Health Data Hub : le Conseil d’Etat valide l’autorisation CNIL, sans éteindre le débat sur la souveraineté des données de santé

Par sa décision du 20 mars 2026 (n° 503159-504171), le Conseil d’Etat rejette les recours contre la délibération n°2025-014 de la CNIL du 13 février 2025, qui autorise l’Agence européenne du médicament (« EMA ») à mettre en œuvre pendant trois ans des traitements automatisés de données de santé dans le cadre du projet DARWIN EU. Ces traitements portent sur des études d’incidence et de prévalence des pathologies dans la population générale en France, à partir de données de santé extraites du système national des données de santé (« SNDS ») via la plateforme des données de santé (« PDS » ou « Health Data Hub – HDH »), avec hébergement par Microsoft Ireland Operation LTD dans des centres situés en France.

Le Conseil d’Etat juge plus précisément, qu’au regard de l’objet de l’autorisation contestée, des garanties mises en avant et de la durée limitée du dispositif, la CNIL n’a pas commis d’erreur d’appréciation.

Le contexte : un projet européen fondé sur les données de santé

Le projet s’inscrit dans le réseau européen DARWIN EU, coordonné par l’EMA, destiné à exploiter des données de vie réelle pour étudier l’usage, la sécurité et l’efficacité des médicaments et vaccins.

En France, l’EMA agit comme responsable de traitement, tandis que la Plateforme des données de santé intervient comme sous-traitant pour l’extraction des données du SNDS, leur mise au format et leur analyse. 

La CNIL avait donc autorisé ce traitement de données du SNDS dans le cadre dudit programme européen. Ces données de santé, pseudonymisées, étaient traitées par la PDS et hébergées sur une infrastructure opérée par Microsoft. C’est cette configuration qui était contestée par plusieurs requérants, notamment en raison du risque d’accès aux données par des autorités américaines.

Ce que juge exactement le Conseil d’Etat 

Le Conseil d’Etat juge que la CNIL n’a pas commis d’erreur d’appréciation, au regard :

• de l’objet strict de l’autorisation,
• des garanties techniques et organisationnelles mises en œuvre,
• et de la durée limitée du dispositif.

La décision valide une autorisation spécifique, contextualisée et temporaire – et non un modèle général d’hébergement des données de santé.

Pas d’autorisation de transferts de données de santé vers les Etats-Unis

Le premier apport de la décision est de dissocier l’autorisation du traitement de l’éventualité d’un transfert international.

Le Conseil d’Etat relève que la délibération contestée a pour seul objectif d’autoriser un traitement de données de santé, hébergées en France. Elle n’a ni pour objet ni pour effet d’autoriser un transfert de ces données vers les Etats-Unis.

En conséquence, les requérants ne pouvaient utilement contester, à l’appui de leur recours, la validité de la décision d’adéquation UE- Etats-Unis du 10 juillet 2023.

Autrement dit, le raisonnement du Conseil d’Etat est strict ; puisqu’aucun transfert de données de santé vers les Etats-Unis n’est autorisé par la délibération attaquée, le débat sur sa légalité est sans incidence.

Des transferts limités à des données techniques d’usage

Le Conseil d’Etat admet qu’il peut exister des transferts de données techniques d’usage de la plateforme vers des administrateurs Microsoft situés aux Etats-Unis. Mais il précise que ces données

• concernent uniquement des données techniques liées à l’utilisation de la plateforme tels que des logs, connexions ou métadonnées,
• ne portent pas sur les personnes incluses dans les études, 
• ne comportent aucune donnée de santé.

Il relève, en outre, que ces transferts sont encadrés par des garanties contractuelles conformes au RGPD, notamment des clauses contractuelles types.

Un risque extraterritorial reconnu mais jugé maîtrisé

Le point le plus sensible de la décision est sans doute ici. Le Conseil d’Etat reconnaît expressément qu’un accès aux données par les autorités américaines ne peut être totalement exclu.

Toutefois, ce risque est jugé résiduel pour remettre en cause la légalité de l’autorisation compte tenu des garanties mises en place :

• pseusodnymisation des données sous le contrôle de la Caisse nationale d’assurance maladie (« CNAM »),
• limitation de la durée de conservation des données brutes extraites du SNDS,
• analyse du risque de réidentification lors de chaque export, et
• traçabilité des accès et des traitements.

Le Conseil d’Etat ajoute que, si Microsoft Ireland ne peut pas obtenir la qualification SecNumCloud en raison de son rattachement à un groupe soumis au droit américain, Microsoft Ireland dispose néanmoins de la certification « hébergeur de données de santé » prévue à l’article L. 1111-8 du Code de la santé publique, impliquant un audit régulier par un organisme accrédité.

Compte tenu de l’ensemble de ces éléments et du fait que l’autorisation n’est accordée que pour trois ans, le juge adopte une approche pragmatique : le risque n’est pas ignoré, mais apprécié concrètement au regard des mesures de sécurité.

Le Conseil d’Etat refuse également le renvoi préjudiciel à la Cour de justice de l’Union européenne (« CJUE »), il n’existe pas selon lui, de doute raisonnable sur l’interprétation des règles invoquées justifiant une saisine de la CJUE.

L’invocabilité écartée de la loi SREN

Les requérants invoquaient aussi l’article 31 de la loi du 21 mai 2024 SREN (loi visant à sécuriser et réguler l’espace numérique, cf. actualité du 22 mai 2024 – Loi SREN : Sécuriser l’espace numérique), qui impose pour certaines données sensibles, des exigences de protection contre les accès d’autorités publiques d’Etat tiers. Le Conseil d’Etat juge toutefois qu’à date de la délibération CNIL, en l’absence de décret pris en Conseil d’Etat, ces dispositions n’étaient pas invocables contre la décision attaquée.

Une décision importante, mais circonscrite

Cette décision valide donc une autorisation administrative déterminée, portant sur un traitement précis, pour une durée limitée, au regard de garanties techniques et organisationnelles détaillées.

Elle ne consacre pas pour autant une validation générale du recours à des prestataires soumis à des législations extraterritoriales.

Le Conseil d’Etat reconnaît le risque extraterritorial mais refuse d’en déduire une illégalité automatique tant qu’aucun transfert de données de santé n’est autorisé et que des garanties entourent le traitement en question.

FAQ – Health data Hub, RGPD et données de santé

Qu’est-ce que la Plateforme des données de santé ?

La Plateforme des données de santé, aussi appelée Health Data hub, est un groupement d’intérêt public crée en 2019 afin de faciliter l’accès et l’utilisation des données de santé à des fins de recherche, d’étude et d’innovation.

Qu’est une donnée de vie réelle ?

Les données de vie réelles sont des données issues de la pratique courante de soins, par opposition à une donnée recueillie dans le cadre d’un essai clinique. Il s’agit de données observationnelles provenant, par exemple, de dossiers médicaux électroniques, de registres de maladies, ou d’autres bases de santé utilisées en conditions réelles.

Qu’est-ce qu’une décision d’adéquation ?

Il s’agit d’une décision adoptée par la Commission européenne qui établit qu’un pays tiers non lié par le RGPD ou une organisation internationale assure un niveau de protection adéquat des données personnelles.

Que recouvre la notion de pseudonymisation ?

La pseudonymisation correspond au traitement de données à caractère personnel de telle façon que ces données ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires.

Qu’est-ce que l’Agence européenne des médicaments (EMA) ?

C’est une agence de l’Union européenne, responsable de l’évaluation scientifique, de la supervision et du contrôle de la sécurité des médicaments, dans les Etats membres de l’UE ainsi que dans les pays de l’Espace économique européen.