Par une décision du 20 mars 2026, le Conseil d’État rejette les recours visant l’autorisation accordée par la CNIL dans le cadre du Health Data Hub. La juridiction administrative confirme la conformité du dispositif au RGPD, tout en encadrant strictement la question des transferts de données.
Un traitement de données de santé autorisé dans le cadre européen DARWIN EU
La décision porte sur l’autorisation délivrée le 13 février 2025 par la CNIL à l’Agence européenne des médicaments. Celle-ci lui permet de mettre en œuvre des traitements automatisés de données de santé dans le cadre du programme européen DARWIN EU, destiné à analyser l’usage, la sécurité et l’efficacité des médicaments et vaccins.
Ces traitements reposent sur l’exploitation d’un échantillon de données issues du Système national des données de santé, extraites par la Plateforme des données de santé, agissant comme sous-traitant. L’hébergement est assuré par Microsoft Ireland Operations, filiale européenne du groupe américain.
Plusieurs associations, organisations et acteurs du numérique ont contesté cette autorisation, invoquant notamment un risque de transfert de données vers les États-Unis et des garanties jugées insuffisantes au regard du RGPD.
Le Conseil d’État écarte le risque de transfert de données de santé
Dans sa décision, le Conseil d’État rappelle que l’autorisation accordée par la CNIL porte uniquement sur des données de santé hébergées dans des centres situés en France. Elle n’a ni pour objet ni pour effet d’autoriser un transfert de ces données vers les États-Unis.
La juridiction administrative distingue en revanche les données de santé des données techniques liées à l’usage de la plateforme. Elle reconnaît que certaines données relatives aux connexions des utilisateurs peuvent, dans certaines conditions, être accessibles à des administrateurs situés aux États-Unis. Ces données ne concernent pas les personnes incluses dans les études et ne contiennent pas de données de santé.
Ces éventuels transferts sont encadrés par des clauses contractuelles types, considérées comme des garanties appropriées au sens du RGPD.
Des garanties jugées suffisantes malgré un risque non totalement exclu
Le Conseil d’État admet que le risque d’un accès aux données par les autorités américaines, en application de leur législation, ne peut être totalement exclu. Toutefois, il considère que le dispositif mis en place comporte des garanties suffisantes pour protéger les données.
La décision met en avant plusieurs mesures, parmi lesquelles la pseudonymisation des données sous le contrôle des autorités compétentes, la limitation de leur durée de conservation, ainsi que des analyses de risques de réidentification et des contrôles des usages.
Elle souligne également que l’hébergeur dispose d’une certification d’hébergeur de données de santé, impliquant des audits réguliers, même s’il ne bénéficie pas de la qualification SecNumCloud.
Au regard de ces éléments, le Conseil d’État estime que le sous-traitant présente des garanties techniques et organisationnelles suffisantes et que la CNIL n’a pas commis d’erreur d’appréciation. Les requêtes sont donc rejetées.
