RÉSUMÉ ANALYTIQUE
Thèse centrale
La décision n° 503159/504171 rendue le 20 mars 2026 par la Section du contentieux du Conseil d'Etat est juridiquement défendable dans ses propres termes : saisie d'une question étroite, la juridiction a répondu à la question posée. Ce qu'elle révèle, en revanche, est autrement plus grave. En validant l'autorisation accordée par la CNIL à l'Agence européenne des médicaments pour traiter des données extraites du Système national des données de santé (SNDS) sur une infrastructure Microsoft, le Conseil d'Etat entérine l'aboutissement logique de trois abdications accumulées : le choix amont de confier l'hébergement de la Plateforme des données de santé à une filiale d'un opérateur soumis au droit américain, l'inaction de l'exécutif sur le décret d'application de la loi SREN, et l'absence de toute alternative d'infrastructure qualifiée SecNumCloud pour les données de santé à grande échelle. Le tribunal a administré une situation qu'il n'avait pas créée. La situation elle-même est le problème.
Points clés
| Dimension | Constat | Qualité épistémique |
|---|---|---|
| Décision CE du 20 mars 2026 | Rejet de tous les moyens, requêtes rejetées | Fait établi |
| Exposition CLOUD Act | Reconnue par le CE lui-même ("ne peut être totalement exclu") | Fait établi |
| Décret SREN art. 31 | Toujours absent 16 mois après le délai légal | Fait établi |
| SecNumCloud pour la PDS | Impossible pour Microsoft Ireland, non exigé | Fait établi |
| Stratégie de lock-in Microsoft | Documentée, coûts de sortie prohibitifs | Lecture analytique |
| Inaction décret = choix délibéré | Plausible, non démontrable publiquement | Inférence |
Introduction : une victoire judiciaire qui documente une défaite stratégique
Le 13 février 2025, la Commission nationale de l'informatique et des libertés autorisait l'Agence européenne des médicaments à conduire, dans le cadre du projet DARWIN EU, des traitements automatisés portant sur des données extraites du Système national des données de santé français. Ces données, agrégées par la Plateforme des données de santé, groupement d'intérêt public créé par la loi pour constituer l'interface souveraine d'accès au SNDS, devaient être hébergées sur une infrastructure fournie par Microsoft Ireland Operations Ltd, filiale irlandaise de Microsoft Corporation, domiciliée aux Etats-Unis.
Trois coalitions de requérants contestaient cette autorisation devant le Conseil d'Etat : l'association Les Licornes célestes et d'autres personnes physiques, d'une part ; l'association Interhop, l'association Constances, le Syndicat de la médecine générale, la Fédération Sud Santé Sociaux et la Ligue des droits de l'homme, d'autre part. Une intervention volontaire de sept acteurs de l'écosystème numérique souverain (Clever Cloud, Nexedi, Rapid Space International, Cleyrop, le Conseil national du logiciel libre, l'association Open Internet Project) était par ailleurs admise.
Le 20 mars 2026, la Section du contentieux rejetait l'ensemble des requêtes.
[Fait établi] Cette décision constitue un précédent doctrinal : elle valide, pour la première fois de manière explicite et en connaissance de cause de l'exposition au CLOUD Act, le traitement de données de santé issues du SNDS sur une infrastructure appartenant à une société mère soumise au droit américain.
[Lecture analytique] Elle ne constitue pas une surprise juridique : le droit positif applicable, combinant le RGPD, les clauses contractuelles types de l'article 46 et la certification HDS, offrait à la CNIL les marges suffisantes pour accorder l'autorisation. Ce qui est en cause n'est pas l'erreur de droit du juge, mais le fait que le droit applicable, tel qu'il est effectivement mis en oeuvre par les acteurs publics français, n'est plus à la hauteur des risques que ces acteurs reconnaissent eux-mêmes.
I. L'architecture du projet : une anatomie de la dépendance
1.1 DARWIN EU, le SNDS et la PDS : ce que l'acronyme dissimule
[Fait établi] Le SNDS est l'une des bases de données de santé les plus complètes au monde. Il agrège les données de remboursement de l'Assurance maladie, les données hospitalières du PMSI, les causes médicales de décès, et, progressivement, les données des établissements médico-sociaux. Il couvre, selon la DREES, la quasi-totalité de la population française, soit environ 68 millions de personnes. Sa richesse longitudinale (les données remontent à 2003 pour certaines variables) et son taux de couverture en font un instrument de recherche épidémiologique sans équivalent en Europe.
