Hébergement des données de santé et extraterritorialité du droit américain

Accueil > Notre blog > News > Hébergement des données de santé et extraterritorialité du droit américain

Le Conseil d’Etat valide l’hébergement des données de santé par Microsoft

La question de la protection des données de santé, particulièrement sensibles au regard du RGPD, se trouve au cœur des débats sur la souveraineté numérique européenne. La décision rendue par le Conseil d’État le 20 mars 2026, validant le recours à Microsoft pour l’hébergement des données du Health Data Hub, illustre ces tensions. Entre encadrement juridique des transferts internationaux et garanties techniques, cette affaire met en lumière une évolution notable dans l’appréciation du niveau de protection des données personnelles.

Une décision clé dans un contexte de fortes inquiétudes

Le Conseil d’État a été saisi à la suite de l’autorisation accordée par la CNIL le 13 février 2025 concernant l’hébergement de données de santé par Microsoft. Cette décision s’inscrit dans un contexte de contestation marqué par la méfiance envers les prestataires soumis au droit américain.

Les critiques portaient principalement sur le risque d’accès aux données par les autorités américaines, en raison de l’extraterritorialité de leur droit, y compris lorsque les données sont stockées au sein de l’Union européenne.

Une contestation visant le cadre des transferts vers les États-Unis

Au-delà de la contestation de la délibération de la CNIL, le recours introduit devant le Conseil d’État visait, plus largement, à remettre en cause le cadre juridique des transferts de données vers les États-Unis. Ce cadre, aujourd’hui incarné par le Data Privacy Framework, demeure controversé, notamment en raison de la fragilité des mécanismes antérieurs invalidés par la Cour de justice de l’Union européenne en 2015 et 2020.

Les requérants espéraient ainsi obtenir du Conseil d’État qu’il saisisse la Cour de justice d’une question préjudicielle portant sur la validité de ce cadre. Toutefois, le juge administratif suprême n’a pas estimé nécessaire de procéder à un tel renvoi dans le cadre du litige dont il était saisi.

L’absence de transfert juridiquement caractérisé au cœur du raisonnement du juge

Le Conseil d’État adopte une lecture strictement juridique de la délibération contestée. Il relève que celle-ci a pour seul objet d’autoriser un traitement de données de santé hébergées sur le territoire français, sans avoir ni pour objet ni pour effet d’autoriser un transfert de données à caractère personnel vers les États-Unis.

En conséquence, le recours à Microsoft ne saurait être regardé, en lui-même, comme impliquant un transfert de données vers un pays tiers au sens du RGPD, ni comme relevant du cadre juridique issu de la décision d’adéquation du 10 juillet 2023 relative au Data Privacy Framework.

Si le juge n’ignore pas les enjeux liés à l’extraterritorialité du droit américain, il considère néanmoins que cette seule circonstance est sans incidence sur la qualification juridique de transfert dans le cadre du litige dont il est saisi.

Le rôle central des garanties techniques

Dans ce contexte, le Conseil d’État accorde une attention particulière aux garanties mises en œuvre, notamment la certification hébergeur de données de santé « HDS », la pseudonymisation, la limitation de la durée de conservation ainsi que des mécanismes de contrôle des accès et de traçabilité.

Sans exclure totalement le risque d’accès par des autorités étrangères, il estime que ces garanties sont de nature à en limiter significativement les effets, en limitant concrètement l’exploitabilité des données.

Une évolution vers une approche concrète de la conformité

Plutôt que de trancher la question sensible de la validité du cadre juridique des transferts internationaux, le Conseil d’État privilégie une analyse concrète, fondée sur les mesures effectives de protection.

Cette approche marque une évolution du contentieux des données personnelles, où les garanties techniques prennent une place croissante dans l’évaluation de la conformité au RGPD.

Entre souveraineté numérique et dépendance technologique

Enfin, cette décision illustre les tensions persistantes entre les ambitions européennes en matière de souveraineté numérique et la dépendance à des acteurs technologiques non européens.

Dans un domaine aussi stratégique que celui des données de santé, l’équilibre entre protection juridique, sécurité technique et réalités économiques demeure particulièrement délicat.

Analyse et recommandations :

La décision du Conseil d’État apporte une clarification attendue, mais elle ne doit pas être interprétée comme une validation générale du recours à des prestataires soumis à des législations extraterritoriales, comme Microsoft.

Elle confirme au contraire que ces projets restent juridiquement sensibles et nécessitent une approche particulièrement rigoureuse.

Une approche pragmatique, mais juridiquement fragile

La décision s’inscrit dans une approche résolument concrète, fondée sur l’appréciation des garanties mises en œuvre au cas par cas. Si cette méthode permet de sécuriser certains projets opérationnels, elle repose néanmoins sur une qualification restrictive de la notion de transfert, qui pourrait être discutée au regard de la jurisprudence de Schrems II.

En particulier, la reconnaissance d’un risque d’accès par une autorité étrangère, sans en tirer toutes les conséquences au regard du régime des transferts internationaux, témoigne d’un équilibre fragile, susceptible d’être remis en cause à l’avenir.

Des garanties techniques déterminantes, mais insuffisamment documentées

La décision met en avant un ensemble de garanties techniques et organisationnelles, sans toutefois en préciser les modalités concrètes. Or, l’efficacité de ces mesures dépend en grande partie :

Des conditions de gestion des clés de chiffrement,
Du niveau réel de pseudonymisation,
Et de l’impossibilité effective d’accès en clair par le prestataire ou des autorités tierces.

L’absence de transparence sur ces éléments limite la capacité à apprécier pleinement la robustesse du dispositif, notamment au regard des exigences européennes en matière de protection des données.

Points de vigilance opérationnels

Dans ce contexte, plusieurs points appellent une attention particulière pour les responsables de traitement et les acteurs publics ou privés :

Qualification du transfert : ne pas se limiter à la localisation des données, mais analyser concrètement les possibilités d’accès à distance ;
Soumission du prestataire à un droit extraterritorial : identifier les risques juridiques associés (notamment en droit américain) ;
Gestion des clés de chiffrement : privilégier des solutions garantissant un contrôle exclusif ou effectif par une entité européenne ;
Accès et habilitations : encadrer strictement les accès techniques et administratifs ;
Documentation des garanties : être en mesure de démontrer concrètement l’effectivité des mesures mises en œuvre.

Recommandations

Au regard de ces éléments, il apparaît essentiel d’adopter une approche prudente et structurée :

Privilégier, lorsque cela est possible, des prestataires soumis exclusivement au droit de l’Union européenne ;
À défaut, mettre en place des mesures techniques renforcées, notamment en matière de chiffrement et de gestion des clés ;
Procéder à une analyse d’impact (AIPD) approfondie, intégrant spécifiquement le risque d’accès extraterritorial ;
Réaliser, lorsque le prestataire est susceptible d’être soumis à une législation étrangère, un Transfer Impact Assessment (TIA), afin d’évaluer concrètement les risques d’accès aux données depuis un pays tiers et d’identifier les garanties complémentaires nécessaires ;
Documenter de manière précise l’ensemble des garanties mises en œuvre, afin de pouvoir en justifier en cas de contrôle ;
Anticiper les évolutions jurisprudentielles, en particulier au niveau européen, susceptibles de remettre en cause les équilibres actuels.

Ce qu’il faut retenir

Cette décision ne met pas fin aux incertitudes. Elle confirme au contraire une tendance de fond : la conformité repose autant sur les garanties techniques que sur le cadre juridique.