Le Conseil d’État autorise Microsoft à héberger les données de santé du projet Darwin

Le Conseil d’État a validé, dans un arrêt rendu public le 20 mars 2026, le transfert de données de santé de 10 millions de personnes vers la Plateforme des données de santé, hébergée sur Microsoft Azure. La décision confirme que l’autorisation accordée par la CNIL respecte le cadre européen, alors que plusieurs acteurs contestaient le choix d’un prestataire soumis à des lois américaines.

Le paradoxe saute aux yeux, le gouvernement a déjà annoncé vouloir remplacer Microsoft par un opérateur strictement européen d’ici fin 2026. Entre les besoins immédiats de recherche, les engagements pris au niveau européen et la question de la souveraineté numérique, le juge administratif a tranché sur un point précis, la légalité du dispositif tel qu’il est encadré, pas l’opportunité politique du choix technologique.

Le Conseil d’État valide Darwin sur la base du RGPD

Le cur de la décision, c’est la conformité au RGPD de l’autorisation délivrée par la CNIL pour le projet Darwin. Les requérants attaquaient l’idée même de confier l’hébergement à un acteur américain, en mettant en avant le risque d’accès par des autorités étrangères. Le Conseil d’État retient une approche juridique, il examine ce que l’autorisation permet réellement, et dans quelles limites.

Le juge souligne que les données sont hébergées dans des centres de données situés en France. L’autorisation ne porte pas sur un transfert vers les États-Unis, ni vers un autre pays. Dit autrement, tu peux contester la géopolitique du cloud, mais le texte attaqué encadre un traitement localisé. Pour le Conseil d’État, ce point pèse lourd, parce qu’il conditionne l’analyse du risque au regard du droit européen.

Le dossier illustre une mécanique administrative très française, la CNIL autorise un traitement, des associations et une entreprise de cloud contestent, puis le Conseil d’État contrôle la légalité. Dans ce type d’affaires, le juge ne remplace pas l’administration, il vérifie si les garanties et la finalité annoncées entrent dans le cadre. Ici, la finalité est liée à des études coordonnées par l’Agence européenne du médicament, ce qui renforce la logique d’intérêt général.

Un juriste spécialisé en données de santé, que j’appelle Marc pour rester simple, résume le raisonnement de manière sèche, le Conseil d’État ne dit pas que Microsoft est le meilleur choix, il dit que l’autorisation CNIL est juridiquement tenable dans ce périmètre. C’est une nuance importante, parce qu’elle laisse intacte la question politique, faut-il dépendre d’un acteur extra-européen pour des données aussi sensibles.

Le projet Darwin vise 10 millions de dossiers issus de l’Assurance maladie

Darwin prévoit de transférer des données détenues par l’Assurance maladie concernant 10 millions de personnes. Ce volume donne une idée de l’enjeu, on ne parle pas d’un petit échantillon hospitalier, mais d’un entrepôt capable d’alimenter des analyses à grande échelle. L’objectif affiché est de produire des études sur l’usage des médicaments dans la population générale, un terrain où la puissance statistique change tout.

Concrètement, ce type de base sert à mesurer l’incidence et la prévalence d’utilisation de médicaments, selon les termes repris dans le dossier. Pour que ça parle, imagine une étude sur la diffusion d’un traitement, son évolution dans le temps, les profils d’âge concernés, ou la comparaison entre régions. Ce n’est pas de la recherche de laboratoire, c’est de l’épidémiologie et de la pharmaco-épidémiologie, avec des résultats attendus par des autorités publiques.

Le fait que les études soient coordonnées par l’Agence européenne du médicament n’est pas un détail de communication. Dans un cadre européen, les États s’engagent sur des calendriers, des méthodes, des livrables. Un retard de plateforme ou une incapacité technique à traiter les données peut créer un effet domino, et c’est exactement l’argument qui revient depuis plusieurs années, l’administration a besoin d’une solution qui marche maintenant, pas d’une promesse souveraine dans trois ans.

Marc, qui suit ces dossiers depuis le début du Health Data Hub, me glisse une critique qu’on entend souvent dans les couloirs, on a présenté Darwin comme strictement encadré, mais le vrai sujet c’est la trajectoire, aujourd’hui 10 millions, demain quoi. Ce n’est pas une accusation, c’est une alerte sur l’effet d’entraînement, une fois l’infrastructure en place, la tentation de l’élargissement existe toujours, et c’est là que la gouvernance devient centrale.

Le risque d’accès américain reste un point de friction sur Microsoft Azure

Les opposants mettent en avant un sujet récurrent, les lois extraterritoriales américaines peuvent, dans certains cas, obliger une entreprise à coopérer avec des autorités. Le Conseil d’État, selon les éléments rapportés, n’écarte pas totalement cette inquiétude sur le plan théorique. Mais il raisonne à partir de l’autorisation en cause, qui encadre un traitement en France et n’autorise pas de transfert hors de l’Union européenne.

