Conseil d'État
N° 503159
ECLI:FR:CECHS:2026:503159.20260320
Inédit au recueil Lebon
10ème chambre
M. Philippe Bachschmidt, rapporteur
FELTESSE WARUSFEL PASQUIER & ASSOCIES;ALIBERT, avocats
Lecture du vendredi 20 mars 2026
Vu les procédures suivantes :
1° Sous le n° 503159, par une requête sommaire, un nouveau mémoire et un mémoire complémentaire, enregistrés les 4 avril, 14 avril et 3 juillet 2025 au secrétariat du contentieux du Conseil d'Etat, l'association Les Licornes célestes, M. G... C... et M. E... A... demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la délibération de la Commission nationale de l'informatique et des libertés (CNIL) n° 2025-014 du 13 février 2025 autorisant l'Agence européenne des médicaments à mettre en oeuvre des traitements automatisés de données à caractère personnel ayant pour finalité des études portant sur l'estimation d'incidence et de prévalence des pathologies dans la population générale en France dans le cadre du projet DARWIN EU ;
2°) de saisir la Cour de justice de l'Union européenne de questions relatives, d'une part, à l'interprétation du paragraphe 3 de l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel et abrogeant la directive 95/46/CE (RGPD) et, d'autre part, à l'appréciation de la validité de la décision d'exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023 constatant le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - Etats-Unis ;
3°) de mettre à la charge de la CNIL la somme de 3 500 euros au titre de l'article L. 761-1 du code de justice administrative.
2° Sous le n° 504171, par une requête enregistrée le 9 mai 2025 au secrétariat du contentieux du Conseil d'Etat, l'association Interhop, l'association Constances, le Syndicat de la médecine générale, la Fédération Sud Santé Sociaux, et la Ligue des droits de l'homme demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la délibération de la Commission nationale de l'informatique et des libertés (CNIL) n° 2025-014 du 13 février 2025 autorisant l'Agence européenne des médicaments à mettre en oeuvre des traitements automatisés de données à caractère personnel ayant pour finalité des études portant sur l'estimation d'incidence et de prévalence des pathologies dans la population générale en France dans le cadre du projet DARWIN EU ;
2°) à titre subsidiaire, de saisir la Cour de justice de l'Union européenne d'une question relative à l'appréciation de la validité de la décision d'exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023 constatant le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - Etats-Unis, ou de plusieurs autres questions préjudicielles relatives au respect des articles 7, 8, 47 et 52 de la Charte des droits fondamentaux de l'Union européenne ;
3°) de mettre à la charge de l'État la somme de 3 000 euros au bénéfice de chacun des requérants au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
Vu les autres pièces des dossiers ;
Vu :
- le traité sur le fonctionnement de l'Union européenne ;
- la charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de la santé publique ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la loi n° 2024-449 du 21 mai 2024 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Philippe Bachschmidt, maître des requêtes ;
- les conclusions de Mme Charline Nicolas, rapporteure publique ;
Vu la note en délibéré, enregistrée le 5 février 2026, présentée par l'association Les Licornes célestes et autres ;
Considérant ce qui suit :
1. Les requêtes de l'association Les Licornes célestes et autres et de l'association Interhop et autres sont dirigées contre la même délibération. Il y a lieu de les joindre pour statuer par une seule décision.
Sur l'intervention :
2. La société Clever Cloud, la société Nexedi, la société Rapid Space International, la société Cleyrop, le Conseil national du logiciel libre, l'association Open Internet Projet et M. D... F... justifient d'un intérêt suffisant à l'annulation de la délibération attaquée. Par suite, leur intervention est recevable.
Sur la requête :
3. Il ressort des pièces des dossiers que l'Agence européenne des médicaments, qui coordonne le réseau DARWIN EU, lequel vise à favoriser l'utilisation de données de santé pour étudier l'emploi, la sécurité et l'efficacité des médicaments et des vaccins, a déposé auprès de la Commission nationale de l'informatique et des libertés (CNIL) une demande d'autorisation concernant des traitements automatisés de données ayant pour finalité des études portant sur l'estimation d'incidence et de prévalence des pathologies dans la population générale en France dans le cadre du projet DARWIN EU. Ces traitements nécessitent l'extraction de données du système national des données de santé (SNDS) par le groupement d'intérêt public Plateforme des données de santé (PDS), agissant en qualité de sous-traitant de l'Agence européenne des médicaments, qui a recours à la société Microsoft Ireland Operations Ltd, société de droit irlandais, filiale de la société Microsoft établie aux Etats-Unis, pour héberger les données. Par une délibération du 13 février 2025, dont les requérants demandent l'annulation pour excès de pouvoir, la CNIL a autorisé l'Agence européenne des médicaments à mettre en oeuvre ces traitements pendant une durée limitée à trois ans.
