Le Conseil d’État valide l’hébergement des données de santé par Microsoft dans le projet Darwin EU

Les données de santé impliquées dans le projet "Darwin EU" restent entre les mains de Microsoft, a décidé le Conseil d'Etat dans une décision rendue le 25 avril 2025, repérée par le média L'Informé. Le juge des référés a estimé que la condition d’urgence, exigée pour prononcer une mesure de suspension, n’était pas remplie.

Les données de 10 millions de personnes

Le projet "Darwin EU" (pour Data Analysis and Real-World Interrogation Network – European Union) est une initiative de l'Agence européenne des médicaments (EMA), lancée en 2022, pour fournir un accès structuré à des données de santé réelles pour l'évaluation des médicaments et des vaccins tout au long de leur cycle de vie. En pratique, il s'agit de tirer au sort 10 millions de personnes pour constituer un échantillon représentatif en âge, sexe et région.

Dans ce cadre, le Health Data Hub – la base de données qui regroupe les informations de santé des Français – intervient en qualité de sous-traitant de l'Agence européenne des médicaments pour l'extraction des données pertinentes du Système national des données de santé (SNDS), leur pseudonymisation, leur mise au format OMOP-CDM et leur stockage. Le HDH étant hébergé par Microsoft, le fournisseur américain est à nouveau impliqué dans ce projet.

Un risque de transfert de données vers les Etats-Unis

Le traitement des données de santé par l'EMA a été autorisé par la Commission nationale de l'informatique et des libertés (Cnil). C'est cette délibération, rendue le 13 février 2025, qui a été attaquée devant le Conseil d'Etat par l’association Les Licornes Célestes, deux citoyens, et plusieurs acteurs du numérique (Clever Cloud, Nexedi...). Ils estiment que les données sont exposées à l'accès des autorités américaines car Microsoft est une entreprise américaine, et à ce titre, soumise au CLOUD Act. Cette loi américaine permet aux autorités nationales d'exiger, sous certaines conditions, d'accéder aux données hébergées par des fournisseurs américains, quelle que soit leur localisation dans le monde.

Dans le détail, les requérants considèrent que la Cnil sous-estime les risques réels de transferts hors de l'Union européenne et que les garanties avancées ne sont pas suffisantes pour empêcher la réalisation de ce risque. Le Conseil d'Etat n'a pas été convaincu par ces arguments. Tout en reconnaissant un risque théorique de transfert, il rappelle que des garanties ont été mises en place : pseudonymisation des données, hébergement en France et certification "hébergeur des données de santé" (HDS) pour Microsoft.

Une absence de solutions équivalentes

Egalement, le juge administratif indique "l'intérêt public qu'il y a à ne pas retarder la réalisation des études portant sur l'estimation d'incidence et de prévalence des pathologies en population générale (...) dès lors qu'il ne résulte pas de l'instruction que des solutions pouvant offrir à la PDS les mêmes fonctionnalités et une meilleure sécurité globale que celle commercialisée par Microsoft soient d'ores et déjà disponibles, être pris en compte".

Le juge des référés a également rejeté la demande de saisine de la Cour de justice de l'Union européenne sur la validité du Data Privacy Framework (DPF), conclu le 10 juillet 2023. Via ce texte, successeur du Privacy Shield, la Commission européenne constate que les États-Unis assurent un niveau de protection des données personnelles équivalent à celui de l’Union européenne. Les transferts de données personnelles depuis l'UE vers certains organismes étatsuniens peuvent désormais s’effectuer librement, sans encadrement spécifique.

Sélectionné pour vous

Apple alerte des journalistes, militants et politiques visés par des logiciels espions sophistiqués

La FTC enquête sur l'impact des chatbots développés par les Big Tech sur les plus jeunes

La souveraineté s'impose dans les choix IT, mais pas encore dans les faits