健康数据中心在Azure上:国务委员会再次批准

Health Data Hub sur Azure : le Conseil d’État valide à nouveau

Silicon.fr by Clément Bohic 2026-03-24 09:18 Original
摘要
法国最高行政法院再次驳回了由“天马行空”协会及多家公司提出的取消CNIL对Health Data Hub数据处理授权的请求。该授权涉及从法国国家健康数据系统中提取数据用于研究,且数据仅在法国境内处理,并未转移至美国。尽管存在数据价值及基础设施由微软托管的担忧,法院认为已采取足够的安全措施。

天马协会在国务委员会面前再次失败。

由La Quadrature du Net的创始人之一担任主席的该协会试图取消CNIL在2025年2月授予Health Data Hub的授权。目的:提取SNDS(国家健康数据系统)的数据,并在两项研究中进行处理。分别是关于病理学和药物及疫苗的使用。背景是由欧洲药品管理局协调的DARWIN EU(数据分析与真实世界询问网络)项目,支持一个由公共和私人机构组成的网络。

更具体地说,有两个取消请求。来自天马协会的请求得到了Clever Cloud、Nexedi、Rapid Space International、Cleyrop、CNLL(国家自由软件委员会)和Open Internet Project协会的支持。另一个请求来自Interhop和Constances协会、普通医学工会、Sud Santé联合会和人权联盟。

CNIL未授权将健康数据转移到国外

国务委员会指出,CNIL仅授权在法国的数据中心中处理健康数据。它未批准任何向美国的转移。特别是在数据隐私框架的基础上,天马协会等因此无法主张其非法性。同样,由于没有向美国的转移,引用公共卫生法典R. 1461-1条——其最后一段禁止将健康数据转移到欧盟以外——也不成立。

鉴于相关数据的价值及其在微软基础设施上的托管,难以排除美国当局的访问请求,国务委员会承认。然而,它认为授权的处理受到足够的安全措施的约束。其中包括:

假名化

限制从SNDS提取的原始数据的保存期限

每次导出时的重新识别风险分析

Health Data Hub使用痕迹的分析

向美国转移平台使用的技术数据也不能排除。但它们不涉及健康数据,国务委员会解释道。此外,它们基于标准合同条款,这些条款“构成适当的保障”。

2024年另一项取消请求被驳回

Clever Cloud、Nexedi、Rapid Space International、Cleyrop、Open Internet Project、天马协会和CNLL在2024年已经就Health Data Hub的另一项授权向国务委员会提出请求。法国互联网协会也在之前采取了同样的行动。

这同样是与欧洲药品管理局的合同。但用于药物流行病学研究。

国务委员会采取了大致相同的推理。它指出CNIL未授权将健康数据转移到美国。并声称技术和法律保障是足够的:多重假名化、HDS认证、授权限制为3年等。

插图由AI生成

文章最初发布在Health Data Hub在Azure上:国务委员会再次验证,出现在Silicon.fr。

Summary
The French Council of State has rejected an appeal by the association Les Licornes célestes, supported by several tech companies, to annul a CNIL authorization allowing the Health Data Hub to process health data for studies on diseases and medication use. The CNIL's authorization was challenged due to concerns about data transfers to the US, but the Council confirmed that the data remains in France with adequate security measures, such as pseudonymization and risk analysis, and no health data is transferred abroad. Previously, a similar appeal regarding a different authorization was also rejected, affirming the sufficiency of technical and legal safeguards.

New setback before the Council of State for Les Licornes célestes.

This association, chaired by one of the founders of La Quadrature du Net, sought to annul an authorization that the CNIL granted to the Health Data Hub in February 2025. Objective: the extraction of data from the SNDS (National Health Data System) and their processing within the framework of two studies. Respectively on pathologies and on the use of medications and vaccines. In the background, the DARWIN EU project (Data Analysis and Real-World Interrogation Network), coordinated by the European Medicines Agency with the support of a network of public and private institutions.

