Microsoft conserve les données de santé de 10 millions de Français
DARWIN EU et le Health Data Hub en France
Depuis 2022, l'Agence européenne des médicaments (EMA) pilote DARWIN EU, un réseau destiné à observer l'efficacité des médicaments en conditions réelles — pas seulement en essai clinique. En France, c'est le Health Data Hub qui alimente ce projet : il puise dans la base de l'Assurance maladie, sélectionne un échantillon de 10 millions de personnes et met ces données pseudonymisées à disposition des chercheurs.
Le projet utilise un échantillon pseudonymisé de 10 millions de Français tiré de la base de l'Assurance maladie. Le 20 mars 2026, le Conseil d'État a validé l'autorisation donnée par la CNIL tout en reconnaissant que "le risque d'un accès aux données par les autorités américaines ne peut être totalement exclu".
Dépendance technologique et exposition aux lois américaines
Le nœud du problème est simple et géopolitique. L'infrastructure française repose sur Microsoft Azure. Or Microsoft, même via sa filiale irlandaise, reste une entreprise américaine soumise au Cloud Act, la loi américaine qui permet aux autorités des États-Unis de réclamer l'accès aux données stockées par leurs entreprises, y compris lorsqu'elles se trouvent à l'étranger. Cette exposition a réveillé des craintes : données de santé, beaucoup d'enjeux scientifiques et économiques, potentiel d'exploitation.
Les recours, les acteurs et la position de l'autorité
Des associations — dont la Ligue des droits de l'homme — et des acteurs français du cloud comme Clever Cloud ou Nexedi ont contesté l'autorisation de la CNIL. La Commission nationale de l'informatique et des libertés avait pourtant donné son feu vert en février 2025 (déliberations n° 2025-013 et n° 2025-014).
Saisi, le Conseil d'État a tranché le 20 mars 2026 : il rejette les recours mais le fait en reconnaissant explicitement la sensibilité des données, et les risques liés à une possible intervention des autorités américaines.
Garanties promises et limites admises par la décision
La décision n'ignore pas le danger : elle parle de "sensibilité particulière eu égard à leur nature de données de santé mais aussi au potentiel scientifique et économique de leur exploitation". Pourtant, le Conseil d'État estime que les garanties techniques et juridiques sont suffisantes pour autoriser le projet.
Parmi ces garde-fous : pseudonymisation des jeux de données, durée de conservation limitée à trois ans et serveurs physiquement situés en France.
Un compromis qui interroge la souveraineté des données
Cette issue met en lumière le dilemme auquel fait face la France : favoriser la recherche pharmaceutique et l'innovation en acceptant l'utilisation d'infrastructures cloud étrangères, ou protéger strictement la souveraineté des données en freinant des projets scientifiques d'envergure. Le Conseil d'État a choisi un compromis.
Reste que la Cour admet qu'aucune mesure ne pourra "totalement exclure" le risque d'accès étranger — un aveu qui pose question pour la confiance publique.
Concrètement, DARWIN EU continue, avec Microsoft Azure comme socle technique et un cadre légal validé par la CNIL et le Conseil d'État. La controverse, elle, n'est pas close : elle traduit un débat plus large sur la dépendance technologique, la protection des données sensibles et les priorités de la recherche en Europe.