DARWIN EU (Data Analysis and Real-World Interrogation Network) est le réseau coordonné par l'Agence européenne des médicaments pour permettre l'utilisation de données de vie réelle dans l'évaluation post-mise sur le marché des médicaments et des vaccins. La France, via la PDS, constitue l'un des noeuds nationaux de ce réseau. Les traitements autorisés portaient spécifiquement sur l'estimation d'incidence et de prévalence de pathologies dans la population générale en France.
[Lecture analytique] Le projet n'est donc pas anodin sur le plan stratégique. Il s'agit d'exploiter, au bénéfice d'une agence réglementaire européenne dont les travaux alimentent directement les décisions d'autorisation de mise sur le marché, les données de santé de l'ensemble de la population française. La valeur scientifique et économique de ces données, soulignée par le Conseil d'Etat lui-même au considérant 10, est considérable. Les résultats de ces études orientent des décisions pharmaceutiques dont les enjeux se chiffrent en milliards d'euros.
1.2 La chaîne de traitement : un diagramme qui dit tout
[Fait établi] La chaîne de traitement telle qu'elle ressort des pièces du dossier s'articule en quatre maillons. Le SNDS constitue la source primaire des données, géré par la Caisse nationale d'assurance maladie et la PDS. La PDS, en qualité de sous-traitant de l'EMA, procède à l'extraction et à la pseudonymisation des données sous contrôle de la CNAM. Ces données sont ensuite hébergées dans des centres de données situés en France, mais opérés par Microsoft Ireland Operations Ltd. Microsoft Ireland est une filiale à 100 % de Microsoft Corporation, domiciliée à Redmond (Washington), soumise au droit fédéral américain.
[Lecture analytique] Ce diagramme matérialise la contradiction centrale du dispositif. La souveraineté formelle est préservée à chaque étape nominalement française : extraction par la PDS, pseudonymisation sous contrôle de la CNAM, hébergement dans des datacenters localisés sur le territoire national. La souveraineté effective est compromise à l'étape que personne ne contrôle : le fait que l'opérateur technique est une filiale d'une entité soumise à des obligations légales américaines qui s'appliquent indépendamment de la localisation physique des données.
1.3 HDS contre SecNumCloud : deux référentiels pour deux niveaux de risque
[Fait établi] Le Conseil d'Etat note explicitement, au considérant 10, que Microsoft Ireland ne peut pas bénéficier de la certification SecNumCloud délivrée par l'Agence nationale de la sécurité des systèmes d'information. La raison en est structurelle et non contingente : la qualification SecNumCloud exige, depuis la version 3.2 du référentiel publiée par l'ANSSI, que le prestataire ne soit pas soumis à une législation extra-européenne permettant un accès non autorisé aux données hébergées. Or Microsoft Ireland, filiale à 100 % de Microsoft Corporation, tombe nécessairement dans le champ du CLOUD Act américain via sa société mère.
La certification HDS (hébergeur de données de santé), dont Microsoft Ireland dispose, répond à une logique différente. Elle porte sur la sécurité technique des systèmes d'information au sens classique du terme : disponibilité, intégrité, confidentialité contre les attaques externes, plans de continuité d'activité. Elle n'a jamais eu pour objet de protéger les données contre des demandes d'accès légales émanant d'autorités étrangères. Ces deux certifications ne sont pas substituables l'une à l'autre.
[Inférence] La décision de recourir à Microsoft Ireland pour héberger la PDS, antérieure à la délibération CNIL contestée, a verrouillé l'ensemble des choix ultérieurs. En l'absence d'une alternative SecNumCloud opérationnelle à l'échelle requise par le SNDS, la CNIL ne pouvait autoriser que ce qui lui était soumis ou refuser l'ensemble de l'opération. Le refus de l'autorisation aurait bloqué la participation française à DARWIN EU, avec des conséquences sur l'influence de la France dans la gouvernance de l'EMA. Le Conseil d'Etat n'a pas validé un choix stratégique : il a pris acte d'un choix qui avait été fait ailleurs, bien avant lui.
