Le Conseil d’État valide l’autorisation délivrée par la CNIL relative au traitement de données de santé dans le cadre du projet européen DARWIN EU. Toutefois, cette validation reste strictement encadrée : absence de transfert de données de santé vers les États-Unis, garanties techniques renforcées et caractère temporaire du dispositif. Une décision qui clarifie sans pour autant clore le débat sur la souveraineté des données de santé.
Conformité du Health Data Hub au RGPD : réponse du Conseil d’État
Question : Le Health Data Hub est-il conforme au RGPD selon le Conseil d’État ?
Réponse : Oui, mais sous de strictes conditions.
Le Conseil d’État juge que :
- le traitement est licite au regard du RGPD,
- aucun transfert de données de santé vers les États-Unis n’est autorisé,
- seuls des flux techniques non sensibles peuvent exister,
- les garanties techniques et contractuelles sont jugées suffisantes,
- la validation concerne une autorisation spécifique et temporaire.
Contexte : un traitement européen fondé sur les données de santé (DARWIN EU)
Le litige s’inscrit dans le cadre du programme DARWIN EU, piloté par l’Agence européenne des médicaments.
Ce dispositif vise à exploiter des données de vie réelle pour :
- analyser l’usage des médicaments,
- mesurer leur efficacité,
- détecter d’éventuels risques sanitaires.
En France, les données proviennent du Système National des Données de Santé (SNDS) et transitent via le Health Data Hub.
Le Health Data Hub (ou « Plateforme des données de santé ») est une structure publique française créée pour faciliter l’utilisation des données de santé à des fins de recherche, d’innovation et d’amélioration du système de soins.
Health Data Hub est un partenaire officiel du DARWIN EU, le réseau européen piloté par l’Agence européenne des médicaments (EMA) pour analyser, à grande échelle, l’usage, la sécurité et l’efficacité des médicaments et vaccins à partir de données de vie réelle (Real-World Data).
Concrètement, il permet :
- de centraliser des données de santé issues notamment du SNDS,
- de mettre ces données à disposition d’acteurs autorisés (chercheurs, autorités sanitaires),
- tout en garantissant un haut niveau de sécurité et de conformité au RGPD.
Dans l’affaire jugée par le Conseil d’État, le Health Data Hub intervient comme sous-traitant technique, chargé de préparer et d’analyser les données.
L’infrastructure technique repose sur un hébergement opéré par une entité liée à Microsoft, ce qui a suscité les recours.
Une validation fondée sur l’absence d’erreur d’appréciation de la CNIL
Le Conseil d’État adopte un raisonnement classique en contentieux administratif : il contrôle l’erreur manifeste d’appréciation.
En l’espèce, il valide la décision de la CNIL (n°2025-014 du 13 février 2025) en se fondant sur trois critères cumulatifs :
- un objet strictement défini (études épidémiologiques),
- des garanties techniques et organisationnelles robustes,
- une durée limitée à trois ans.
Ainsi, la décision ne valide pas un modèle global, mais une autorisation ponctuelle et encadrée.
Absence de transfert de données de santé vers les États-Unis
Le point central du contentieux portait sur un éventuel transfert international.
Un transfert existe lorsqu’une donnée personnelle est :
- envoyée,
- consultable,
- ou accessible depuis un pays hors Union européenne.
Le RGPD impose alors des garanties spécifiques (ex : clauses contractuelles types).
Certaines entreprises, comme Microsoft, sont soumises au droit américain.
Cela signifie que :
- les autorités américaines peuvent, dans certains cas, demander l’accès à des données,
- même si celles-ci sont hébergées en Europe.
C’est ce qu’on appelle un risque extraterritorial.
Or ici le Conseil d’État tranche clairement :
- l’autorisation contestée ne prévoit aucun transfert de données de santé hors UE,
- elle n’entre pas dans le champ de la décision d’adéquation UE–États-Unis du 10 juillet 2023
Conséquence juridique immédiate : les requérants ne peuvent pas contester utilement cette décision d’adéquation dans ce cadre.
