Cloud non-souverain et données de santé : Analyse des décisions du Conseil d'État sur le Health Data Hub

Contexte et enjeux des décisions du Conseil d'État

Le Conseil d'État a rendu en novembre 2024 trois décisions majeures concernant l'hébergement des données de santé françaises sur des infrastructures cloud non-souveraines. Ces décisions s'inscrivent dans le débat sur la protection des données de santé et la souveraineté numérique française.

Le point central concerne l'autorisation donnée au Health Data Hub (HDH) d'utiliser les services cloud de Microsoft pour héberger la plateforme nationale des données de santé. Cette décision a des implications importantes pour l'ensemble du secteur de la santé et la stratégie numérique française.

Analyse détaillée des décisions du Conseil d'État

Les trois décisions (n°475297, n°492895 et n°491644) confirment la légalité du recours à Microsoft tout en imposant un cadre strict :

1. Validation du choix technologique sous conditions

- Mise en place de garanties contractuelles renforcées

- Obligations de sécurité et de confidentialité spécifiques

- Encadrement des transferts de données hors UE

2. Reconnaissance des enjeux de souveraineté

- Nécessité d'une transition progressive vers des solutions souveraines

- Équilibre entre besoins opérationnels et protection des données

- Prise en compte des contraintes techniques et économiques

3. Rôle renforcé de la CNIL

- Pouvoir de contrôle accru sur les conditions d'hébergement

- Capacité d'intervention en cas de risque pour les données

- Suivi des mesures de protection mises en place

Implications pratiques pour les acteurs du secteur santé

Ces décisions ont des conséquences directes pour les organisations traitant des données de santé :

1. Cadre juridique clarifié

- Possibilité encadrée d'utiliser des clouds non-souverains

- Nécessité de garanties renforcées

- Importance de la documentation des choix techniques

2. Obligations opérationnelles

- Renforcement des mesures de sécurité

- Audit régulier des prestataires

- Traçabilité des accès aux données

3. Stratégie à long terme

- Planification de la transition vers des solutions souveraines

- Évaluation des risques et opportunités

- Adaptation des processus internes

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

1. Réaliser un audit complet de vos solutions d'hébergement actuelles et planifier les évolutions nécessaires

2. Mettre à jour vos procédures de sélection et d'évaluation des prestataires cloud

3. Renforcer votre documentation et vos contrôles sur les transferts de données

4. Prévoir un plan de transition vers des solutions souveraines à moyen terme

5. Mettre en place un suivi régulier des évolutions réglementaires et jurisprudentielles