GuiGui's Show

Plateforme des données de santé (PDS) = Système national des données de santé (SNDS) = Health Data Hub (HDH) = centralisation des bases de données de santé existantes afin de favoriser la recherche :

• 2020-2022 : contestation du décret et du nom anglophone « Health Data Hub » ;
  
  
• 2023 : attribution du marché public à Microsoft et promesse d'une migration vers un système européen sous deux ans ;
  
  
• 2023 : autorisation pour 3 ans, par la CNIL, d'un premier entrepôt de données de santé, EMC2, dans le cadre d'un projet de recherche européen. Hébergé par Microsoft ;
  
  
• 2024 : contestation d'EMC2, en référé et au fond, par les Licornes célestes, l'ADELICO, Clever cloud, Rapid Space, l'ISOC, le Conseil national du logiciel libre, etc. Décision au fond : CE 491644 ;
  
  
• 2024 : saisine CEDH sur EMC2. Pas de nouvelles en mai 2026, donc ça n'a probablement pas passé la phase d'admission ;
  
  
• 2025 : autorisation pour 3 ans, par la CNIL, d'un deuxième entrepôt de données de santé, par l'Agence européenne du médicament, dans le cadre de sa coordination du réseau européen DARWIN EU ;
  
  
• 2025-2026 : contestation de Darwin par les mêmes (et d'autres). En référé. Au fond. Conclusions de la Rapporteure publique ;
  
  
• Fin avril 2026 : Scaleway a été sélectionné pour remplacer Microsoft. Je n'applaudirai pas car Scaleway, et plus largement le groupe Iliad, se torche avec le RGPD.

L'objectif des Licornes célestes et autres était d'obtenir le renvoi à la CJUE, d'une question préjudicielle portant sur la validité au droit de l'UE du Data Privacy Framework (DPF, décision d'adéquation entre l'UE et les USA). Le CE a fermé de nombreuses portes, notamment dans sa décision de mars 2026 :

• La délibération de la CNIL en elle-même autorise uniquement un traitement sur des serveurs situés en France. De plus, aucune donnée de santé n'est transférée aux USA (ou, en tout cas, ce n'est pas démontré). Uniquement les données techniques de connexion des adminsys de la PDS. Microsoft encadre ces transferts par des clauses contractuelles-types (art 46 du RGPD). Dès lors, la question préjudicielle portant sur le DPF est caduque puisque pas nécessaire pour trancher le litige, alors que les transferts ne sont déjà pas l'objet de la délibération ;
  
  
• Aux points 5 et 6 de sa décision, le CE semble juger que, toute façon, la validité du DPF ne sera jamais un sujet puisqu'il existe d'autres encadrements des transferts internationaux (articles 46 à 49 du RGPD). Or, les clauses contractuelles-types (art 46) ne suffisent pas, il faut des garanties en sus (chiffrement, etc.) Le CE les examine, et les juge suffisantes, mais au titre des articles 28 et 32 du RGPD, d'où il y a une faiblesse dans le raisonnement, mais elle ne changerait pas le sens de sa décision. Il faut aussi un recours effectif, mais le Tribunal de l'UE s'est penché sur ça ;
  
  
• Les mesures prises par la PDS, dont la pseudonymisation, rendent le débat compliqué. Pas sûr que la PDS soit le meilleur point de départ pour obtenir une invalidation du DPF. De même, la compartimentation de l'UE par les acteurs ricains (ex. : Microsoft EU Boundary) complique les recours en brouillant les cartes, en augmentant la difficulté technico-juridique pour appréhender le sujet, et en fournissant des portes de sortie faciles.

De leur côté, et sans surprise, les ricains n'hésitent pas à pratiquer du protectionnisme réglementaire sur leurs données de santé : décret présidentiel EO 14117 de Biden. Même si les données de santé sont anonymisées ou pseudonymisées.

En 2026, devant l'Assemblée, le dirlo par intérim de la PDS ne sait pas si les données sont chiffrées lors de leur traitement sur Azure. (C'est important car, en 2024, en Écosse, il a été montré que des données hébergées dans l'UE peuvent être transférées durant leur traitement en fonction des serveurs disponibles.) En se basant sur les décisions du CE, il concède un faible risque pour les données. On retrouve Capgemini pour du conseil.

Lors de son audition au Sénat en juin 2025, le directeur des affaires publiques et juridiques de Microsoft France confirmait devoir transmettre les données, mais que ça n'est jamais arrivé pour une entité européenne depuis la publication des rapports de transparence (bien entendu, cela ne correspond pas aux rapports publiés par le gouvernement états-unien…). Le gus contourne la question sur le manquement que constitue, selon l'EDPS, le recours à Microsoft 365 par la Commission UE. Idem sur la suspension de la messagerie du procureur général de la Cour pénale internationale.