Le Health Data Hub, la plateforme qui stocke nos données de santé, sera-t-il un jour hébergé par une entreprise française ou européenne ? La question est donc : elle est revenue sur la table ces derniers jours après plusieurs crowder reviews français (officiellement connu sous le nom de » » consultations ») animées par une Délégation Numérique Santé (DNS). projet de santé. Les managers d’OVHcloud, NumSpot et Cloud Temple m’ont expliqué tour à tour que le processus s’était fait hors caméra et s’était terminé il y a un mois sans grande communication. Même si cette démarche a eu l’avantage de toucher les hébergeurs français sur la base de la souveraineté numérique, elle ne s’est pas faite sans difficulté.
Permettez-moi de préciser d’emblée que, bien que sans précédent, ce processus n’était pas un appel d’offres pour reprendre le Health Data Hub (HDH) de Microsoft Azure. L’objectif était « d’évaluer la maturité de l’écosystème français pour comprendre dans quelle mesure les acteurs français peuvent gagner sur des marchés comme l’espace européen des données », a déclaré Sebastian, directeur de Cloud Temple.・M. Leskop estime que. Les critères d’évaluation ont été qualifiés de « surprenants » par certains et « injustes » par d’autres, mais les trois entreprises participantes ont trouvé le verre à moitié plein plutôt qu’à moitié vide.
Promesse d’un éventuel transfert vers des joueurs européens
Parce que l’histoire du HDH s’est faite sans eux. Et il n’y a pas de temps nuageux en Europe. En 2019, malgré les polémiques, le gouvernement décide d’externaliser l’hébergement de HDH, plateforme qui centralise les données de santé de 67 millions de Français, à Microsoft Azure. Cette infrastructure était destinée à permettre aux chercheurs d’accéder aux données associées aux visites à l’hôpital, aux prescriptions, aux remboursements et à mille et une autres informations issues des voyages médicaux.
À l’époque, cet incident avait fait beaucoup de bruit. En effet, en tant qu’entreprise américaine, Microsoft est soumise aux lois extraterritoriales américaines, dont la loi FISA, qui vient d’être prolongée jusqu’en avril 2024. Cette réglementation permet aux agences de renseignement américaines d’accéder aux données stockées par les hébergeurs américains, y compris ceux en Europe. L’externalisation de « cette mine d’or » à des acteurs non européens a été analysée comme une abdication franche et totale de la souveraineté européenne, en plus d’une occasion manquée de soutenir la croissance des acteurs locaux par le biais des marchés publics.
A lire aussi : OVH dans le Cloud européen : « Parler de souveraineté n’est pas un gros mot »
Si cette question a fait polémique, c’est aussi parce qu’un véritable appel d’offres n’a pas été lancé. Pour justifier leur choix, les décideurs politiques ont expliqué qu’en 2019, il n’existe pas de fournisseur de cloud français comparable à Microsoft Azure. Puis est venu le temps de s’engager sur la possibilité d’émigrer vers la France ou vers un pays d’accueil en Europe. Olivier Véran, alors ministre de la Santé, parlait en 2020 d' »une nouvelle solution technique dans les délais les plus courts possibles, du 12 au 12″. Et 18 mois. Ensuite, le communiqué de la directrice de la plateforme, Stéphanie Combe, fait référence à un trimestre 2025 assez lointain. Et même si le sujet est revenu l’année dernière lors des discussions lors de l’adoption de la loi SREN, rien ne semblait vraiment avancer sur le HDH. Terrain et logement.
A lire aussi : « C’est une bombe » : les législateurs affirment que la loi américaine sur le renseignement met en danger notre souveraineté numérique
Appel d’offres pour une plateforme européenne de données de santé
Jusque là ? Jusqu’à ce qu’un événement extérieur survienne et fasse avancer l’affaire. En juillet 2022, HDH, à la tête d’un consortium européen d’entreprises, a remporté l’appel d’offres européen. Il appartiendra aux lauréats de développer un espace européen des données de santé auquel seront connectées plusieurs plateformes européennes de santé similaires à HDH (un projet baptisé EMC2). Suite à cet événement, 16 mois plus tard, un message arrive dans la boîte e-mail d’un des patrons de Crowder en France.