There were more specifically two annulment requests. The one from the association Les Licornes célestes was supported by Clever Cloud, Nexedi, Rapid Space International, Cleyrop, the CNLL (National Council of Free Software), and the Open Internet Project association. The other came from the associations Interhop and Constances, the General Medicine Union, the Sud Santé Federation, and the Human Rights League.

The CNIL did not authorize transfers of health data abroad

The Council of State notes that the CNIL only authorized the processing of health data hosted in datacenters located in France. It did not give its approval for any transfer to the United States. Notably on the basis of the Data Privacy Framework, which Les Licornes célestes et al. cannot therefore invoke as illegal. In the same spirit, in the absence of transfers to the USA, the invocation of article R. 1461-1 of the Public Health Code — whose last paragraph prohibits the transfer of health data outside the EU — does not hold.

Given the value of the data in question and their hosting on Microsoft infrastructures, it is difficult to exclude access requests from U.S. authorities, acknowledges the Council of State. However, it considers that the authorized processing is framed by sufficient security measures. Including:

Pseudonymization

Limitation of the retention period for raw data extracted from the SNDS

Risk analysis of re-identification during each export

Analysis of usage traces by the Health Data Hub

The transfer of technical usage data of the platform to the United States is also not excluded. But it does not involve health data, explains the Council of State. They are also based on standard contractual clauses which "constitute appropriate safeguards".

Another annulment request rejected in 2024

Clever Cloud, Nexedi, Rapid Space International, Cleyrop, Open Internet Project, Les Licornes célestes, and the CNLL had already seized the Council of State in 2024 regarding another authorization granted to the Health Data Hub. The Internet Society France association had done the same beforehand.

This also concerned a contract with the European Medicines Agency. But for studies in pharmaco-epidemiology.

The Council of State had more or less the same reasoning. It had thus noted that the CNIL had not authorized transfers of health data to the USA. And affirmed that the technical and legal guarantees were sufficient: multiple pseudonymizations, HDS certification, authorization limited to 3 years, etc.

Illustration generated by AI

The post Health Data Hub on Azure: the Council of State validates again appeared first on Silicon.fr.

Résumé
L'association Les Licornes célestes, soutenue par plusieurs entreprises et associations, a échoué à faire annuler une autorisation de la CNIL concernant le traitement de données de santé par le Health Data Hub, dans le cadre du projet DARWIN EU coordonné par l'Agence européenne des médicaments. Le Conseil d'État a confirmé que la CNIL n'avait pas autorisé de transferts de données de santé vers les États-Unis, et a jugé que les mesures de sécurité mises en place étaient suffisantes. Cet échec s'ajoute à une précédente tentative similaire en 2024, également rejetée par le Conseil d'État.

Nouvel échec devant le Conseil d’État pour Les Licornes célestes.

Cette association présidée par un des fondateurs de La Quadrature du Net a cherché à faire annuler une autorisation que la CNIL avait accordée au Health Data Hub en février 2025. Objet : l’extraction de données du SNDS (Système national des données de santé) et leur traitement dans le cadre de deux études. Respectivement sur les pathologies et sur l’utilisation des médicaments et des vaccins. En toile de fond, le projet DARWIN EU (Data Analysis and Real-World Interrogation Network), que l’Agence européenne des médicaments coordonne à l’appui d’un réseau d’institutions publiques et privées.

Il y avait plus précisément eu deux demandes en annulation. Celle provenant de l’association Les Licornes célestes avait été soutenue par Clever Cloud, Nexedi, Rapid Space International, Cleyrop, le CNLL (Conseil national du logiciel libre) et l’association Open Internet Project. L’autre émanait des associations Interhop et Constances, du Syndicat de la médecine générale, de la Fédération Sud Santé et de la Ligue des droits de l’homme.

