Health Data Hub : le traitement des données par Microsoft est conforme au RGPD

Le Conseil d’Etat juge que l’autorisation accordée par la Cnil à Health Data Hub d’extraire et de traiter des données de santé pour une durée de trois ans ne permet que le traitement automatisé des données et n’autorise pas leur transfert vers les Etats-Unis.L’agence européenne des médicaments a mis en place un réseau d’institutions publiques et privées, dénommé "DARWIN EU", visant à recueillir des données permettant d’étudier l’emploi, la sécurité et l’efficacité des médicaments et vaccins à usage humain.

Par une délibération n° 2025-014 du 13 février 2025, la Commission nationale de l’informatique et des libertés (Cnil) l'a autorisée à mettre en œuvre des traitements automatisés de données personnelles, permettant l’exploitation des données personnelles de santé d’un échantillon de la population française, pour une durée de trois ans, afin de réaliser des études portant sur la prévalence et l’incidence des pathologies dans la population française. Ces traitements nécessitent l’extraction de ces données du Système national des données de santé (SNDS) par le Groupement d’intérêt public (GIP) "Plateforme des données de santé" (PDS), aussi dénommé "Health Data Hub", qui agit en tant que partenaire de l’agence européenne des médicaments. Pour l’hébergement des données ainsi extraites, le GIP a recours à la société Microsoft Ireland Operations, Ltd. Plusieurs associations et des particuliers ont demandé au Conseil d’Etat d’annuler la délibération de la Cnil, estimant qu’il existe un risque de transfert de données personnelles vers les Etats-Unis, Microsoft Ireland Operations, Ltd étant une filiale de droit irlandais de la société Microsoft, établie aux Etats-Unis. Dans sa décision rendue le 20 mars 2026 (requêtes n° 503159 et 504171), le Conseil d'Etat relève tout d'abord que l’autorisation de la Cnil a pour seul objet d’autoriser le traitement de données de santé hébergées dans des centres de données situés en France, et non d’autoriser le transfert de ces données vers les Etats-Unis. Elle n’entre pas dans le champ de la décision d’exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023, dite "décision d’adéquation", qui autorise de tels transferts. L’argumentation des requérants relative à l’illégalité de cette décision de la Commission ne peut donc être retenue. S’il est possible, compte tenu des modalités d’exécution du contrat passé avec Microsoft, que certaines données personnelles relatives aux utilisateurs de la plate-forme - et non aux personnes incluses dans le champ des études - soient transférées vers des administrateurs de la société situés aux Etats-Unis, le Conseil d’Etat relève que le contrat prévoit des garanties conformes au RGPD (règlement général sur la protection des données - Règlement (UE) 2016/679 du 27 avril 2016). Enfin, si le risque que les autorités américaines, sur le fondement de leur propre législation, demandent à la société Microsoft d’accéder à des données personnelles de santé ne peut être totalement exclu, le Conseil d’Etat juge que l’autorisation contesté est assortie de garanties permettant d’assurer la sécurité de ces données, notamment leur pseudonymisation et la limitation de leur durée de conservation. Pour ces raisons, le Conseil d’Etat juge que la Cnil n’a pas commis d’erreur d’appréciation et rejette la demande des requérants. SUR LE MEME SUJET : Health Data Hub : des ennuis de santé pour la langue française - Legalnews, 31 octobre 2022 Health Data Hub : des précautions s'imposent, selon le Conseil d'Etat - Legalnews, 15 octobre 2020