Plateforme des données de santé : souveraineté numérique et recevabilité du recours
Par un arrêt du 25 juin 2025, le Conseil d’État s’est prononcé sur la recevabilité d’un recours en excès de pouvoir formé contre un courrier du ministre de la Santé portant sur l’hébergement des données de santé d’une plateforme par un prestataire soumis au droit américain. Cette décision précise les conditions dans lesquelles un engagement ministériel peut être considéré comme un acte susceptible de recours, et s’inscrit dans un débat juridique et politique plus large sur la souveraineté numérique, la protection des données personnelles et l’influence du droit extraterritorial, en particulier américain.
Depuis 2020, la question de l’hébergement des données de santé par le groupement d’intérêt public (GIP) « Plateforme des données de santé » suscite de vives controverses. Ce GIP utilise les services d’hébergement d’une filiale d’une société américaine, soumise au Cloud Act, la législation américaine adoptée en 2018, qui permet aux autorités des États-Unis d’exiger l’accès à des données détenues par des prestataires technologiques, y compris hors du territoire américain.
En réponse à ces inquiétudes, le ministre de la Santé avait affirmé dans un courrier du 19 novembre 2020 qu’il partageait l’objectif de la CNIL de développer dans un délai inférieur à deux ans une solution technique alternative, hébergée par un opérateur relevant uniquement du droit français ou européen (CNIL 20 avr. 2020, délib. n° 2020-044).
Le 29 juin 2024, les sociétés Clever Cloud, Cleyrop et M. A. B. saisissent le Conseil d’État, considérant que le ministre est revenu sur son engagement. Leur requête vise à faire annuler un courrier du 15 février 2023 adressé à la CNIL, dans lequel le ministre constate l’absence de solution alternative viable à la date considérée et propose que les demandes d’autorisation d’exploitation des données soient désormais formulées « traitement par traitement », selon le fonctionnement actuel.
Les requérants interprètent ce courrier comme une décision implicite de renonciation à l’objectif initial de substitution technique, et le qualifient d’acte faisant grief. Ils demandent son annulation pour excès de pouvoir, ainsi qu’une injonction de mise en conformité avec les objectifs initialement fixés.
L’exigence d’un acte décisoire explicite ou implicite
Le cœur de la décision repose sur la qualification juridique du courrier litigieux. Le Conseil d’État rappelle une jurisprudence constante : seuls les actes administratifs produisant des effets juridiques notables, directs ou indirects, peuvent faire l’objet d’un recours pour excès de pouvoir (CE 19 juill. 2019, n° 426389, Dalloz actualité, 25 juill. 2019, obs. M.-C. de Montecler ; Lebon 
; AJDA 2019. 1544 ; ibid. 1994 , chron. C. Malverti et C. Beaufils ; AJCT 2019. 572, obs. P. Villeneuve ; RFDA 2019. 851, concl. A. Iljic ; CE, sect., 12 juin 2020, n° 418142, Dalloz actualité, 16 juin 2020, obs. M.-C. de Montecler ; Lebon avec les concl. ; AJDA 2020. 1196 ; ibid. 1407 , chron. C. Malverti et C. Beaufils ; AJ fam. 2020. 426, obs. C. Bruggiamosca ; AJCT 2020. 523 , obs. S. Renard et E. Pechillon ; RFDA 2020. 785, concl. G. Odinet ; ibid. 801, note F. Melleray ). En l’espèce, la Haute juridiction administrative estime que le courrier du ministre ne constitue pas une renonciation à l’engagement pris en 2020.
Le Conseil d’État considère qu’il ne s’agit que d’une proposition temporaire adressée à la CNIL, en attendant la disponibilité de solutions alternatives, et non d’un abandon définitif du projet de migration. Par conséquent, il ne s’agit pas d’un acte administratif décisoire, mais d’un échange d’informations sans portée réglementaire ni décisionnelle.
Ce faisant, le Conseil d’État adopte une lecture restrictive du contenu de l’engagement de 2020, en ne considérant pas que le dépassement du délai des deux ans emporte une renonciation implicite. Il déduit de l’ambiguïté du courrier que l’intention de renoncer n’est ni manifeste ni suffisamment établie pour constituer un grief. Il rejette ainsi la requête dans son ensemble, y compris les conclusions présentées sur le fondement de l’article L. 761-1 du code de justice administrative.