4. En premier lieu, il ressort de la délibération attaquée qu'elle a pour seul objet d'autoriser le traitement de données de santé qui seront hébergées dans des centres de données situés en France. Elle n'a pas pour objet et ne saurait avoir pour effet d'autoriser un transfert de données de santé à caractère personnel vers les Etats-Unis sur le fondement de la décision d'exécution de la Commission du 10 juillet 2023, dite décision d'adéquation, constatant, conformément au règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), dit RGPD, et notamment au 3 de son article 45, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - États-Unis.
5. Il en résulte, d'une part, que les requérants ne peuvent utilement exciper de l'illégalité de cette décision d'adéquation du 10 juillet 2023, l'absence de décision d'adéquation ne faisant au demeurant pas par elle-même obstacle, ainsi qu'il ressort des articles 46 et 49 du RGPD, à tout transfert de données à caractère personnel vers des Etats tiers à l'Union européenne.
6. Il en résulte, d'autre part, que les requérants ne peuvent davantage utilement soutenir que la délibération attaquée méconnaîtrait le dernier alinéa de l'article R. 1461-1 du code de la santé publique, qui prohibe les transferts de données de santé dehors de l'Union européenne.
7. En deuxième lieu, si la délibération attaquée prend acte de ce que, compte tenu du contrat passé avec Microsoft et du fonctionnement des opérations d'administration de la plateforme technique, il est possible que des données techniques d'usage de la plateforme soient transférées vers des administrateurs de la société Microsoft situés aux Etats-Unis, il ressort des pièces des dossiers que de tels transferts de données, qui sont relatives non pas aux personnes incluses dans les études, mais aux connexions d'utilisateurs de la plateforme, et qui ne contiennent en tout état de cause aucune donnée de santé, sont fondés sur des clauses contractuelles types constituant des garanties appropriées au sens de l'article 46 du RGPD. Par suite, les requérants ne sont pas fondés à soutenir que, par sa délibération qui est, par ailleurs, contrairement à ce qui est allégué, suffisamment motivée, la CNIL aurait méconnu ses obligations en accordant l'autorisation sollicitée.
8. En troisième lieu, le paragraphe 1 de l'article 28 du RGPD prévoit que : " Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ". Aux termes du paragraphe 3 du même article : " Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant : / a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ".
9. Aux termes de l'article 32 du même règlement : " 1. Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : / a) la pseudonymisation et le chiffrement des données à caractère personnel ; / b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; / c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ; d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. / 2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite. / 3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article. / 4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre ".
10. D'une part, s'il ne peut être totalement exclu que les données du traitement autorisé, d'une sensibilité particulière eu égard à leur nature de données de santé mais aussi au potentiel scientifique et économique de leur exploitation, fassent l'objet de demandes d'accès par les autorités des Etats-Unis, sur le fondement des lois de ce pays, par l'intermédiaire de la société-mère de l'hébergeur, il ressort toutefois des pièces du dossier que les données de santé comprises dans les traitements autorisés font l'objet de mesures de sécurité, comprenant notamment la pseudonymisation sous le contrôle de la Caisse nationale d'assurance maladie et de la PDS, la limitation de la durée de conservation des données brutes extraites du SNDS, l'analyse des risques de réidentification lors de chaque export et l'analyse des traces d'utilisation par la PDS. Par ailleurs, si la société Microsoft Ireland ne peut bénéficier de la certification " SecNumCloud " délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), dès lors qu'elle est la filiale d'une société soumise au droit des Etats-Unis, elle dispose toutefois de la certification " hébergeur de données de santé " prévue par l'article L. 1111-8 du code de la santé publique, qui implique un audit régulier par un organisme accrédité. Eu égard à l'ensemble de ces circonstances et au vu des garanties dont est entourée la mise en oeuvre du projet, lequel n'est en outre autorisé que pour une durée de trois ans, le moyen tiré de ce que la délibération attaquée serait entachée d'erreur d'appréciation et méconnaîtrait les dispositions du RGPD citées au point 8 doit être écarté.
11. D'autre part, la CNIL n'a pas méconnu les dispositions du RGPD citées aux points 8 et 9 en constatant que le sous-traitant s'était donné les moyens d'assurer des garanties suffisantes, par la mise en oeuvre de mesures techniques et organisationnelles appropriées, visant à prévenir le risque pour les droits et libertés des personnes physiques. Au demeurant, la délibération attaquée n'autorise aucun transfert de données de santé à caractère personnel vers un pays tiers en dehors d'une instruction documentée du responsable de traitement. Par suite, et sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne d'une question préjudicielle en l'absence de doute raisonnable quant à l'interprétation des règles invoquées, la société requérante ne peut utilement se prévaloir de la méconnaissance des dispositions du paragraphe 3 de l'article 28 du RGPD.
