NHS England accorde à Palantir un accès admin illimité aux données patients identifiables
Un document interne du NHS England, rédigé par un haut responsable des données en avril 2026 et consulté par le Financial Times, décrit la création d'un rôle administrateur qui accorde aux personnels extérieurs — dont les employés de Palantir et les consultants recrutés pour travailler sur le Federated Data Platform — un accès illimité aux données patients identifiables dans le National Data Integration Tenant.
Le NDIT est la couche centrale du FDP où convergent les données issues des différents systèmes du NHS avant pseudonymisation et redistribution. C'est le point de traitement où les données sont encore nominatives. L'accès admin à ce compartiment spécifique est, par construction, un accès aux informations les plus sensibles de la chaîne.
La procédure actuelle exige de chaque individu travaillant sur le NDIT une demande d'accès explicite et ciblée sur des jeux de données spécifiques. Le nouveau rôle supprime cette friction. La note interne du NHS reconnaît que l'impulsion vient du terrain : les procédures d'approbation existantes étaient jugées trop restrictives et opérationnellement pénalisantes.
Ce que dit le document
La note, citée par le FT, indique : "This is not only about Palantir, hence we have referred to non-NHSE staff, but there is currently considerable public interest and concern about how much access to patient data Palantir/Palantir staff have." Le document recommande en réponse de plafonner le nombre d'admins externes et de limiter ces permissions dans le temps avec des revues régulières. Il décrit lui-même le risque d'une perte de confiance publique.
Un document qui documente ses propres risques et les recommande comme atténuations est un document qui n'a pas bloqué la décision.
£330 millions, appel d'offres écourté
Palantir a remporté le contrat FDP en novembre 2023 — 330 millions de livres, sept ans, avec option d'extension. L'appel d'offres avait suscité des critiques immédiates pour sa durée anormalement courte et son manque de transparence. Des concurrents avaient signalé que Palantir bénéficiait d'un avantage de départ en ayant hérité de l'infrastructure technique du NHS Covid-19 Data Store, construit pour une livre symbolique en 2020 pendant la pandémie, puis reconduit par une série d'extensions jusqu'en 2023. NHS England avait démenti toute irrégularité dans la procédure.
Depuis 2023, Palantir a étendu son empreinte dans les administrations britanniques : contrat de 240 millions de livres avec le ministère de la Défense en décembre 2025 — attribué sans appel d'offres concurrent — puis contrat de trois mois avec la Financial Conduct Authority en mars 2026 pour analyser les données internes de la régulation financière. Au total, une investigation de The Nerve publiée en janvier 2026 a identifié au moins 34 contrats actifs ou passés de Palantir avec au moins dix départements de l'administration britannique, pour une valeur documentée d'au moins 670 millions de livres.
La résistance interne
L'Association médicale britannique (BMA), qui représente plus de 200 000 médecins, a voté en juin 2025 pour s'opposer au déploiement du FDP. En février 2026, son président Tom Dolphin a adressé une lettre au British Medical Journal demandant aux médecins de cesser immédiatement tout usage non clinique de la plateforme Palantir : "It is the view of the BMA that doctors working in the NHS can no longer provide the tacit endorsement that using a product implies."
Les données de déploiement confirment la résistance. Selon les réponses à des demandes d'accès à l'information (FOI) compilées par Corporate Watch, seuls 34 trusts — soit moins de 15 % du total — utilisaient activement la plateforme au moment de l'enquête. Plusieurs ICB et trusts ont explicitement refusé d'adopter le FDP en le décrivant comme inférieur aux systèmes existants. Un analyste data du NHS avait déclaré en juillet 2025 que Power BI et Tableau étaient "quicker, easier, and far more intuitive" que le FDP.
Saif Abed, fondateur d'un cabinet de conseil en cybersécurité spécialisé dans la santé, a réagi à l'annonce du 11 mai : "I fear lessons have not been learnt from the recent UK Biobank incident which itself is a national scandal. Granting admin access should never be done lightly and certainly not at scale. We are one admin compromise, such as with an Infostealer malware, or insider threat away from a data breach of unseen proportions in terms of UK patient data." La mention de l'Infostealer n'est pas rhétorique — le vecteur d'attaque existe, documenté, ciblant précisément ce type d'accès admin.
