- Politique
- Reglementation
Health Data Hub et Microsoft : le Conseil d'État valide, la migration vers un cloud souverain s'impose
Le Conseil d'État valide l'autorisation de la CNIL pour l'hébergement des données de santé du Health Data Hub par Microsoft. Mais la loi SREN oblige la plateforme à migrer vers une infrastructure qualifiée ANSSI.
Équipe ASN
Application Santé Numérique
La question de la souveraineté numérique des données de santé françaises vient de franchir une nouvelle étape judiciaire. Le Conseil d’État a validé l’autorisation accordée par la CNIL le 20 mars 2026, permettant au Health Data Hub (HDH) de continuer à traiter les données de santé hébergées sur l’infrastructure Microsoft Azure implantée en France. Une décision qui clarifie le cadre juridique, mais qui ne résout pas la question de fond : l’hébergement de données de santé souveraines par un acteur soumis au droit extraterritorial américain.
Un débat ancien, une décision attendue
Depuis sa création en 2019, le Health Data Hub a fait le choix de Microsoft Azure pour héberger la plateforme nationale des données de santé. Ce choix a suscité des contestations répétées, notamment de la part d’associations de défense des libertés numériques, qui s’inquiètent de l’exposition des données médicales françaises aux législations extraterritoriales américaines — en particulier le CLOUD Act, qui peut contraindre les entreprises américaines à fournir des données stockées à l’étranger aux autorités américaines sur demande judiciaire.
La CNIL, dans sa décision du 20 mars 2026, a estimé que les garanties mises en place étaient suffisantes pour se conformer au RGPD : pseudonymisation des données, cloisonnement strict des environnements, contrôles réguliers de la CNIL. Seules certaines données techniques d’administration peuvent, dans des conditions encadrées, être accessibles par des ingénieurs basés aux États-Unis.
Le Conseil d’État a confirmé cette analyse : les mesures de protection déployées par le HDH respectent le cadre réglementaire européen en vigueur.
La loi SREN change la donne
Mais cette validation juridique arrive dans un contexte réglementaire en pleine mutation. La loi SREN (Sécurisation et Régulation de l’Espace Numérique), promulguée en mai 2024, impose aux opérateurs de données sensibles de l’État de migrer vers des infrastructures cloud bénéficiant d’une qualification SecNumCloud délivrée par l’ANSSI. Or Microsoft Azure, en tant que filiale d’un groupe américain, ne peut à ce jour obtenir cette qualification souveraine.
Le Health Data Hub a donc engagé une procédure de migration vers une infrastructure certifiée. L’enjeu est de taille : assurer la continuité de plus de 300 projets de recherche en cours, qui utilisent quotidiennement les données de la plateforme, sans interruption ni perte de données.
Un chantier technique et politique de grande ampleur
La migration d’une plateforme de cette envergure vers un cloud qualifié souverain représente un défi inédit en France. Parmi les acteurs potentiellement candidats figurent OVHcloud, Outscale (Dassault Systèmes) ou encore S3NS (la coentreprise Thales-Google — dont la qualification est encore en cours d’obtention).
Ce chantier illustre les tensions structurelles du numérique en santé français : d’un côté, la nécessité d’exploiter des outils performants et immédiatement disponibles pour la recherche médicale ; de l’autre, l’impératif croissant de garantir une maîtrise réelle sur des données particulièrement sensibles.
Pour le secteur de la santé numérique, cette évolution ouvre une réflexion plus large sur le modèle de gouvernance des données de santé en Europe, à l’heure où l’Espace Européen des Données de Santé (EHDS) monte en puissance et où les États membres cherchent à concilier partage des données et souveraineté numérique.
Sources
Contactez un expert en santé numérique
Vous avez un projet d'application santé ? Notre équipe d'experts vous accompagne dans la conception et le développement de solutions numériques innovantes.