Cette fiche distingue trois dispositifs distincts aux régimes juridiques différents : le SNDS (données pseudonymisées de 70 M de bénéficiaires, accès encadré par la CNIL), Mon espace santé (dossier médical numérique, opt-out depuis 2022), et les entrepôts de données hospitaliers (EDS) (bases propres à chaque établissement). Ne pas confondre leurs finalités, leurs accès et leurs garanties.
Les trois dispositifs
SNDS
Système National des Données de Santé. 70 M+ de bénéficiaires de l'Assurance maladie. Données pseudonymisées (soins, médicaments, hospitalisations). Accès : chercheurs, industriels de santé, ARS — après autorisation CNIL.
Mon espace santé
Dossier Médical numérique créé pour chaque Français (opt-out depuis fév. 2022). Nominatif pour les professionnels de santé habilités. Patient maître de ses données. Accès strictement limité aux soignants.
Entrepôts hospitaliers (EDS)
Chaque hôpital peut créer son propre entrepôt de données. Données nominatives internes. Finalité : recherche et amélioration des soins. Multiplication rapide depuis 2020.
En bref
La France dispose de l'une des bases de données de santé les plus complètes d'Europe : le SNDS couvre 70 millions de bénéficiaires avec leurs données de soins depuis 2016. Mon espace santé (lancé en 2022) crée un dossier médical numérique pour chaque Français par défaut — le passage de l'opt-in à l'opt-out est la rupture principale. L'accès au SNDS est encadré par la CNIL et la Commission d'accès aux données de santé (CADS), avec des finalités précises.
Les points de vigilance sont au nombre de trois. D'abord, la pseudonymisation du SNDS n'est pas une anonymisation : le NIR (numéro de sécurité sociale) est un quasi-identifiant qui permet une réidentification théorique par croisement de données. Ensuite, la controverse du Health Data Hub hébergé sur Microsoft Azure (soumis au Cloud Act américain) — le Conseil d'État a autorisé cette situation provisoirement en 2021, et une migration vers un hébergeur français était en cours. Enfin, la multiplication des entrepôts hospitaliers (EDS) crée de nouveaux silos de données nominatives dont la sécurité est variable.
Ce qu'il faut retenir
🔒SNDS pseudonymisé ≠ anonymisé — Le NIR (numéro de sécu) est utilisé comme identifiant chiffré dans le SNDS. C'est un quasi-identifiant : croisé avec l'âge, la commune et des pathologies rares, une réidentification reste théoriquement possible.
📱Mon espace santé est opt-out — Chaque Français a un compte créé par défaut. Il peut s'y opposer. Les données ne sont accessibles qu'aux professionnels de santé habilités par le patient, pas à des assureurs ou employeurs.
🏢Accès chercheurs et industriels encadré — Des entreprises pharmaceutiques peuvent accéder au SNDS pour la recherche, avec autorisation CNIL et finalité définie. Ce n'est pas un accès commercial libre.
☁️Health Data Hub / Microsoft Azure — Hébergement contesté du point de vue de la souveraineté (Cloud Act américain). Migration vers un hébergeur français en cours. Le Conseil d'État a autorisé provisoirement la situation existante.
📈EDS hospitaliers en expansion — La multiplication d'entrepôts de données hospitaliers locaux crée de nouveaux dépôts de données nominatives dont les garanties de sécurité et les règles d'accès varient d'un établissement à l'autre.
Garanties prévues
RGPD art. 9Les données de santé sont une catégorie "sensible" au sens du RGPD. Leur traitement exige une base légale spécifique, des mesures de sécurité renforcées et l'encadrement de la CNIL.
CNILLa CNIL délivre les autorisations d'accès au SNDS, contrôle les entrepôts de données de santé et supervise les traitements de Mon espace santé.
Commission d'accès (CADS)La Commission d'accès aux données de santé examine les demandes d'accès au SNDS et rend un avis public — garantie de transparence.
