Le projet Darwin EU fait polémique en raison du choix de Microsoft comme hébergeur des données de santé de 10 millions de Français. Plusieurs associations ont annoncé leur intention de déposer un recours contre la Cnil, dénonçant un risque de transfert des données vers les États-Unis.
Alors que le projet européen Darwin EU ambitionne d’améliorer l’évaluation des médicaments à travers l’analyse de données de santé réelles, la polémique enfle en France. En cause, l’implication de Microsoft comme hébergeur du Health Data Hub (HDH), la plateforme qui centralise une grande partie des données de santé des Français. Plusieurs associations dénoncent le risque de transfert d’informations sensibles vers les États-Unis et s’apprêtent à contester l’autorisation accordée par la Cnil. Cette décision suscite de vives inquiétudes sur la souveraineté numérique et la confidentialité des données médicales.
Le choix de Microsoft provoque une levée de boucliers
Le projet Darwin EU, porté par l’Agence européenne des médicaments depuis 2022, ambitionne d’évaluer l’utilisation réelle des traitements en Europe à partir de données médicales. Ce programme s’appuie sur un réseau d’institutions de santé, auquel le Health Data Hub (HDH) français a été intégré en juillet 2023. Ce dernier exploite les informations issues du Système national des données de santé (SNDS), une immense base contenant les soins remboursés à l’échelle nationale.
Dans le cadre de ce projet, la Cnil a autorisé l’extraction d’un échantillon de 10 millions de personnes, représentatif selon le sexe, l’âge et la région. Ces données sont ensuite standardisées selon le format OMOP-CDM et confiées au HDH, qui agit comme sous-traitant.
Le point de crispation concerne l’hébergeur de ces données : Microsoft. Ce choix ravive les tensions déjà existantes depuis la création du HDH, toujours hébergé sur l’infrastructure cloud de l’entreprise américaine. Les associations redoutent que des lois extraterritoriales permettent à Washington d’accéder aux données hébergées, même depuis un centre de données situé en Europe.
À ce titre, la réalisation d’un comparatif rigoureux des garanties juridiques offertes par les différents prestataires cloud s’avère indispensable pour éclairer les décisions publiques en matière de souveraineté numérique.
Des recours juridiques se préparent
La décision de la Cnil, publiée le 11 mars 2025, a rapidement suscité une réaction collective de plusieurs associations. Constances, InterHop, AIDES, la Ligue des Droits de l’Homme, la fédération SUD Santé Sociaux et le Syndicat de la Médecine Générale ont annoncé leur intention de saisir le Conseil d’État. Ces organisations dénoncent un manque de garanties concernant la confidentialité des données et pointent du doigt l’absence d’un hébergement souverain. Un comparatif transparent des solutions d’hébergement existantes se révèle donc nécessaire, en particulier au regard des exigences de sécurité qu’elles estiment indispensables.
La Cnil elle-même admet, dans sa délibération, que des données hébergées par un acteur soumis au droit américain peuvent faire l’objet de demandes d’accès de la part des autorités étrangères. Elle appelle ainsi le gouvernement à agir rapidement pour migrer vers une solution souveraine.
Or, ce débat sur un changement d’hébergeur n’est pas récent. Déjà en 2020, Olivier Véran s’était engagé à proposer une alternative dans un délai de 12 à 18 mois, engagement resté sans suite. En 2022, la directrice du HDH avait évoqué une possible migration à l’horizon 2025. Cependant, ce cap semble de nouveau compromis.
Dans son rapport 2024, le Health Data Hub indique avoir poursuivi ses échanges avec les acteurs impliqués et évoque la mise en place d’une solution provisoire courant 2025. Toutefois, aucune solution pérenne ne semble encore actée.