GAFAM & données de santé · Souveraineté
Faut-il confier les données de santé des Français à un géant américain ? Depuis 2019, le Health Data Hub — la plateforme censée accélérer la recherche en mutualisant nos données — est hébergé sur Microsoft Azure. Un choix technique devenu un symbole politique.
Pourquoi Microsoft, et pourquoi ça coince
À sa création, le Health Data Hub devait aller vite. Selon ses responsables, aucune offre européenne ne pouvait alors héberger le projet à l’échelle nationale avec le niveau de performance et de sécurité attendu : Microsoft Azure a été retenu. Le problème n’est pas la qualité technique, mais le droit applicable : en tant qu’entreprise américaine, Microsoft est soumise au CLOUD Act, qui permet en théorie aux autorités des États-Unis de réclamer des données, même stockées en Europe. Pour des données aussi sensibles que la santé, la crainte d’un accès extraterritorial a suffi à enflammer le débat.
Ce qu’a tranché la justice
Saisi à plusieurs reprises, le Conseil d’État n’a pas interdit l’hébergement : il a estimé que les garanties contractuelles et techniques rendaient le risque d’accès par des autorités étrangères suffisamment encadré. Autrement dit : légalement acceptable, à défaut d’être idéal. En parallèle, la CNIL a encadré les traitements au cas par cas. Le message est clair : on tolère la situation, mais on vise autre chose.
| Enjeu | Argument « pour » | Argument « contre » |
|---|---|---|
| Performance | Azure opérationnel et robuste | Dépendance à un acteur non européen |
| Droit | Risque jugé encadré (Conseil d’État) | CLOUD Act : accès théorique possible |
| Souveraineté | Migration « cloud de confiance » prévue | Calendrier qui glisse d’année en année |
La souveraineté, un objectif qui recule
Dès 2021, l’État a affiché une doctrine « cloud au centre » et annoncé la migration des données vers une infrastructure certifiée SecNumCloud, gage d’immunité aux lois extraterritoriales. Mais entre les contraintes techniques, la maturité des offres et les délais, l’échéance a été repoussée plusieurs fois, jusqu’à des solutions transitoires. Le Health Data Hub illustre ainsi une tension de fond : la souveraineté numérique se décrète vite mais se construit lentement — surtout quand l’écosystème européen doit encore rattraper son retard.
Pourquoi ça vous concerne
Ce débat peut sembler lointain ; il ne l’est pas. Ce sont vos données — remboursements, hospitalisations, diagnostics, pseudonymisés mais réidentifiables dans certains cas — qui alimentent ces bases. Leur bon usage peut faire progresser la recherche (repérer des effets indésirables, évaluer des traitements) ; leur mauvaise protection expose à des risques durables, car une donnée de santé, contrairement à un mot de passe, ne se « change » pas. La vigilance citoyenne sur qui héberge quoi, et sous quelle loi, est donc parfaitement légitime.
Questions fréquentes
Mes données sont-elles « vendues » à Microsoft ?
Non : Microsoft est un hébergeur, pas un propriétaire des données. Le débat porte sur l’accès potentiel via le droit américain, pas sur une vente commerciale.
Le CLOUD Act a-t-il déjà été utilisé sur ces données ?
Le débat est théorique : il porte sur la possibilité juridique d’un accès, jugée « encadrée » par le Conseil d’État. C’est le risque, plus que des cas avérés, qui alimente la controverse.
Pourquoi ne pas avoir pris un hébergeur français ?
À la création, aucune offre européenne n’était jugée capable de porter le projet à l’échelle voulue. C’est précisément ce que la migration « cloud de confiance » vise à corriger.
Puis-je m’opposer à l’usage de mes données ?
Des droits existent (information, opposition selon les traitements). Les modalités dépendent des projets ; renseignez-vous auprès de la CNIL et du Health Data Hub.
• CNIL : cnil.fr — données de santé et Health Data Hub.
• Conseil d’État : décisions validant l’hébergement sous conditions.
• À lire aussi : notre décryptage de l’IA générative en santé et de Mon espace santé, dans la rubrique GAFAM & données de santé.
Information générale sur la santé numérique et les données personnelles, à but éducatif. Ne constitue pas un conseil juridique.