Opt-out Mon espace santéChaque patient peut s'opposer à la création de son dossier (opt-out), limiter les professionnels y ayant accès, ou fermer son compte à tout moment.
Analyse par niveaux
N1
SNDS : ce que le texte de loi prévoit exactement
▼
Le Système National des Données de Santé (SNDS) a été créé par la loi de modernisation du système de santé n° 2016-41 du 26 janvier 2016. Il regroupe plusieurs bases :
- SNIIRAM (Système national d'information inter-régimes de l'Assurance maladie) : données de remboursements de soins de tous les assurés
- PMSI (Programme de médicalisation des systèmes d'information) : données d'hospitalisation (diagnostic, actes, durée)
- CépiDC : causes médicales de décès
- MDPH : données de la Maison départementale des personnes handicapées
Qui peut accéder au SNDS ?
- Accès permanent : CNAM, ARS, HAS, InVS (santé publique) — sans autorisation préalable CNIL
- Accès sur autorisation : chercheurs publics et privés, industriels de santé — après avis CADS + autorisation CNIL
- Accès interdit : assureurs privés, employeurs, organismes à but lucratif sauf finalité de santé
Les données sont accessibles via une plateforme sécurisée de type "data room" — les chercheurs travaillent sur les données sans pouvoir les extraire. C'est une garantie technique importante.
N2
Pseudonymisation ≠ anonymisation : le risque de réidentification
▼
Idée reçue
Le SNDS est anonyme — personne ne peut savoir qui vous êtes dans la base.
Réalité (CNIL, rapport 2022)
Le SNDS est pseudonymisé, pas anonymisé. Les noms sont remplacés par un identifiant chiffré dérivé du NIR (numéro de sécurité sociale). Pour les pathologies rares, les cas uniques dans certaines communes, ou par croisement avec d'autres bases de données publiques, une réidentification reste théoriquement possible. La pseudonymisation réduit le risque mais ne l'élimine pas.
Pourquoi le NIR est un quasi-identifiant :
- Le NIR encode : sexe, année de naissance, mois, département et commune de naissance. Ce n'est pas un identifiant "neutre".
- Un même individu a le même identifiant chiffré dans toutes les bases composant le SNDS → les données peuvent être linkées de manière longitudinale
- Pour les maladies rares (moins de 50 patients par année dans certains territoires), le seul fait d'avoir eu tel soin à telle date et dans telle commune peut suffire à identifier la personne
La CNIL reconnaît ce risque et l'encadre via des restrictions d'accès, mais ne peut pas prétendre que le SNDS est totalement anonyme au sens du RGPD.
N3
Mon espace santé — mécanismes et opt-out
▼
Mon espace santé (MES) est le dossier médical numérique prévu par la loi n° 2019-774 du 24 juillet 2019 (Organisation et Transformation du Système de Santé) et opérationnel depuis l'arrêté du 21 janvier 2022. Chaque Français a reçu une notification lui proposant d'activer ou de désactiver son espace — en l'absence de réponse, l'espace est créé (opt-out).
Ce que contient MES :
- Ordonnances électroniques, résultats de biologie et imagerie partagés par les soignants
- Vaccinations, antécédents, traitements en cours
- Documents médicaux téléversés par le patient ou ses soignants
- Messagerie sécurisée avec les professionnels de santé
Qui peut accéder à MES ?
- Le patient lui-même (via Pro Santé Connect ou France Identité)
- Les professionnels de santé habilités que le patient a autorisés (ou son médecin traitant par défaut)
- Les soignants en urgence vitale (accès bris de glace, tracé)
- Personne d'autre — ni assureurs, ni employeurs, ni l'administration fiscale
Point de vigilance : Les données de MES sont hébergées par des prestataires certifiés HDS (Hébergeur de Données de Santé). La sécurité dépend donc de la robustesse de ces hébergeurs. Une cyberattaque réussie contre un hébergeur HDS exposerait des données nominatives de santé de millions de personnes — sans possibilité de "changer de mot de passe" pour ses antécédents médicaux.