II. Le CLOUD Act comme angle mort : l'aveu judiciaire
2.1 Le considérant 10 : une reconnaissance inédite de la vulnérabilité
[Fait établi] Le Conseil d'Etat, au considérant 10 de sa décision, formule la proposition suivante : "s'il ne peut être totalement exclu que les données du traitement autorisé, d'une sensibilité particulière eu égard à leur nature de données de santé mais aussi au potentiel scientifique et économique de leur exploitation, fassent l'objet de demandes d'accès par les autorités des Etats-Unis, sur le fondement des lois de ce pays, par l'intermédiaire de la société-mère de l'hébergeur, il ressort toutefois des pièces du dossier que..."
Il convient de s'arrêter sur cette formulation. Le Conseil d'Etat, juridiction suprême de l'ordre administratif français, reconnaît explicitement qu'un accès des autorités américaines aux données de santé de 68 millions de Français ne peut pas être exclu. Il considère ensuite que les mesures de sécurité mises en place (pseudonymisation, limitation de durée de conservation, analyse des risques de réidentification, certification HDS, durée de l'autorisation limitée à trois ans) sont suffisantes pour autoriser le traitement malgré ce risque.
[Lecture analytique] Cette position n'est pas absurde dans sa logique interne : tout régime de protection des données repose sur une analyse de risques, non sur une garantie d'immunité absolue. Le RGPD lui-même procède de cette logique. La question pertinente n'est donc pas de savoir si le risque est nul (il ne l'est jamais), mais si les mesures de mitigation sont proportionnées à la nature et à la sensibilité des données concernées.
C'est ici que la décision peut être contestée. Les données du SNDS ne sont pas des données personnelles ordinaires. Leur combinaison longitudinale couvre l'intégralité des remboursements médicaux depuis 2003 pour quasiment toute la population française. La pseudonymisation, quelle que soit sa rigueur technique, ne constitue pas une anonymisation : les travaux de recherche en matière de réidentification de bases de données de santé, notamment ceux publiés dans Nature Communications en 2019 sur la réidentification de données mobiles et les études postérieures sur des bases médicales, montrent que le risque de réidentification augmente avec la richesse des données et diminue avec leur agrégation. La PDS travaille précisément sur des données granulaires.
2.2 La mécanique du CLOUD Act : ce que les SCC ne contrecarrent pas
[Fait établi] Le Cloud Act (Clarifying Lawful Overseas Use of Data Act), promulgué en mars 2018, permet aux autorités américaines d'adresser des injonctions de production de données à des entreprises américaines, quelle que soit la localisation physique de ces données. L'article 18 U.S.C. § 2713 précise explicitement que l'obligation de conservation et de communication s'applique "regardless of whether such communication, record, or other information is located within or outside of the United States."
Le Conseil d'Etat note que les données techniques d'usage (données de connexion des utilisateurs de la plateforme, distinctes des données de santé elles-mêmes) font l'objet de transferts vers des administrateurs de Microsoft situés aux Etats-Unis, fondés sur des clauses contractuelles types constituant des garanties appropriées au sens de l'article 46 du RGPD. Cette concession est significative : elle reconnaît que Microsoft US a effectivement accès à des données relatives à l'utilisation de la plateforme sur laquelle reposent les traitements de santé.
[Inférence] Les clauses contractuelles types protègent contre les transferts commerciaux non consentis. Elles ne valent rien face à une injonction légale. Si une autorité américaine adresse une injonction à Microsoft Corporation sur le fondement du CLOUD Act, les SCC ne constituent pas un moyen de défense. La jurisprudence Schrems I (CJUE, 2015) et Schrems II (CJUE, 2020) avait précisément sanctionné ce raisonnement pour le mécanisme Safe Harbor puis pour le Privacy Shield, au motif que le droit américain de surveillance ne permettait pas de garantir un niveau de protection équivalent au droit européen. Le Data Privacy Framework de 2023, sur lequel s'appuie partiellement la décision, est d'ores et déjà contesté devant la CJUE.
2.3 Le potentiel scientifique comme facteur aggravant
[Fait établi] Le Conseil d'Etat lui-même qualifie les données traitées de données "d'une sensibilité particulière eu égard à leur nature de données de santé mais aussi au potentiel scientifique et économique de leur exploitation." Cette formulation n'est pas anodine : elle reconnaît que la valeur stratégique de ces données excède leur dimension personnelle.