En novembre dernier, le directeur de Cloud Temple, Sébastien Lescop, se souvient : « Nous avons reçu un mail de DNS nous demandant si nous souhaitions participer à une consultation ». Le cadre était clair. « Une task force devait être créée pour benchmarker les solutions françaises susceptibles de répondre aux enjeux d’EMC2 », rapporte-t-il. Cette évaluation du marché est un préalable indispensable pour que la plateforme actuelle HDH soit autorisée par la CNIL à développer cet espace européen.
Même si trois crowders nous ont rapporté la même version et qu’Octave Klaba, le fondateur d’OVHcloud, l’a publiquement rapporté sur les réseaux sociaux le 30 décembre, aucune communication officielle n’annonce cette démarche. Malgré plusieurs demandes de renseignements, DNS ne répondait pas aux demandes au moment de la publication de cet article. La CNIL a révélé à 01net qu’une décision avait bien été prise concernant EMC2 le 21 décembre. Cependant, « cela ne sera publié que prochainement au Journal officiel ».
D’énormes fichiers Excel, des réunions et des « surprises »
Concrètement, trois participants ont reçu une lettre de mission avec un « énorme fichier Excel ». Cela comprenait les exigences techniques demandées par HDH pour accueillir le projet européen. C’était une première pour nous car aucune plateforme n’avait communiqué les besoins de ce domaine auparavant.
Au cours de la consultation de trois semaines, des réunions ont eu lieu entre les candidats et la task force, une équipe composée de membres de l’Autorité numérique interagences (DINUM), de l’Agence numérique de santé (ANS) et du DNS travaillant avec HDH Ta. On se suit. Une « surprise » aussi : « C’était un parcours du combattant où chaque pas en avant ajoutait un critère », résume Michel Paulin, directeur général d’OVHcloud. Cela aurait conduit les entreprises à abandonner le processus, a-t-il ajouté. Le manager de Numspot, Alan Isarni, a reconnu la « courte période de consultation nécessitant un préavis court et la mobilisation d’une équipe très solide » et les « exigences qui ont néanmoins considérablement évolué au cours de la consultation ».
6 changements de spécifications
C’est très simple. « Le framework (besoins techniques requis, ndlr) a été modifié six fois. Il est passé de 165 exigences et normes à 262. Il est passé de 200 cas d’usage à 466 au final » explique Michel Paulin. C’est comme changer les spécifications six fois au cours d’un audit. Mais malgré ce qui a été décrit comme un « chaos total », les fouleurs français estiment que l’approche reste positive.
« Dans le passé, lorsque nous demandions à HDH ce dont nous avions besoin, ils nous répondaient : « Nous avons besoin du catalogue Microsoft Azure ». Mais cela n’a pas de sens d’acheter une Ferrari pour rouler sur le périphérique à 70 ans. , » dit Cloud.・Les membres de l’équipe du Temple expliquent. Autrement dit, une chose est de fournir exactement les mêmes services qu’un hyperscaler aux États-Unis, et une autre est de répondre aux besoins spécifiques de cette plateforme de données de santé. Un autre problème est que jusqu’à récemment, les « évaluations » des capacités techniques des hébergeurs français étaient réalisées uniquement par des cabinets de conseil à des moments précis, sans l’implication des principales parties prenantes.
La CNIL aurait enfin validé Azure comme espace de données européen
La consultation a permis aux crowders français de montrer de quoi ils sont capables, et « depuis six mois » leurs capacités sont connues au sein du DNS et du HDH, précise Sébastien Lescop. La partie française de Crowder comprend bien les besoins réels du HDH, même si les exigences affichées ne concernent pas le HDH français mais un projet européen.