N4
Health Data Hub / Microsoft Azure — la controverse de souveraineté
▼
Le GIE Health Data Hub (HDH) a été créé par arrêté du 29 novembre 2019 pour centraliser l'accès aux données de santé à des fins de recherche en intelligence artificielle. L'infrastructure technique choisie : Microsoft Azure.
Le problème : Microsoft est une entreprise américaine soumise au Cloud Act (2018), qui autorise les autorités américaines à demander l'accès aux données hébergées par des entreprises américaines, même sur des serveurs situés en Europe. En d'autres termes : les données de santé de millions de Français pourraient théoriquement être accessibles aux autorités américaines.
La procédure judiciaire :
- La CNIL a jugé la situation préoccupante mais n'a pas ordonné l'arrêt immédiat
- Le Conseil d'État (ordonnance du 13 octobre 2021) a autorisé provisoirement le maintien de l'hébergement sur Azure, à condition que Microsoft s'engage contractuellement à ne pas transférer les données hors UE
- Une migration vers un hébergeur souverain français était inscrite comme obligation à terme
Cette affaire illustre la tension entre la rapidité d'innovation (Azure offrait des capacités d'IA que les hébergeurs français n'avaient pas en 2019) et les exigences de souveraineté des données de santé.
N5
Scénario : valorisation commerciale et profilage médical
▼
Le risque à long terme n'est pas l'accès direct non autorisé aux données — les garanties actuelles sont robustes sur ce plan. Le risque est la combinaison de plusieurs évolutions :
- Élargissement des finalités d'accès au SNDS : pression des industriels de santé pour un accès plus large à des fins de développement de médicaments, diagnostics IA, prévention. Chaque élargissement est présenté comme bénéfique pour la santé publique — et l'est souvent — tout en augmentant le périmètre d'accès.
- Croisement avec des données commerciales : rien n'interdit aujourd'hui de croiser des données SNDS (pseudonymisées) avec des données comportementales collectées par d'autres acteurs. La réidentification devient plus facile à mesure que les bases de données commerciales grossissent.
- Multiplication des EDS hospitaliers : chaque hôpital crée son entrepôt, avec des pratiques de sécurité variables. La surface d'attaque augmente proportionnellement au nombre de silos.
- IA médicale prédictive : un modèle entraîné sur le SNDS peut prédire la probabilité de développer certaines maladies. Si ce modèle est utilisé par un assureur ou un employeur (via une société intermédiaire), il constitue une forme de discrimination médicale sans accès direct aux données.
La ligne de défense principale reste la CNIL et le cadre légal d'accès. Le vrai risque est son érosion progressive sous des pressions économiques et de santé publique légitimes.
Score détaillé
| Critère | Poids | Note |
| Périmètre des données collectées | 15 | 10/15 |
| Risques de réidentification | 15 | 9/15 |
| Durée de conservation | 10 | 7/10 |
| Contrôle indépendant (CNIL + CADS) | 13 | 8/13 |
| Droits des personnes (opt-out, accès) | 12 | 9/12 |
| Capacité d'extension des traitements | 15 | 10/15 |
| Réversibilité des traitements | 10 | 5/10 |
| Score total | 58/100 |
Réversibilité
Faible pour les fuites
Le cadre légal est réversible (lois ordinaires). En revanche, une fuite de données de santé est irréversible par nature : on peut changer un mot de passe, pas ses antécédents médicaux. La réversibilité concerne le cadre, pas les conséquences d'une compromission. Un hébergeur certifié HDS piraté expose définitivement les données.
Avant / Après les grandes ruptures
Avant 2016
Données de santé dispersées dans plusieurs bases non interconnectées. Accès réservé à l'Assurance maladie et aux ARS. Dossier médical partagé (DMP) : opt-in, très peu adopté. Pas de plateforme de recherche centralisée.
Après 2016–2022
SNDS : données centralisées de 70 M de bénéficiaires, accessibles aux chercheurs sur autorisation. Mon espace santé : DMP numérique opt-out pour tous les Français (2022). Health Data Hub : plateforme de recherche IA centralisée. Entrepôts hospitaliers en multiplication.