12. En quatrième et dernier lieu, aux termes du V de l'article 31 de la loi du 21 mai 2024 visant à sécuriser et réguler l'espace numérique, lequel fixe les conditions dans lesquelles les administrations et opérateurs de l'Etat peuvent avoir recours à un service d'informatique en nuage fourni par un prestataire privé pour la mise en oeuvre de systèmes ou d'applications informatiques : " Dans un délai de six mois à compter de la promulgation de la présente loi, un décret en Conseil d'Etat précise les modalités d'application du présent article (...) ". Si les requérants soutiennent que ce délai était échu à la date de la délibération attaquée, cette circonstance est sans incidence sur le fait que les dispositions de cet article n'étaient, en l'absence d'intervention du décret en Conseil d'Etat à la date de la délibération attaquée, pas invocables à l'encontre de cette décision.
13. Il résulte de tout ce qui précède que les requérants ne sont pas fondés à demander l'annulation de la délibération qu'ils attaquent. La requête de l'association Les Licornes célestes et autres et celle de l'association Interhop et autres doivent, par suite, être rejetées, y compris leurs conclusions présentées au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : L'intervention de la société Clever Cloud et autres est admise.
Article 2 : Les requêtes de l'association Les Licornes célestes et autres et de l'association Interhop et autres sont rejetées.
Article 3 : La présente décision sera notifiée à l'association Les Licornes célestes, première dénommée sous le n° 503159, à l'association Interhop, première dénommée sous le n° 504171, à la société Clever Cloud, premier intervenant dénommé, et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 5 février 2026 où siégeaient : M. Bertrand Dacosta, président de chambre, présidant ; M. Olivier Yeznikian, conseiller d'Etat et M. Philippe Bachschmidt, maître des requêtes.
Rendu le 20 mars 2026.
Le président :
Signé : M. Bertrand Dacosta
Le rapporteur :
Signé : M. Philippe Bachschmidt
La secrétaire :
Signé : Mme Marie-Léandre Monnerville
N° 503159
ECLI:FR:CECHS:2026:503159.20260320
Inédit au recueil Lebon
10ème chambre
M. Philippe Bachschmidt, rapporteur
FELTESSE WARUSFEL PASQUIER & ASSOCIES;ALIBERT, avocats
Lecture du vendredi 20 mars 2026
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu les procédures suivantes :
1° Sous le n° 503159, par une requête sommaire, un nouveau mémoire et un mémoire complémentaire, enregistrés les 4 avril, 14 avril et 3 juillet 2025 au secrétariat du contentieux du Conseil d'Etat, l'association Les Licornes célestes, M. G... C... et M. E... A... demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la délibération de la Commission nationale de l'informatique et des libertés (CNIL) n° 2025-014 du 13 février 2025 autorisant l'Agence européenne des médicaments à mettre en oeuvre des traitements automatisés de données à caractère personnel ayant pour finalité des études portant sur l'estimation d'incidence et de prévalence des pathologies dans la population générale en France dans le cadre du projet DARWIN EU ;
2°) de saisir la Cour de justice de l'Union européenne de questions relatives, d'une part, à l'interprétation du paragraphe 3 de l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel et abrogeant la directive 95/46/CE (RGPD) et, d'autre part, à l'appréciation de la validité de la décision d'exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023 constatant le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - Etats-Unis ;
3°) de mettre à la charge de la CNIL la somme de 3 500 euros au titre de l'article L. 761-1 du code de justice administrative.