[Lecture analytique] Les données épidémiologiques à grande échelle issues d'une population nationale de 68 millions de personnes avec un suivi longitudinal de vingt ans constituent un actif de recherche de premier ordre. Elles permettent d'identifier des signaux de pharmacovigilance, de modéliser l'efficacité vaccinale en population réelle, de détecter des comorbidités, d'évaluer des trajectoires de soins. Ces informations ont une valeur considérable pour l'industrie pharmaceutique, pour les agences réglementaires, et potentiellement pour des acteurs de renseignement économique. La concentration de cet actif sur une infrastructure soumise au droit américain n'est pas un détail technique.
III. L'article 31 de la loi SREN : la loi que l'exécutif a choisit de ne pas appliquer
3.1 Le mécanisme : une loi votée, un décret absent
[Fait établi] La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (SREN) a été promulguée après un processus législatif long et controversé. Son article 31 fixe les conditions dans lesquelles les administrations et opérateurs de l'Etat peuvent avoir recours à un service d'informatique en nuage fourni par un prestataire privé pour la mise en oeuvre de systèmes ou d'applications informatiques. Le paragraphe V de cet article prévoit explicitement qu'un décret en Conseil d'Etat, devant intervenir dans un délai de six mois à compter de la promulgation de la loi, précise les modalités d'application.
Le délai de six mois expirait le 21 novembre 2024. A la date de la délibération CNIL (13 février 2025), le décret n'avait pas été publié. A la date de la décision du Conseil d'Etat (20 mars 2026), seize mois après l'expiration du délai légal, le décret demeurait absent.
Le Conseil d'Etat tranche la question brièvement, au considérant 12 : "cette circonstance est sans incidence sur le fait que les dispositions de cet article n'étaient, en l'absence d'intervention du décret en Conseil d'Etat à la date de la délibération attaquée, pas invocables à l'encontre de cette décision."
[Lecture analytique] Le raisonnement est juridiquement exact : une loi subordonnée pour son application à un décret d'application ne déploie pas d'effet juridique direct avant la publication de ce décret. La solution n'est pas nouvelle. Elle est cohérente avec la jurisprudence administrative constante. Ce qui est en cause n'est pas la légalité de la solution adoptée par le juge, mais la légitimité politique du mécanisme qu'elle entérine.
3.2 L'inaction exécutive comme outil de politique publique
[Inférence] Le Parlement a voté une loi fixant un cadre pour le recours des administrations au cloud privé. L'exécutif avait l'obligation légale de publier un décret dans les six mois. Seize mois plus tard, ce décret n'existe toujours pas. Dans ce délai, une autorisation a été accordée pour l'hébergement de données du SNDS sur une infrastructure Microsoft. Le Conseil d'Etat en conclut que la loi n'est pas applicable.
Il est impossible, sans accès aux délibérations internes de l'exécutif, de déterminer avec certitude si cette inaction résulte d'une négligence administrative, de divergences interministérielles, ou d'une décision délibérée de ne pas formaliser des contraintes qui auraient compliqué le déploiement de projets comme DARWIN EU. Ces trois hypothèses ne sont pas mutuellement exclusives. La troisième n'est pas la moins plausible au regard du calendrier : le projet DARWIN EU était en cours de négociation au moment où le délai du décret expirait.
[Lecture analytique] Ce mécanisme n'est pas propre au cas SREN. Il constitue un pattern récurrent dans le traitement politique de la souveraineté numérique française. Le référentiel SecNumCloud existe depuis 2016 et a été renforcé depuis, sans que son usage soit rendu obligatoire pour les données sensibles de l'Etat. La doctrine "cloud de confiance" a été annoncée en 2021 par le gouvernement comme un moyen de permettre à des acteurs comme Microsoft d'opérer sous licence une infrastructure séparée, sous contrôle français : cette doctrine n'a jamais été traduite en une obligation applicable. Gaia-X, présenté comme le projet d'infrastructure cloud souveraine européenne, a été progressivement dilué par l'intégration de membres issus des GAFAM dans ses instances de gouvernance.
3.3 Le coût de l'incohérence institutionnelle
[Fait établi] La France dispose, sur le papier, d'un arsenal législatif et réglementaire qui devrait, s'il était intégralement appliqué, protéger les données publiques sensibles contre une exposition au droit américain : le référentiel SecNumCloud de l'ANSSI, les dispositions de la loi SREN, les exigences du RGPD telles qu'interprétées par la CJUE dans Schrems II.