Ce point crée une situation inconfortable, tu as d’un côté une architecture présentée comme localisée, avec des données en France, de l’autre une dépendance à un acteur, Microsoft, dont la maison-mère est soumise à un droit non européen. Les requérants visaient aussi le débat plus large sur les cadres UE-États-Unis, mais le Conseil d’État estime que ce débat n’est pas opérant ici, puisque le traitement autorisé n’est pas un transfert international.

Dans la pratique, les critiques portent aussi sur les transferts techniques résiduels évoqués dans le débat public, typiquement des opérations de support, de maintenance ou de télémétrie. Le juge considère que ces éléments, lorsqu’ils existent, sont couverts par le RGPD et restent dans le cadre défini. C’est très juridique, et ça peut frustrer, parce que la perception du risque, elle, reste politique et symbolique, surtout quand il s’agit de données de santé.

Marc formule une nuance utile, le risque zéro n’existe pas, mais la question est de savoir si l’État a documenté le risque et mis des barrières cohérentes. Là, on touche à une critique possible, la validation par le Conseil d’État ne met pas fin au débat sur la souveraineté, elle dit seulement que le montage, tel qu’autorisé, n’est pas illégal. Ce n’est pas la même chose que dire qu’il est rassurant pour tout le monde.

La CNIL autorise un hébergement temporaire, le précédent EMC2 pèse

Avant Darwin, un autre dossier a servi de précédent, l’entrepôt EMC2 du Health Data Hub. Dans ce cas, l’autorisation a été accordée pour une durée limitée, avec l’idée d’une migration sur 3 ans. L’argument mis en avant tenait à une contrainte de marché, l’absence de prestataire capable de répondre immédiatement au besoin avec une solution pleinement souveraine, tout en honorant des engagements européens.

Cette logique a une conséquence directe, la CNIL se retrouve à arbitrer entre deux risques, bloquer un dispositif de recherche jugé utile, ou accepter un hébergement chez un acteur extra-européen avec des garde-fous. C’est une position ingrate, parce que la CNIL n’est pas un ministère de la Recherche, mais elle doit apprécier la proportionnalité, la finalité, et les mesures de sécurité. Le Conseil d’État, lui, contrôle si cet arbitrage reste dans les clous.

Le débat traitement par traitement revient aussi dans le contexte, avec une adaptation demandée pour ne plus raisonner sur une base globale, mais sur des projets précis. Dit autrement, tu ne valides pas un gigantesque entrepôt pour tout faire, tu valides des usages déterminés, avec des objectifs et des durées. Ce cadrage est important, parce qu’il permet au juge de dire, on ne statue pas sur un nuage abstrait de données, on statue sur une opération définie.

Marc, encore lui, pointe une limite, l’autorisation temporaire devient vite une habitude, on empile les autorisations et on finit avec une dépendance installée. C’est là que la notion de transition doit être crédible, avec une trajectoire datée et des critères clairs. Sans ça, la temporalité se dilue, et l’argument de l’urgence technique finit par se répéter année après année, ce qui alimente la défiance.

Le gouvernement promet un opérateur européen d’ici fin 2026

Le gouvernement a annoncé en février vouloir remplacer Microsoft par un opérateur européen, avec un transfert total visé d’ici fin 2026. Le critère affiché est net, le futur prestataire ne devra pas être soumis à une législation extra-européenne. Sur le papier, c’est une réponse directe aux critiques, et une manière de concilier continuité des recherches et objectif de souveraineté.

Mais la promesse pose des questions très concrètes, quelles capacités techniques, quelles certifications, quels délais de migration, et à quel coût. L’hébergement de données de santé implique des contraintes de sécurité, de traçabilité, et de disponibilité. Dans ce type de migration, le risque n’est pas seulement juridique, il est opérationnel, interruption de service, incompatibilités, ralentissements pour les équipes de recherche. Ce sont des sujets rarement visibles, mais déterminants.

La décision du Conseil d’État intervient donc dans une période de transition annoncée. Pour les acteurs publics, l’arrêt sécurise le présent, il évite une interruption brutale d’un projet lié à des études européennes. Pour les opposants, il peut être vécu comme un feu vert qui affaiblit la pression politique. C’est le point de tension, la validation juridique peut réduire l’urgence de changer, même si la ligne officielle reste la migration vers un acteur européen.

Marc résume le dilemme avec une formule qui pique un peu, on a gagné au tribunal, mais on a perdu du temps sur l’industriel. Sa critique vise la lenteur à construire une alternative crédible, alors que l’objectif de souveraineté est affiché depuis plusieurs années. Si la migration se fait d’ici 2026, l’arrêt du Conseil d’État restera un épisode de transition. Si elle glisse, il deviendra un précédent qui aura normalisé l’hébergement extra-européen sous contrainte.