Le Système National des Données de santé (SNDS) est géré par la Caisse nationale de l’Assurance Maladie. Le Health Data Hub (HDH) (en français, la « Plateforme des données de santé ») est l’entité chargée de faciliter l’accès aux données du SNDS pour la recherche, les études, etc.
L’hébergement des données du HDH / SNDS est effectué via Microsoft Azure, plus précisément via Microsoft Ireland Ltd. Cet hébergement est certifié « Hébergeur de données de santé » et a été autorisé par la CNIL pour une durée de trois ans.
L’objectif annoncé par les autorités en 2020 était de migrer l’hébergement vers une solution cloud souverain européen, dans le but d’éviter tout risque de demande d’accès des autorités américaines à ces données de santé françaises.
Face à la difficulté de trouver une solution alternative, le ministre de la Santé a, par un courrier du 15 février 2023, demandé à la CNIL une adaptation des demandes d’autorisation pour qu’elles ne portent plus sur la totalité de la base mais soient formulées traitement par traitement.
Le Conseil d’Etat était saisi de la question de la légalité de ce courrier, qualifié par les requérants de « renonciation » à l’objectif d’alternative aux acteurs américains pour l’hébergement des données de santé du Système National des Données de santé (SNDS).
Par un arrêt n° 495606 rendu le 25 juin 2025, le Conseil rejette la requête.
Cette affaire intervenait dans le contexte d’absence de décision d’adéquation envers les Etats-Unis entre le 16 juillet 2020 et le 10 juillet 2023) à la suite de l’annulation par l’arrêt Schrems 2 de la précédente décision d’adéquation (Privacy Shield), en raison justement de l’absence de protection face au risque d’accès aux données par les autorités américaines[1].
Dans la présente affaire, si le Conseil d’Etat rejette la requête contre le courrier du ministre de la Santé c’est en estimant que ledit courrier « ne révèle l’existence d’aucune décision du ministre susceptible de faire l’objet d’un recours en excès de pouvoir », autrement dit, qu’il ne fait pas grief. Ce courrier ne constituait donc pas, selon le juge administratif, une véritable renonciation à l’objectif de migration des données du HDH / SNDS.
Par conséquent, le Conseil d’Etat ne s’est pas prononcé sur le risque d’accès d’autorités américaines pour les données de santé hébergées.
Cette décision met au passage en lumière l’absence d’alternative au regard l’état de développement des solutions proposées par les acteurs soumis exclusivement au droit français ou européen et, partant, la complexité de mise en œuvre de l’objectif adopté en 2020, malgré son bien-fondé au regard du droit américain.
Face à cette difficulté, le ministre de la Santé proposait donc que chaque traitement fasse l’objet d’une formalité de demande d’autorisation (pour héberger les données de santé) au lieu d’une seule demande pour la totalité.
Le Conseil d’Etat apprécie cette demande comme la traduction d’une solution temporaire et non comme une renonciation à l’objectif initial de souveraineté. Cette position pragmatique semble justifiée par le constat de l’absence d’alternative au regard l’état de développement des solutions proposées par les acteurs soumis exclusivement au droit français ou européen.
Précisons, à cet égard, qu’un nouveau texte, le US-EU DATA PRIVACY FRAMEWORK de 2022, a permis d’obtenir une décision d’adéquation le 10 juillet 2023. La décision a d’ailleurs été confirmée très récemment dans l’arrêt du Tribunal de l’Union européenne (TUE) du 3 septembre dernier dans l’affaire T-553/23 Latombe/Commission. Par cette décision, le TUE a rejeté le recours visant à l’annulation du nouveau cadre de transfert de données à caractère personnel entre l’Union européenne et les États-Unis.
Pour autant, le problème de la protection des données dans le transfert entre les E-U et l’UE continue d’interroger, et fait l’objet de critiques par certains tel l’ONG NOYB créée par le célèbre Max Schrems qui remet en question « l’indépendance de ces mécanismes de contrôle »[2].
Le problème de la souveraineté numérique européenne ou française est donc toujours d’actualité. En témoigne, la table ronde organisée le vendredi 12 septembre par le gouvernement autrichien réunissant les ministres européens du numérique et la commissaire à la souveraineté technologique.
_____
[1] Présentation de l’arrêt « Schrems II » de la CJUE. (s. d.). https://www.cnil.fr/fr/presentation-de-larret-schrems-ii-de-la-cjue
[2] Le cloud américain bientôt illégal ? Trump fait un premier trou dans l’accord UE-USA sur les données personnelles. (2025, 28 janvier). noyb.eu. https://noyb.eu/fr/us-cloud-soon-illegal-trump-punches-first-hole-eu-us-data-deal