2° Sous le n° 504171, par une requête enregistrée le 9 mai 2025 au secrétariat du contentieux du Conseil d'Etat, l'association Interhop, l'association Constances, le Syndicat de la médecine générale, la Fédération Sud Santé Sociaux, et la Ligue des droits de l'homme demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la délibération de la Commission nationale de l'informatique et des libertés (CNIL) n° 2025-014 du 13 février 2025 autorisant l'Agence européenne des médicaments à mettre en oeuvre des traitements automatisés de données à caractère personnel ayant pour finalité des études portant sur l'estimation d'incidence et de prévalence des pathologies dans la population générale en France dans le cadre du projet DARWIN EU ;
2°) à titre subsidiaire, de saisir la Cour de justice de l'Union européenne d'une question relative à l'appréciation de la validité de la décision d'exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023 constatant le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - Etats-Unis, ou de plusieurs autres questions préjudicielles relatives au respect des articles 7, 8, 47 et 52 de la Charte des droits fondamentaux de l'Union européenne ;
3°) de mettre à la charge de l'État la somme de 3 000 euros au bénéfice de chacun des requérants au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
Vu les autres pièces des dossiers ;
Vu :
- le traité sur le fonctionnement de l'Union européenne ;
- la charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de la santé publique ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la loi n° 2024-449 du 21 mai 2024 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Philippe Bachschmidt, maître des requêtes ;
- les conclusions de Mme Charline Nicolas, rapporteure publique ;
Vu la note en délibéré, enregistrée le 5 février 2026, présentée par l'association Les Licornes célestes et autres ;
Considérant ce qui suit :
1. Les requêtes de l'association Les Licornes célestes et autres et de l'association Interhop et autres sont dirigées contre la même délibération. Il y a lieu de les joindre pour statuer par une seule décision.
Sur l'intervention :
2. La société Clever Cloud, la société Nexedi, la société Rapid Space International, la société Cleyrop, le Conseil national du logiciel libre, l'association Open Internet Projet et M. D... F... justifient d'un intérêt suffisant à l'annulation de la délibération attaquée. Par suite, leur intervention est recevable.
Sur la requête :
3. Il ressort des pièces des dossiers que l'Agence européenne des médicaments, qui coordonne le réseau DARWIN EU, lequel vise à favoriser l'utilisation de données de santé pour étudier l'emploi, la sécurité et l'efficacité des médicaments et des vaccins, a déposé auprès de la Commission nationale de l'informatique et des libertés (CNIL) une demande d'autorisation concernant des traitements automatisés de données ayant pour finalité des études portant sur l'estimation d'incidence et de prévalence des pathologies dans la population générale en France dans le cadre du projet DARWIN EU. Ces traitements nécessitent l'extraction de données du système national des données de santé (SNDS) par le groupement d'intérêt public Plateforme des données de santé (PDS), agissant en qualité de sous-traitant de l'Agence européenne des médicaments, qui a recours à la société Microsoft Ireland Operations Ltd, société de droit irlandais, filiale de la société Microsoft établie aux Etats-Unis, pour héberger les données. Par une délibération du 13 février 2025, dont les requérants demandent l'annulation pour excès de pouvoir, la CNIL a autorisé l'Agence européenne des médicaments à mettre en oeuvre ces traitements pendant une durée limitée à trois ans.
4. En premier lieu, il ressort de la délibération attaquée qu'elle a pour seul objet d'autoriser le traitement de données de santé qui seront hébergées dans des centres de données situés en France. Elle n'a pas pour objet et ne saurait avoir pour effet d'autoriser un transfert de données de santé à caractère personnel vers les Etats-Unis sur le fondement de la décision d'exécution de la Commission du 10 juillet 2023, dite décision d'adéquation, constatant, conformément au règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), dit RGPD, et notamment au 3 de son article 45, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - États-Unis.
5. Il en résulte, d'une part, que les requérants ne peuvent utilement exciper de l'illégalité de cette décision d'adéquation du 10 juillet 2023, l'absence de décision d'adéquation ne faisant au demeurant pas par elle-même obstacle, ainsi qu'il ressort des articles 46 et 49 du RGPD, à tout transfert de données à caractère personnel vers des Etats tiers à l'Union européenne.
6. Il en résulte, d'autre part, que les requérants ne peuvent davantage utilement soutenir que la délibération attaquée méconnaîtrait le dernier alinéa de l'article R. 1461-1 du code de la santé publique, qui prohibe les transferts de données de santé dehors de l'Union européenne.
7. En deuxième lieu, si la délibération attaquée prend acte de ce que, compte tenu du contrat passé avec Microsoft et du fonctionnement des opérations d'administration de la plateforme technique, il est possible que des données techniques d'usage de la plateforme soient transférées vers des administrateurs de la société Microsoft situés aux Etats-Unis, il ressort des pièces des dossiers que de tels transferts de données, qui sont relatives non pas aux personnes incluses dans les études, mais aux connexions d'utilisateurs de la plateforme, et qui ne contiennent en tout état de cause aucune donnée de santé, sont fondés sur des clauses contractuelles types constituant des garanties appropriées au sens de l'article 46 du RGPD. Par suite, les requérants ne sont pas fondés à soutenir que, par sa délibération qui est, par ailleurs, contrairement à ce qui est allégué, suffisamment motivée, la CNIL aurait méconnu ses obligations en accordant l'autorisation sollicitée.