La CNIL n’a pas autorisé de transferts de données de santé vers l’étranger

Le Conseil d’État constate que la CNIL a seulement autorisé le traitement de données de santé hébergées dans des datacenters situés en France. Elle n’a pas donné son aval à un quelconque transfert vers les États-Unis. Notamment sur le fondement du Data Privacy Framework, dont Les Licornes célestes et al. ne peuvent donc invoquer l’illégalité. Dans le même esprit, en l’absence de transferts vers les USA, l’invocation de l’article R. 1461-1 du Code de la santé publique – dont le dernier alinéa prohibe les transferts de données de santé hors de l’UE – ne tient pas.

Vu la valeur des données en question et leur hébergement sur des infrastructures Microsoft, difficile d’exclure des demandes d’accès de la part des autorités étatsuniennes, reconnaît le Conseil d’État. Qui estime toutefois que les traitements autorisés sont encadrés par des mesures de sécurité suffisantes. Dont :

Pseudonymisation

Limitation de la durée de conservation des données brutes extraites du SNDS

Analyse des risques de réidentification lors de chaque export

Analyse des traces d’utilisation par le Health Data Hub

Le transfert de données techniques d’usage de la plate-forme vers les États-Unis n’est pas non plus à exclure. Mais il n’impliquent pas de données de santé, explique le Conseil d’État. Ils se basent par ailleurs sur des clauses contractuelles types qui « constituent des garanties appropriées ».

Un autre demande en annulation rejetée en 2024

Clever Cloud, Nexedi, Rapid Space Internatoinal, Cleyrop, Open Internet Project, Les Licornes célestes et le CNLL avaient déjà saisi le Conseil d’État en 2024 au sujet d’une autre autorisation accordée au Health Data Hub. L’association Internet Society France avait fait de même en amont.

Il s’agissait là aussi d’un contrat avec l’Agence européenne des médicaments. Mais pour des études en pharmaco-épidémiologie.

Le Conseil d’État avait eu plus ou moins le même raisonnement. Il avait ainsi relevé que la CNIL n’avait pas autorisé de transferts de données de santé vers les USA. Et affirmé que les garanties techniques et juridiques étaient suffisantes : pseudonymisations multiples, certification HDS, autorisation limitée à 3 ans, etc.

Illustration générée par IA

The post Health Data Hub sur Azure : le Conseil d’État valide à nouveau appeared first on Silicon.fr.

AI Insight
Core Point

法国国务委员会再次维持CNIL对Health Data Hub的授权,确认其在法国境内Azure数据中心处理健康数据、未批准向美国转移,因此相关隐私诉讼再次失败,这对微软云在法国公共卫生数据场景的合规性是重要信号。

Key Players

Health Data Hub — 法国健康数据平台,法国。

CNIL — 法国数据保护监管机构,法国。

Conseil d’État — 法国国务委员会/最高行政法院,法国。

Microsoft Azure — 云计算平台,微软旗下,美国。

Les Licornes célestes — 隐私/数字权利倡议组织,法国。

Clever Cloud — 云服务商,法国。

Nexedi — 开源软件与企业IT公司,法国。

Rapid Space International — 云与基础设施服务商,法国。

Cleyrop — 数据平台/云服务公司,法国。

CNLL — 开源软件行业组织,法国。

Industry Impact
  • ICT: High — 公共部门云托管与数据主权争议持续,影响云采购与合规框架。
  • Computing/AI: High — 健康数据用于研究与分析,强化云上数据处理与AI/数据分析合规边界。
Tracking

Strongly track — 涉及法国敏感健康数据、微软云和跨境数据合规,后续公共云与主权云政策可能受影响。

Related Companies
neutral
negative
neutral
neutral
positive
neutral
negative
negative
negative
negative
negative
negative
negative
negative
neutral
neutral
negative
neutral
Categories
云计算 网络安全 生物技术
AI Processing
2026-03-26 12:15
openai / gpt-5.4-mini