Ainsi, même si les trois dirigeants estiment que les négociations ont donné des résultats positifs, certains regrettent le « cadre fixe » de la procédure. Alain Issarni, responsable de NumSpot, explique que la récente mise à jour a été réalisée spécifiquement parce que le référentiel actuellement requis pour les données de santé n’est pas HDS mais « toutes les solutions nécessitaient SecNumCloud ». L’entreprise a travaillé avec Outscale dans le cadre d’une « consultation ». .
Dans le monde des labels de cybersécurité cloud, SecNumCloud est la certification la plus élevée. Il garantit l’immunité face aux lois extraterritoriales américaines. Et si les trois crowders participant aux négociations qualifient certains de leurs services de SecNumcloud, proposant des solutions d’hébergement protégées par la loi américaine, alors « actuellement, les crowders français. Ce n’est un secret pour personne que ces trois tiers (dans le Cloud – IAAS, PAAS, SAAS, ndlr) ne répondent pas à cette norme, et il faut beaucoup de temps pour obtenir cette certification. Pour obtenir ces informations, il suffit de se rendre sur le site de l’Anssi », souligne Alain Issarni, responsable de Numspot.
En d’autres termes, exiger un tel label pour tous les services cloud exclurait de fait les fournisseurs de cloud français. Certains concluent que le but de cette procédure est que le HDH s’adresse à la CNIL et dise : « Écoutez, nous ne sommes pas prêts pour le cloud français ». Résultat, « nous avons découvert fin décembre que le dossier déposé et approuvé par la CNIL installait ce projet EMC2 dans le même environnement que HDH, à savoir Azure », nous explique Alain Issarni.
Pas de SecNumCloud nulle part, pas d’hébergement de plateforme
« Les exigences SecNumCloud à tous les niveaux sont d’autant plus surprenantes que Microsoft Azure ne dispose pas de cette certification », précise Michel, directeur général d’OVHcloud, qui vient d’annoncer le troisième data center de Gravelines proposant le service SecNumCloud.
Autrement dit, « on nous dit : ‘Vous êtes un SecNumCloud dans l’IAAS et vous avez l’ambition d’être un SecNumCloud de niveau supérieur, mais vous n’y êtes pas aujourd’hui (le processus de certification est très compliqué). C’est un problème car vous n’y êtes pas. Nous n’allons donc pas vous choisir, nous allons donc nous en tenir à l’alternative non SecNumCloud (Microsoft Azure). » explique Issarni.
En tant que société américaine soumise à la loi américaine, Microsoft Azure ne peut pas prétendre à SecNumCloud. Dès lors, «Pourquoi n’avons-nous pas choisi une infrastructure plus conforme aux principes nationaux du cloud pour ce projet européen ?», s’interroge le directeur de Numspot.
En mai 2023, le gouvernement a recommandé le recours à des prestataires labellisés SecNumCloud pour les données sensibles, notamment les données de santé, dans une circulaire faisant évoluer les principes cloud de l’État (pour devenir « cloud-centric »). L’objectif est que l’entreprise en question bénéficie d’une immunité suffisante contre l’extraterritorialité. La circulaire prévoit toutefois des dérogations, notamment pour les projets déjà en cours, et HDH en fera probablement partie.
Michel Paulin estime que la vraie question est en réalité quasi-politique : « Aujourd’hui, les données médicales confidentielles de santé sont cédées à des tiers (aux États-Unis, ndlr) dans des conditions qui ne peuvent être comprises. Loin de résoudre le problème, les négociations ont finalement abouti à des « réparations » en décembre. Plus précisément, les participants ont été informés du « taux de conformité de l’offre à ce jour et sur 6 mois ». Cela suffit à démontrer la possibilité de répondre aux exigences techniques attendues du HDH. Et s’il semble que le French Crowder n’ait pas pu satisfaire aujourd’hui la plateforme de données médicales, la procédure « reviendra au French Crowder fin 2024 pour faire le point sur l’avancement des travaux sur les différents services ». une nouvelle promesse. dit Sébastien Leskop. Cette nouvelle étape devrait donner lieu à un appel d’offres pour le rachat de Microsoft Azure sur HDH. Il s’agit d’un document très attendu qui devrait être soumis dès l’année prochaine.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