Des transferts limités à des données techniques non sensibles
Le Conseil d’État reconnaît néanmoins l’existence de flux transfrontières.
Cependant, ces flux concernent exclusivement :
- des logs techniques,
- des données de connexion,
- des métadonnées d’usage.
Ces données :
- ne concernent pas les patients,
- ne contiennent aucune donnée de santé,
- ne permettent pas d’identification directe.
Les transferts reposent sur des clauses contractuelles types (article 46 RGPD), considérées comme garanties appropriées.
Un risque extraterritorial reconnu mais juridiquement maîtrisé
Le Conseil d’État adopte une position nuancée.
Il reconnaît explicitement :
- le risque d’accès par les autorités américaines,
- via les mécanismes extraterritoriaux du droit américain.
Mais il considère ce risque comme résiduel, en raison de garanties concrètes :
- pseudonymisation des données,
- contrôle par la CNAM,
- limitation des durées de conservation,
- traçabilité des accès,
- analyses de risque de réidentification.
Cette approche confirme une logique de gestion du risque, et non d’interdiction de principe.
Rejet des moyens tirés du droit interne et européen
Inopérance de la décision d’adéquation UE–États-Unis
Le Conseil d’État écarte également ce moyen, faute de transfert de données concerné (cf. supra).
Non-invocabilité de la loi SREN
Les requérants invoquaient la loi du 21 mai 2024.
Le Conseil d’État rejette cet argument selon la simple logique suivante :
- absence de décret d’application,
- donc inopposabilité au litige.
Refus de renvoi préjudiciel à la CJUE
Le juge estime qu’il n’existe aucun doute sérieux justifiant un renvoi.
Portée réelle de la décision : une validation strictement circonscrite
Cette décision ne doit pas être surinterprétée.
Elle :
- valide une autorisation spécifique,
- ne consacre aucun principe général,
- ne tranche pas définitivement la question de la souveraineté numérique.
Le Conseil d’État adopte une approche pragmatique :
- pas d’illégalité automatique liée au risque extraterritorial
- mais une exigence élevée de garanties.
Apports pratiques pour les acteurs (santé, tech, compliance RGPD)
Cette décision fournit plusieurs enseignements opérationnels :
1. Pas d’interdiction générale des prestataires non européens
L’utilisation d’acteurs soumis à des lois extraterritoriales reste possible, sous conditions strictes.
2. Importance centrale des mesures techniques
- pseudonymisation,
- cloisonnement,
- traçabilité.
3. Primauté de l’analyse de risque
Le juge valide une approche contextuelle et proportionnée.
4. Distinction essentielle : données de santé vs données techniques
Tous les flux internationaux ne présentent pas le même niveau de risque.
Définitions
- Données de santé : données sensibles au sens de l’article 9 du RGPD, nécessitant un régime renforcé.
- Pseudonymisation : traitement rendant impossible l’identification directe sans information complémentaire.
- Clauses contractuelles types (CCT) : mécanisme juridique encadrant les transferts hors UE.
- Décision d’adéquation : reconnaissance par la Commission européenne d’un niveau de protection équivalent.
Conclusion
La décision du 20 mars 2026 du Conseil d’État valide la conformité d’un traitement de données de santé au RGPD dans un cadre précis et sécurisé.
Elle confirme une ligne jurisprudentielle structurante :
- reconnaissance des risques,
- refus des positions absolutistes,
- validation conditionnée par des garanties concrètes.
Le débat sur la souveraineté des données de santé reste donc ouvert, mais juridiquement clarifié.
FAQ
Le Health Data Hub est-il conforme au RGPD ?
Oui, mais uniquement dans un cadre strict. Le Conseil d’État valide son utilisation lorsque des garanties techniques et juridiques suffisantes encadrent le traitement.
Les données de santé sont-elles envoyées aux États-Unis ?
Non. Dans cette décision, aucun transfert de données de santé vers les États-Unis n’est autorisé.
Pourquoi parle-t-on de Microsoft dans cette affaire ?
Parce que l’infrastructure technique utilisée dépend d’une société soumise au droit américain, ce qui soulève un risque d’accès par des autorités étrangères.