[Lecture analytique] Aucun de ces instruments n'a produit ses effets dans le cas DARWIN EU. Le SecNumCloud n'était pas exigé pour la PDS. La loi SREN n'était pas applicable faute de décret. Le RGPD, via les SCC, a été jugé suffisant pour les données techniques d'usage. La cohérence de cet arsenal supposait que chaque maillon fonctionne. Chaque maillon a cédé au même endroit : à la frontière entre l'affirmation du principe et sa mise en oeuvre effective.
IV. La décision en elle-même : une lecture équilibrée
4.1 Ce que le Conseil d'Etat ne pouvait pas faire
Il serait injuste de résumer cette décision à une capitulation judiciaire. Le Conseil d'Etat ne pouvait pas, dans le cadre d'un recours pour excès de pouvoir contre une délibération CNIL, réécrire l'architecture du projet DARWIN EU, ordonner à l'exécutif de publier le décret SREN, ni substituer son appréciation de la politique industrielle à celle du gouvernement.
Le cadre juridique applicable lui imposait de vérifier si la CNIL avait commis une erreur de droit ou d'appréciation en accordant l'autorisation au regard des textes applicables au moment de sa délibération. Ce contrôle est limité par nature : il porte sur la légalité d'un acte, non sur l'opportunité d'une politique.
[Lecture analytique] La force des décisions juridictionnelles tient précisément à cette étroitesse. Une décision qui sortirait de ce cadre pour trancher des questions de politique publique serait un gouvernement des juges, non une juridiction. Le Conseil d'Etat a rendu la décision qu'il devait rendre au regard du droit positif tel qu'il existait. La question politique qu'il a ainsi révélée appartient à d'autres.
4.2 Les arguments sérieux de la défense
[Fait établi] Les positions défendues par la CNIL et confirmées par le Conseil d'Etat ne sont pas sans fondement. La pseudonymisation sous contrôle de la CNAM constitue une mesure de protection réelle, même si elle n'est pas une anonymisation parfaite. La durée de l'autorisation limitée à trois ans introduit un mécanisme de révision. La certification HDS implique un audit régulier par un organisme accrédité. La distinction entre données de santé (restant sur le territoire français dans des centres de données certifiés) et données techniques d'usage (pouvant transiter vers des administrateurs Microsoft aux Etats-Unis via SCC) est juridiquement pertinente et factuellement documentée.
Par ailleurs, la décision d'adéquation du 10 juillet 2023 instituant le Data Privacy Framework EU-Etats-Unis, que les requérants voulaient voir questionner par un renvoi préjudiciel, constitue du droit positif en vigueur. Le Conseil d'Etat ne pouvait pas en faire abstraction au seul motif qu'elle est contestée, sans établir un doute raisonnable quant à son interprétation. Il a estimé qu'un tel doute n'existait pas en l'espèce, au regard des garanties spécifiques du projet.
4.3 La limite de cette logique
[Lecture analytique] Le raisonnement par accumulation de garanties partielles atteint ses limites lorsque chacune d'elles présente une faille sur le même vecteur d'attaque. La pseudonymisation ne résiste pas à une injonction adressée à Microsoft Corp sous CLOUD Act, qui porte sur l'accès aux systèmes, non sur la lisibilité des données. La certification HDS ne couvre pas le risque de contrainte légale américaine. Les SCC ne constituent pas un moyen de défense face à une obligation légale. La durée de trois ans n'empêche pas un accès survenu pendant cette période d'avoir des effets permanents. Chaque garantie couvre un risque différent, et le risque d'accès américain via la maison mère n'est couvert par aucune d'entre elles.
V. Le pattern systémique : une géographie de l'abdication
5.1 Trois niveaux de décision, une logique commune
[Lecture analytique] La situation validée par la décision du 20 mars 2026 n'est pas le fruit d'une erreur isolée. Elle résulte d'une séquence de choix qui se consolident mutuellement. En premier lieu, le choix opérationnel d'héberger la Plateforme des données de santé sur une infrastructure Microsoft, pris en amont de toute la chaîne et antérieur à la délibération CNIL contestée, a rendu toutes les protections ultérieures dépendantes de la fiabilité d'un opérateur soumis au droit américain. En deuxième lieu, l'inaction de l'exécutif sur le décret d'application de l'article 31 SREN a neutralisé le seul instrument légal qui aurait pu imposer des contraintes sur ce type de choix architectural. En troisième lieu, l'absence d'une offre d'hébergement SecNumCloud à l'échelle requise pour les données du SNDS a supprimé toute alternative crédible au recours à Microsoft.
