Health Data Hub : nos données de santé chez Microsoft, un cas d’école de souveraineté

Par

·

Baies de serveurs dans un centre de données

GAFAM & données de santé · Souveraineté

Faut-il confier les données de santé des Français à un géant américain ? Depuis 2019, le Health Data Hub — la plateforme censée accélérer la recherche en mutualisant nos données — est hébergé sur Microsoft Azure. Un choix technique devenu un symbole politique.

En brefCréé en 2019, le Health Data Hub centralise des données de santé pour la recherche. Faute d’offre européenne jugée à la hauteur à l’époque, l’État a retenu Microsoft Azure comme hébergeur — une décision aussitôt critiquée, car le droit américain (CLOUD Act) pourrait théoriquement contraindre Microsoft à livrer des données. Le Conseil d’État a validé l’hébergement, jugeant le risque « suffisamment encadré », tout en actant l’objectif d’une migration vers un cloud « de confiance » (certifié SecNumCloud). Une transition engagée mais qui traîne : la souveraineté reste, ici, un chantier.
2019
création du Health Data Hub
CLOUD Act
le risque juridique au cœur du débat
SecNumCloud
la cible : un cloud « de confiance »

Pourquoi Microsoft, et pourquoi ça coince

À sa création, le Health Data Hub devait aller vite. Selon ses responsables, aucune offre européenne ne pouvait alors héberger le projet à l’échelle nationale avec le niveau de performance et de sécurité attendu : Microsoft Azure a été retenu. Le problème n’est pas la qualité technique, mais le droit applicable : en tant qu’entreprise américaine, Microsoft est soumise au CLOUD Act, qui permet en théorie aux autorités des États-Unis de réclamer des données, même stockées en Europe. Pour des données aussi sensibles que la santé, la crainte d’un accès extraterritorial a suffi à enflammer le débat.

Ce qu’a tranché la justice

Saisi à plusieurs reprises, le Conseil d’État n’a pas interdit l’hébergement : il a estimé que les garanties contractuelles et techniques rendaient le risque d’accès par des autorités étrangères suffisamment encadré. Autrement dit : légalement acceptable, à défaut d’être idéal. En parallèle, la CNIL a encadré les traitements au cas par cas. Le message est clair : on tolère la situation, mais on vise autre chose.

Health Data Hub : les termes du débat — Le Pouls Numérique
Enjeu Argument « pour » Argument « contre »
Performance Azure opérationnel et robuste Dépendance à un acteur non européen
Droit Risque jugé encadré (Conseil d’État) CLOUD Act : accès théorique possible
Souveraineté Migration « cloud de confiance » prévue Calendrier qui glisse d’année en année

La souveraineté, un objectif qui recule

Dès 2021, l’État a affiché une doctrine « cloud au centre » et annoncé la migration des données vers une infrastructure certifiée SecNumCloud, gage d’immunité aux lois extraterritoriales. Mais entre les contraintes techniques, la maturité des offres et les délais, l’échéance a été repoussée plusieurs fois, jusqu’à des solutions transitoires. Le Health Data Hub illustre ainsi une tension de fond : la souveraineté numérique se décrète vite mais se construit lentement — surtout quand l’écosystème européen doit encore rattraper son retard.

Pourquoi ça vous concerne

Ce débat peut sembler lointain ; il ne l’est pas. Ce sont vos données — remboursements, hospitalisations, diagnostics, pseudonymisés mais réidentifiables dans certains cas — qui alimentent ces bases. Leur bon usage peut faire progresser la recherche (repérer des effets indésirables, évaluer des traitements) ; leur mauvaise protection expose à des risques durables, car une donnée de santé, contrairement à un mot de passe, ne se « change » pas. La vigilance citoyenne sur qui héberge quoi, et sous quelle loi, est donc parfaitement légitime.

Questions fréquentes

Mes données sont-elles « vendues » à Microsoft ?

Non : Microsoft est un hébergeur, pas un propriétaire des données. Le débat porte sur l’accès potentiel via le droit américain, pas sur une vente commerciale.

Le CLOUD Act a-t-il déjà été utilisé sur ces données ?

Le débat est théorique : il porte sur la possibilité juridique d’un accès, jugée « encadrée » par le Conseil d’État. C’est le risque, plus que des cas avérés, qui alimente la controverse.

Pourquoi ne pas avoir pris un hébergeur français ?

À la création, aucune offre européenne n’était jugée capable de porter le projet à l’échelle voulue. C’est précisément ce que la migration « cloud de confiance » vise à corriger.

Puis-je m’opposer à l’usage de mes données ?

Des droits existent (information, opposition selon les traitements). Les modalités dépendent des projets ; renseignez-vous auprès de la CNIL et du Health Data Hub.

Sources & pour aller plus loin
• CNIL : cnil.fr — données de santé et Health Data Hub.
• Conseil d’État : décisions validant l’hébergement sous conditions.
• À lire aussi : notre décryptage de l’IA générative en santé et de Mon espace santé, dans la rubrique GAFAM & données de santé.
LR
La Rédaction du Pouls Numérique
Observatoire indépendant de l’e-santé. Article relu pour exactitude factuelle. Édité par KEVALEX Group.

Information générale sur la santé numérique et les données personnelles, à but éducatif. Ne constitue pas un conseil juridique.