Contentieux administratif et souveraineté numérique
En tranchant la question de la recevabilité procédurale, sans se prononcer sur le fond, le Conseil d’État évite d’aborder les enjeux de compatibilité du système actuel avec le RGPD et avec la jurisprudence Schrems II de la Cour de justice de l’Union européenne (CJUE, gr. ch., 16 juill. 2020, aff. C-311/18, Dalloz actualité, 22 juill. 2020, obs. C. Crichton ; D. 2020. 2432 , note C. Castets-Renard ; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ contrat 2020. 436 , obs. T. Douville ; Dalloz IP/IT 2020. 640, obs. B. Bertrand et J. Sirinelli ; Rev. crit. DIP 2020. 874, Eclairages A. d’Ornano ; ibid. 2022. 287, étude U. Kohl ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ), qui avait invalidé l’accord Privacy Shield précisément en raison des risques que le droit américain faisait courir sur la protection des données personnelles européennes.
Cette neutralité apparente peut être interprétée comme une forme d’autolimitation du juge administratif, face à un contentieux politique et technique complexe, où l’État ne dispose pas encore des moyens technologiques pour assurer une solution totalement souveraine.
L’affaire met en lumière la difficulté de contester devant le juge administratif des décisions informelles ou présentées comme de simples constats techniques. Elle illustre les limites de la justice administrative face à des choix politiques qui évoluent en dehors du cadre normatif strict.
Dans un contexte où la souveraineté numérique devient une priorité stratégique, notamment dans les secteurs critiques comme la santé, la décision souligne aussi l’importance de formaliser les engagements publics si l’on souhaite leur donner une force contraignante, susceptible d’être examinée par le juge.
Cette solution, juridiquement orthodoxe, n’en révèle pas moins un déficit de contrôle effectif des politiques numériques, dès lors que les décisions s’expriment sous forme d’engagements vagues ou d’échanges institutionnels.
Le rôle de la CNIL : entre vigilance institutionnelle et réalisme opérationnel
Entre-temps, la CNIL a joué un rôle non négligeable dans le rappel des engagements gouvernementaux en matière de souveraineté numérique, en particulier dans le domaine sensible de la santé. Par ses délibérations successives relatives à l’entrepôt de données de santé EMC2, hébergé par la société américaine Microsoft pour le compte du GIP « Plateforme des données de santé », la Commission s’efforce de concilier les impératifs de sécurité juridique, de continuité du service et d’indépendance technologique.
Dans sa délibération n° 2023-146 du 21 décembre 2023, la CNIL a autorisé la mise en œuvre de la solution EMC2, tout en déplorant qu’« aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le GIP PDS ne protège les données contre l’application de lois extraterritoriales de pays tiers ». Elle a expressément limité cette autorisation à une durée de trois ans, calée sur le calendrier prévu de migration de la plateforme vers une solution souveraine, conformément à l’engagement initialement pris par le gouvernement.
Cette exigence est reprise dans sa délibération n° 2025-013 du 13 février 2025, où la CNIL constate l’absence de publication d’un appel d’offres à la date de la délibération. Néanmoins, elle « prend note du fait que le gouvernement a indiqué qu’il est en préparation », adoptant ainsi une posture de vigilance conditionnelle : l’autorisation est maintenue, mais dans une logique de surveillance étroite du respect des engagements étatiques.
Cette attitude pragmatique de la CNIL reflète les tensions persistantes entre exigence juridique de conformité au RGPD et réalités industrielles du marché de l’hébergement cloud, dominé par les acteurs américains. Elle permet aussi de contextualiser la position du Conseil d’État : si la juridiction n’a pas reconnu de renonciation formelle dans le courrier contesté, la CNIL, de son côté, n’ignore pas le risque d’inaction des engagements affichés.
par Mélanie Clément-Fontaine, Professeure de droit privé, Université Paris-Saclay, UVSQ, DANTE
© Lefebvre Dalloz