Chacun de ces niveaux renforce les autres. L'absence d'alternative SecNumCloud opérationnelle facilite la décision de recourir à Microsoft. La décision de recourir à Microsoft crée un fait accompli qui rend difficile le refus d'autorisation par la CNIL. Le refus d'autorisation par la CNIL aurait bloqué DARWIN EU, avec des conséquences diplomatiques vis-à-vis de l'EMA. Le Conseil d'Etat prend acte de l'ensemble.
5.2 Le marché public de la dépendance
[Fait établi] Microsoft Ireland dispose de la certification HDS depuis plusieurs années. Les centres de données de Microsoft en France métropolitaine (régions France Centre et France Sud) hébergent d'ores et déjà de nombreux systèmes d'information publics. La Commission nationale des marchés publics a validé à plusieurs reprises des contrats publics attribuant à des acteurs non qualifiables SecNumCloud l'hébergement de données publiques sensibles.
[Lecture analytique] Ce phénomène n'est pas spécifique à la France. L'ensemble des grands Etats membres de l'Union européenne présente des configurations comparables. Le Bundestag allemand héberge des services sur AWS. Le NHS britannique a conclu des contrats d'envergure avec Microsoft. L'argument selon lequel "tout le monde le fait" n'est pas une réponse à la question de la vulnérabilité, mais il indique l'ampleur du problème politique : ce n'est pas un gouvernement particulier qui a cédé aux GAFAM, c'est l'ensemble des Etats démocratiques industrialisés qui n'ont pas construit d'alternative à l'échelle requise.
5.3 Ce qu'une politique souveraine effective exigerait
[Inférence] Une politique cohérente avec les objectifs proclamés de souveraineté numérique devrait articuler trois instruments simultanément opérationnels. Premièrement, une obligation réglementaire effective : la publication du décret SREN et la définition d'une liste de catégories de données pour lesquelles le recours à des prestataires non qualifiables SecNumCloud est interdit ou soumis à autorisation exceptionnelle. Deuxièmement, une offre technique alternative crédible : l'accélération du déploiement d'une infrastructure souveraine qualifiée SecNumCloud à l'échelle des besoins des grandes bases de données publiques, impliquant des acteurs comme OVHcloud, Outscale (Dassault Systèmes), ou Thales/S3NS, avec un soutien public permettant d'atteindre les économies d'échelle nécessaires. Troisièmement, une gouvernance des marchés publics alignée : une doctrine d'achat public imposant la préférence SecNumCloud pour les données sensibles, assortie d'un mécanisme de dérogation explicite et publiquement justifié.
[Lecture analytique] Ce graphique documente l'asymétrie structurelle du marché. Les trois grands opérateurs américains représentent ensemble environ 78 % du marché cloud public en France selon les estimations disponibles. Les acteurs qualifiables ou qualifiés SecNumCloud peinent à dépasser 12 %. Cette concentration n'est pas le produit d'un complot : elle résulte d'une décennie d'investissements massifs des GAFAM (Amazon, Microsoft et Google ont respectivement investi plusieurs milliards d'euros en infrastructure française depuis 2020) face à une réponse publique européenne fragmentée et sous-capitalisée.
VI. Contre-arguments et limites de la thèse critique
6.1 La position réaliste : l'alternative n'existait pas
L'argument le plus solide en faveur de la décision prise est pragmatique. Au moment où la PDS a sélectionné son infrastructure et au moment où la CNIL a dû statuer, il n'existait pas d'offre SecNumCloud opérationnelle capable de répondre aux besoins techniques du projet DARWIN EU : latence acceptable, disponibilité garantie, capacité de stockage et de calcul suffisante pour des extractions du SNDS à grande échelle, interface compatible avec les standards techniques de l'EMA. La souveraineté n'est pas un concept absolu dès lors qu'elle se heurte à une impossibilité technique concrète.