Chronologie
jan. 2016
Loi n° 2016-41 — Loi de modernisation du système de santé. Création du SNDS par fusion du SNIIRAM, PMSI et CépiDC.
mai 2018
RGPD applicable — Les données de santé (art. 9) bénéficient d'un régime de protection renforcé. La CNIL renforce son contrôle sur les accès au SNDS.
nov. 2019
Création du Health Data Hub (GIE, arrêté du 29 nov. 2019) — Plateforme centralisée pour la recherche en IA santé. Infrastructure : Microsoft Azure.
2020
COVID-19 : accès accéléré au SNDS pour la recherche épidémiologique. Premières contestations de l'hébergement HDH sur Azure (CNIL, associations).
oct. 2021
Ordonnance CE du 13 octobre 2021 — Le Conseil d'État autorise provisoirement le maintien d'Azure pour le HDH, sous conditions. Migration vers hébergeur français imposée à terme.
fév. 2022
Mon espace santé — Déploiement national de l'espace de santé numérique (opt-out). Arrêté du 21 janvier 2022. Notifications envoyées à 67 M d'assurés.
2023–26
Multiplication des entrepôts de données hospitaliers (EDS). Migration HDH en cours. Croissance de l'utilisation du SNDS pour la recherche en IA médicale.
Sources et références
📄Loi n° 2016-41 du 26 janvier 2016 — Création du SNDS, périmètre et gouvernance.
📄Arrêté du 21 janvier 2022 — Mon espace santé, conditions de création et d'accès.
🏛️Ordonnance CE du 13 octobre 2021 — Health Data Hub / Microsoft Azure, conditions d'hébergement provisoire.
🏛️CNIL — Délibérations SNDS — Conditions d'accès, pseudonymisation, contrôle des traitements.
🇪🇺RGPD, art. 9 — Traitement des données de santé : catégorie "sensible", base légale spécifique obligatoire.
📄Rapport CNIL 2022 sur la pseudonymisation — Analyse des risques de réidentification dans les bases de données de santé.
Questions fréquentes
Mon espace santé partage-t-il mes données automatiquement ?
▼
Non. Mon espace santé est opt-out (compte créé par défaut si vous ne vous y êtes pas opposé), mais l'accès aux données reste limité aux professionnels de santé que vous avez habilités ou à votre médecin traitant. Il n'y a pas de partage automatique avec des assureurs privés, des employeurs ou des entreprises commerciales.
Le SNDS permet-il d'identifier les patients par leur nom ?
▼
Pas directement. Le SNDS est pseudonymisé — les noms sont remplacés par un identifiant chiffré dérivé du NIR. Mais la pseudonymisation n'est pas une anonymisation : pour des pathologies rares ou par croisement avec d'autres bases, une réidentification reste théoriquement possible. La CNIL surveille ce risque et encadre les accès pour le limiter.
Des entreprises privées peuvent-elles accéder aux données du SNDS ?
▼
Oui, sous conditions strictes. Des entreprises de santé (laboratoires pharmaceutiques, sociétés de recherche privées) peuvent accéder au SNDS pour des finalités de recherche, d'innovation ou de santé publique, après autorisation CNIL et avis de la Commission d'accès. L'accès est temporaire, sur une plateforme sécurisée, sans extraction de données brutes.
Pourquoi le Health Data Hub était-il hébergé sur Microsoft Azure ?
▼
Le GIE Health Data Hub a choisi Azure en 2019 pour ses capacités d'IA et de traitement à grande échelle, que les hébergeurs français n'offraient pas à l'époque. Cette décision a été très contestée : Microsoft est soumis au Cloud Act américain, qui permet aux autorités américaines d'accéder aux données hébergées par des entreprises US même en Europe. Le Conseil d'État a autorisé cette situation provisoirement en 2021. Une migration vers un hébergeur souverain français était en cours à la date de rédaction.