Données de santé chez Microsoft : le Conseil d’État rejette la demande de Clever Cloud
Une structure peut en cacher une autre
Le Conseil d'État a rejeté la demande de Clever Cloud, qui attaquait la décision de la CNIL d'autoriser le stockage des données de santé française sur le cloud de Microsoft. L'entreprise dit toute son incompréhension de la réponse et estime que l'instance a frappé à côté.
La Plateforme de données de santé, plus souvent appelée Health Data Hub (ou HDH), est au cœur d’un grand nombre de critiques depuis sa formation. Le plus gros reproche ? Le choix de Microsoft comme hébergeur pour les données. Le sujet est revenu à de nombreuses reprises dans nos colonnes, aussi bien à cause du choix de ce prestataire américain que sur son organisation générale.
Le stockage des données sur Azure a été vertement critiqué par de nombreux acteurs, notamment les prestataires français du cloud et plusieurs députés, comme Philippe Latombe et Éric Bothorel (tous deux en charge du projet de la transposition des directives NIS2, REC et DORA à l’Assemblée nationale).
Des recours ont été déposés devant le Conseil d’État, dont un de Clever Cloud, dans l’objectif de casser cette décision. Ce que la société attaquait était la décision initiale de la CNIL portant sur l’autorisation de ce stockage dans Azure et, en filigrane, le Data Privacy Framework et l’inaction du ministère de la Santé.
Commentaires (10)
Le 27/06/2025 à 12h54
Le 27/06/2025 à 13h51
Clever Cloud est HDS que depuis Janvier 2025, Azure depuis 2018...
Le 27/06/2025 à 15h01
Le 27/06/2025 à 15h07
Le 27/06/2025 à 19h36
Le 27/06/2025 à 19h52
HDS, pour simplifier, c'est un ensemble de normes à respecter et une certification à passer. c'est une grosse partie de paperasse et de documentations, et une partie "moindre" de logistique aussi bien humaine que numérique (mais bon, c'est une certification, et le respect des normes n'empêche pas des scandales comme celui de Volkswagen...)
La nationalité, ou en tout cas le caractère non européen n'est pas un critère. Donc techniquement, oui, Microsoft peut être HDS (et l'est depuis de nombreuses années maintenant).
La vraie question est plutôt : est-ce que moralement, la France (car la certification HDS est spécifique à la France) ne devrait pas imposer une certification qui garantie une sécurité des données vis-à-vis des des pays étrangers ? Est-ce qu'on ne devrait pas avoir une certaine souveraineté numérique "dans la mesure du possible" ?
Je pense que oui. On devrait. Mais ce n'est pas le cas de la norme HDS.
Le 27/06/2025 à 21h32
Elle aurait inclus SecNumCloud dans les critères, les CSP US étaient disqualifiés directs.
C'est quand même marrant de voir que dans le cadre de la facture et du reporting TVA électronique, les PDP doivent être SecNumCloud (entre autres) pour pouvoir être immatriculées. On voit les priorités du gouvernement en matière de criticité et souveraineté des données
Le 30/06/2025 à 11h17
HDH n'existerait pas... so what ? s'il faut attendre d'avoir les infrastructures européennes pour implémenter la dernière lubie à la mode... et bien on attend !
Le 27/06/2025 à 14h25
C'est certainement plus facile de se laisser porter par un acteur US mainstream.
Le 08/07/2025 à 15h33
CF : https://www.ovhcloud.com/fr/compliance/hds/