[Lecture analytique] Cet argument est partiellement recevable sur le court terme, mais il devient une prophétie auto-réalisatrice sur le moyen terme : en continuant à attribuer les grands marchés publics sensibles à des acteurs américains faute d'alternative immédiate, l'Etat entretient précisément la situation de faible masse critique qui empêche les acteurs souverains d'investir à la hauteur requise. L'absence d'alternative n'est pas une contrainte naturelle : c'est le produit de dix années de choix d'achats publics.
6.2 La proportionnalité du risque
Un deuxième contre-argument sérieux porte sur la proportionnalité. Le risque d'accès américain aux données de santé du SNDS via Microsoft n'est pas comparable à un risque militaire ou de sécurité nationale immédiat. Les données épidémiologiques agrégées, même sous forme pseudonymisée, intéressent en priorité les acteurs de l'industrie pharmaceutique et les agences réglementaires. Une injonction CLOUD Act ciblant spécifiquement les données SNDS supposerait une décision politique américaine explicite d'un niveau d'agressivité inédit envers un partenaire de l'OTAN.
[Lecture analytique] Ce raisonnement est exact dans le contexte géopolitique actuel. Il l'est moins si l'on raisonne sur une durée de dix à vingt ans, qui est l'horizon pertinent d'une politique de souveraineté des données. Les relations transatlantiques ne sont pas immuables, comme le contexte 2025-2026 le démontre. La valeur stratégique des données de santé ne peut qu'augmenter avec le développement de l'IA médicale. Le coût de sortie d'une dépendance installée dans la durée sera nécessairement supérieur au coût de prévention.
6.3 L'argument de la participation européenne
DARWIN EU est un projet de l'Agence européenne des médicaments, elle-même institution de l'Union européenne. La France ne choisit pas seule son infrastructure : elle participe à un réseau dont l'architecture technique est en partie déterminée au niveau européen. La souveraineté nationale s'exerce dans un cadre de gouvernance partagée.
[Lecture analytique] Cet argument est réel mais partiel. La PDS, en tant que noeud national, conserve une autonomie dans le choix de son infrastructure d'hébergement. La décision de recourir à Microsoft Ireland n'a pas été imposée par l'EMA : elle résulte d'une sélection par la PDS. Par ailleurs, si l'architecture de DARWIN EU repose structurellement sur des infrastructures non souveraines, c'est l'ensemble de la politique européenne de gouvernance des données de santé qui est en cause, et la décision du Conseil d'Etat français en est la surface visible.
Conclusion : le juge a administré une situation ; l'Etat en est l'auteur
La décision du 20 mars 2026 ne sera pas annulée par l'histoire. Elle est techniquement correcte, circonstanciellement inévitable, et juridiquement rigoureuse. Elle dit exactement ce qu'elle est tenue de dire au regard du droit positif applicable le 13 février 2025.
Ce qu'elle dit, en creux, est plus important. Elle dit que la France a construit, couche par couche, une architecture de dépendance technologique vis-à-vis d'opérateurs soumis au droit américain pour des données d'une sensibilité et d'une valeur stratégique exceptionnelles. Elle dit que le législateur qui a tenté de corriger cette trajectoire avec la loi SREN a vu son intention neutralisée par l'inaction de l'exécutif. Elle dit que les acteurs du numérique souverain français, malgré des certifications et des capacités réelles, n'ont pas été en mesure de proposer une alternative opérationnelle crédible pour les plus grandes bases de données de l'Etat.
[Inférence] La prochaine délibération CNIL de ce type, dans six mois ou dans deux ans, se trouvera face au même dilemme structurel si aucun des trois verrous n'est levé : publication du décret SREN, montée en charge des alternatives SecNumCloud, révision de la doctrine d'achat public pour les données sensibles. En l'absence de ces mesures, la décision du 20 mars 2026 ne sera pas une anomalie : elle sera un précédent ordinaire.
La souveraineté numérique n'est pas un discours. C'est un marché public.
Sources principales : décision CE n° 503159/504171 du 20 mars 2026 ; délibération CNIL n° 2025-014 du 13 février 2025 ; loi n° 2024-449 du 21 mai 2024 (SREN) ; CLOUD Act, 18 U.S.C. § 2713 (2018) ; CJUE, C-311/18, Data Protection Commissioner c. Facebook Ireland (Schrems II), 16 juillet 2020 ; référentiel SecNumCloud v3.2, ANSSI ; rapport annuel ARCEP sur le marché du cloud en France, 2024 ; Synergy Research Group, Cloud Infrastructure Services Q3 2024.