La position contractuelle de Palantir
Palantir maintient une position constante depuis 2023 : la société est "data processor" au sens du droit britannique de protection des données, pas "data controller". Cela signifie que Palantir traite les données selon les instructions du NHS, pas de manière autonome. Un porte-parole a déclaré le 11 mai : "That means that Palantir software can only be used to process data precisely in line with the instruction of the customer."
La distinction juridique est correcte. Elle ne répond pas à la question posée par le document interne du NHS : qui contrôle effectivement ce qu'un admin extérieur fait avec un accès illimité à des données identifiables, en temps réel, dans un compartiment conçu comme une zone de transit avant protection ?
NHS England a précisé que tout accès externe requiert une habilitation de sécurité gouvernementale et une approbation d'un directeur NHS. Ces contrôles s'appliquent à l'entrée dans le système. Ils ne s'appliquent pas à ce que l'admin peut consulter une fois à l'intérieur.
2027
La clause de résiliation du contrat FDP devient activable en 2027. Des ministres et des fonctionnaires ont demandé des avis juridiques sur les conditions d'exercice de cette clause, selon plusieurs sources citées par la presse britannique. La BMA appelle explicitement au déclenchement de la clause et à un nouvel appel d'offres. L'Écosse a lancé ce mois-ci MyCare.scot, une application développée en interne par le NHS écossais, décrite par le cabinet médical écossais comme la plus complète du Royaume-Uni — sans Palantir.
En 2013, le programme care.data avait tenté une centralisation similaire des données de médecine générale du NHS. Il avait été abandonné en 2016 après un opt-out massif de 1,2 million de patients, des critiques sur le manque de consultation et la présence d'acteurs privés. Un sondage YouGov réalisé avant l'attribution du contrat FDP à Palantir montrait que près de la moitié des adultes britanniques envisageraient de retirer leur consentement au partage de données avec le NHS si Palantir était impliqué.
L'accès admin illimité accordé à des contractants d'une société américaine liée aux services de renseignement et à l'application des lois d'immigration, sur des données patients nominatives, documenté par un note interne qui signale elle-même le risque pour la confiance publique — et publié par le FT le jour même de la mise en place — n'est pas le scénario que les équipes de communication du NHS avaient prévu.
TL;DR
NHS England accorde aux contractants Palantir un accès admin illimité aux données patients identifiables dans le compartiment de transit de son Federated Data Platform — et le document interne qui décrit cette décision l'identifie lui-même comme un risque pour la confiance publique.
- Le NDIT, couche du FDP où transitent les données avant pseudonymisation, est le point le plus sensible de l'architecture : l'accès admin y est, par construction, un accès aux informations nominatives complètes avant tout traitement de protection.
- La résistance au déploiement est documentée : moins de 15 % des trusts NHS utilisent activement le FDP, la BMA recommande aux médecins de cesser tout usage non clinique de la plateforme, plusieurs trusts ont explicitement refusé l'adoption en décrivant le système comme inférieur à l'existant.
- La clause de résiliation est activable en 2027 — des avis juridiques ont été demandés sur les conditions d'exercice, pendant que l'Écosse déploie son propre système développé en interne.
Questions fréquentes
Palantir peut-il techniquement accéder aux données patients britanniques depuis les États-Unis?
Le contrat FDP stipule que toutes les données sont stockées, traitées et accédées au Royaume-Uni, sans traitement outre-mer. C'est une exigence contractuelle. La question soulevée par la note interne du 11 mai n'est pas le lieu de stockage mais l'absence de granularité dans les contrôles d'accès une fois l'admin autorisé dans le système — en territoire britannique.
Qu'est-ce que cette situation implique pour les DSI d'autres organisations du secteur public?
L'affaire NHS/Palantir illustre un risque structurel dans tout contrat d'infrastructure data externalisée à un prestataire en mode opérateur : la frontière entre "processeur de données" légalement contrôlé et accès opérationnel effectif aux données brutes se fragilise quand les équipes du prestataire ont besoin d'accès admin pour faire fonctionner le système. La question à poser aux prestataires n'est pas "qui est data controller" mais "qui peut voir quoi, quand, sans log accessible au donneur d'ordre en temps réel".
L'Écosse fait-elle vraiment mieux avec MyCare.scot?
MyCare.scot vient de commencer son déploiement ce mois-ci — il est trop tôt pour évaluer ses performances en production. Ce qui est factuel : il a été développé en interne par le NHS écossais, il n'implique pas de prestataire privé américain lié aux renseignements, et son cabinet médical le décrit comme le plus complet du Royaume-Uni. La comparaison sera instructive dans 18 mois.