8. En troisième lieu, le paragraphe 1 de l'article 28 du RGPD prévoit que : " Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ". Aux termes du paragraphe 3 du même article : " Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant : / a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ".
9. Aux termes de l'article 32 du même règlement : " 1. Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : / a) la pseudonymisation et le chiffrement des données à caractère personnel ; / b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; / c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ; d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. / 2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite. / 3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article. / 4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre ".
10. D'une part, s'il ne peut être totalement exclu que les données du traitement autorisé, d'une sensibilité particulière eu égard à leur nature de données de santé mais aussi au potentiel scientifique et économique de leur exploitation, fassent l'objet de demandes d'accès par les autorités des Etats-Unis, sur le fondement des lois de ce pays, par l'intermédiaire de la société-mère de l'hébergeur, il ressort toutefois des pièces du dossier que les données de santé comprises dans les traitements autorisés font l'objet de mesures de sécurité, comprenant notamment la pseudonymisation sous le contrôle de la Caisse nationale d'assurance maladie et de la PDS, la limitation de la durée de conservation des données brutes extraites du SNDS, l'analyse des risques de réidentification lors de chaque export et l'analyse des traces d'utilisation par la PDS. Par ailleurs, si la société Microsoft Ireland ne peut bénéficier de la certification " SecNumCloud " délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), dès lors qu'elle est la filiale d'une société soumise au droit des Etats-Unis, elle dispose toutefois de la certification " hébergeur de données de santé " prévue par l'article L. 1111-8 du code de la santé publique, qui implique un audit régulier par un organisme accrédité. Eu égard à l'ensemble de ces circonstances et au vu des garanties dont est entourée la mise en oeuvre du projet, lequel n'est en outre autorisé que pour une durée de trois ans, le moyen tiré de ce que la délibération attaquée serait entachée d'erreur d'appréciation et méconnaîtrait les dispositions du RGPD citées au point 8 doit être écarté.
11. D'autre part, la CNIL n'a pas méconnu les dispositions du RGPD citées aux points 8 et 9 en constatant que le sous-traitant s'était donné les moyens d'assurer des garanties suffisantes, par la mise en oeuvre de mesures techniques et organisationnelles appropriées, visant à prévenir le risque pour les droits et libertés des personnes physiques. Au demeurant, la délibération attaquée n'autorise aucun transfert de données de santé à caractère personnel vers un pays tiers en dehors d'une instruction documentée du responsable de traitement. Par suite, et sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne d'une question préjudicielle en l'absence de doute raisonnable quant à l'interprétation des règles invoquées, la société requérante ne peut utilement se prévaloir de la méconnaissance des dispositions du paragraphe 3 de l'article 28 du RGPD.
12. En quatrième et dernier lieu, aux termes du V de l'article 31 de la loi du 21 mai 2024 visant à sécuriser et réguler l'espace numérique, lequel fixe les conditions dans lesquelles les administrations et opérateurs de l'Etat peuvent avoir recours à un service d'informatique en nuage fourni par un prestataire privé pour la mise en oeuvre de systèmes ou d'applications informatiques : " Dans un délai de six mois à compter de la promulgation de la présente loi, un décret en Conseil d'Etat précise les modalités d'application du présent article (...) ". Si les requérants soutiennent que ce délai était échu à la date de la délibération attaquée, cette circonstance est sans incidence sur le fait que les dispositions de cet article n'étaient, en l'absence d'intervention du décret en Conseil d'Etat à la date de la délibération attaquée, pas invocables à l'encontre de cette décision.
13. Il résulte de tout ce qui précède que les requérants ne sont pas fondés à demander l'annulation de la délibération qu'ils attaquent. La requête de l'association Les Licornes célestes et autres et celle de l'association Interhop et autres doivent, par suite, être rejetées, y compris leurs conclusions présentées au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : L'intervention de la société Clever Cloud et autres est admise.
Article 2 : Les requêtes de l'association Les Licornes célestes et autres et de l'association Interhop et autres sont rejetées.
Article 3 : La présente décision sera notifiée à l'association Les Licornes célestes, première dénommée sous le n° 503159, à l'association Interhop, première dénommée sous le n° 504171, à la société Clever Cloud, premier intervenant dénommé, et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 5 février 2026 où siégeaient : M. Bertrand Dacosta, président de chambre, présidant ; M. Olivier Yeznikian, conseiller d'Etat et M. Philippe Bachschmidt, maître des requêtes.
Rendu le 20 mars 2026.
Le président :
Signé : M. Bertrand Dacosta
Le rapporteur :
Signé : M. Philippe Bachschmidt
La secrétaire :
Signé : Mme Marie-Léandre Monnerville