Le Conseil d'État valide l'hébergement des données de santé par Microsoft

Le Conseil d'État a rejeté définitivement le 19 novembre 2024 les recours déposés par l'Internet Society France et plusieurs acteurs du numérique contre la délibération de la Commission nationale de l'informatique et des libertés (Cnil) sur le projet EMC2 du Health Data Hub. Les associations contestaient la délibération de la Cnil validant, malgré elle (notre article du 7 février 2024), le choix d'une solution Microsoft Azure pour héberger des données de santé. 
La haute juridiction administrative a écarté le risque d'accès aux données par les autorités américaines, en soulignant que "les données [...] font l'objet de pseudonymisations multiples" et que "les seules données susceptibles de faire l'objet d'un transfert vers des administrateurs situés aux Etats-Unis [sont] des données techniques d'usage de la plateforme". Par ailleurs, le Conseil d'Etat valide les garanties apportées par l'éditeur telles que l'hébergement des données en France et la certification "hébergeur de données de santé" même si l'éditeur n'a pas le label SecNumCloud du fait de sa soumission au Cloud Act américain. Enfin, il souligne que l'autorisation n'est accordée que pour une durée de trois ans, ce qui permettra de réévaluer le dispositif. Le Conseil d'Etat conclut que le projet ne porte pas "une atteinte disproportionnée au droit à la vie privée".
Cette décision au fond fait suite à un premier référé, rejeté en mars 2024 par le Conseil d'Etat. On rappellera que devant la levée de boucliers suscitée par le choix de Microsoft, le ministère de la Santé s'est engagé depuis à trouver une solution "souveraine" en 2025.