’identifier des facteurs de risque, d’optimiser les traitements. Dans ce cadre, la question de l’hébergeur passe au second plan, du moment que les données sont pseudonymisées et les accès encadrés.
De l’autre côté, il y a une logique de droits fondamentaux : les données de santé sont des extensions intimes de votre personne. Les confier à une entité soumise à une loi étrangère, sans consentement explicite de votre part, constitue une atteinte à votre autonomie informationelle, même si le risque concret de mésusage est faible à court terme.
Les Numériques résument bien la situation en notant que Microsoft « garde la main » sur ces données malgré les recours, une formulation qui capture à la fois le résultat juridique et le malaise qu’il suscite dans une partie de l’opinion publique éclairée.
Ce qui manque cruellement dans ce débat, c’est une véritable consultation publique. Qui a demandé aux 10 millions de personnes concernées ce qu’elles pensaient de cet arrangement ? Personne. Les décisions ont été prises dans des cercles techniques et juridiques, avec une communication publique minimale. C’est un problème de gouvernance démocratique autant que de protection des données.
Que faire maintenant ? Les pistes pour une souveraineté sanitaire numérique réelle
La décision du Conseil d’État est prise. Elle ne sera probablement pas renversée à court terme. Mais elle ne doit pas non plus être le point final d’une discussion qui mérite d’être relancée avec plus de sérieux et plus d’ambition politique.
Plusieurs pistes concrètes existent pour avancer vers une meilleure souveraineté dans la gestion des données de santé :
- Accélérer le financement des alternatives européennes : les acteurs du cloud souverain ont besoin de contrats publics significatifs pour atteindre la maturité nécessaire. Le Health Data Hub aurait pu être un levier en ce sens. Il peut encore l’être pour la prochaine itération du projet.
- Renforcer la transparence sur les mesures de sécurité : les citoyens concernés ont le droit de savoir précisément comment leurs données sont protégées, quels audits sont réalisés, et quels mécanismes existent pour détecter une tentative d’accès par des autorités étrangères.
- Développer un vrai consentement éclairé : la base légale de l’intérêt public ne doit pas devenir une porte dérobée pour contourner le consentement des patients. Des mécanismes d’information et d’opposition accessibles à tous doivent être mis en place et activement communiqués.
- Investir dans une véritable anonymisation : la pseudonymisation n’est pas une garantie absolue. Les techniques d’anonymisation différentielle ou d’autres approches plus robustes doivent être explorées et déployées.
- Créer un observatoire citoyen indépendant : un organe composé de représentants de la société civile, de chercheurs en droit numérique et de spécialistes techniques pourrait jouer un rôle de vigie permanente sur ces sujets, avec un pouvoir d’alerte réel.
La question des informations médicales hébergées par des géants étrangers n’est pas une question technique de niche réservée aux experts. C’est une question de confiance entre les citoyens et leurs institutions, entre les patients et le système de santé qui les soigne. Et cette confiance se construit sur la transparence, pas sur les décisions de justice rendues loin des regards.
Le dossier données de santé, Microsoft et le Conseil d’État restera dans les annales de la jurisprudence numérique française. Espérons qu’il servira aussi de catalyseur pour des décisions politiques plus courageuses sur la souveraineté numérique en santé, un domaine où les enjeux sont, littéralement, une question de vie privée et de vie tout court.
Mots-clés : souveraineté numérique, données de santé, Microsoft, Cloud Act, Conseil d’État
Sources utilisées :