Dans une décision publiée vendredi 20 mars, le Conseil d'État a donné son accord à un projet de transfert de données de santé de millions de Français sur une plateforme gérée par Microsoft. Ce projet, validé par la CNIL, est jugé conforme à la réglementation européenne sur les données personnelles (RGPD).
Ce transfert, nommé projet Darwin, concerne les données de santé de l'Assurance maladie pour environ 10 millions de personnes. L'objectif est d’utiliser ces données dans le cadre d’études menées par l’Agence européenne du médicament sur l’utilisation des médicaments dans la population générale.
Bien que le Conseil d'État reconnaisse que « le risque que les autorités américaines, en vertu de leur législation, demandent un accès aux données de santé peut exister », il souligne que des mesures de sécurité, telles que la pseudonymisation des données et une durée de conservation limitée à trois ans, sont en place. Ce jugement a été confirmé par le site du Conseil d'État.
La plateforme de données de santé (PDS) a assuré que les données seraient stockées dans des centres de données situés en France, excluant ainsi toute possibilité de transfert vers les États-Unis. Cependant, cette décision a suscité de vives critiques d'experts qui soulignent des enjeux de souveraineté numérique.
En réaction, le gouvernement a annoncé en février un appel d'offres pour trouver un nouvel opérateur pour la plateforme, qui ne doit pas être soumis à des législations extra-européennes. L’objectif est un transfert complet hors de Microsoft d’ici fin 2026.
Les préoccupations autour de la sécurité des données et de la confidentialité restent au cœur des débats, comme le rappelle l’expert en protection des données, François Pellegrini, qui a déclaré : « Si la pseudonymisation est une bonne première étape, elle ne remplace pas le besoin d'une plateforme entièrement sécurisée et sous contrôle européen. »
