Le Health Data Hub, la plateforme qui stocke nos données de santé, sera-t-elle un jour hébergée par une société française ou européenne ? La question est donc revenue sur la table ces derniers jours, après l’évaluation – officiellement, la « consultation » – de plusieurs clouders français, pilotée par la Délégation du Numérique en Santé (DNS), une branche du ministère de la Santé chargée des chantiers de e-santé. La procédure, qui s’est déroulée loin des caméras et sans grande communication, s’est achevée un mois plus tôt, nous ont expliqué, à tour de rôle, les dirigeants d’OVHcloud, de NumSpot et de Cloud Temple. Si la procédure a eu le mérite de tendre la main aux hébergeurs français sur fonds de souveraineté numérique, elle ne s’est pas déroulée sans difficultés. Pas de communication officielle, des exigences techniques qui changent six fois en cours de consultation, un « grand bazar », avec, à la fin, Microsoft Azure qui gagne ? Récit de cette nouvelle étape dans le feuilleton de l’hébergement des données de santé.
Disons-le tout de suite : bien qu’inédit, ce processus n’était pas un appel d’offres destiné à prendre la suite de Microsoft Azure pour le Health Data Hub (HDH). L’objectif était « d’évaluer la maturité de l’écosystème français pour savoir dans quelle mesure un marché comme l’Espace européen des données pouvait être remporté par des acteurs français », estime Sébastien Lescop, à la tête de Cloud Temple. Bien que les conditions de l’évaluation aient été décrites comme « surprenantes » pour les uns, « inéquitables » pour les autres, les trois sociétés participantes ont préféré voir le verre à moitié plein plutôt qu’à moitié vide.
Les promesses d’une possible migration vers un acteur européen
Car l’histoire du HDH s’est faite, jusqu’à présent, sans eux. Et sans clouders européens. En 2019, le gouvernement décidait de confier, malgré la polémique, l’hébergement du HDH, la plateforme qui centralise les données de santé des 67 millions de Français, à Microsoft Azure. Cette infrastructure était destinée à rendre accessible aux chercheurs les datas liées à nos passages à l’hôpital, nos ordonnances, nos remboursements et les mille et une autres informations issues de nos parcours médicaux.
À l’époque, l’affaire avait fait grand bruit, car Microsoft, en tant que société américaine, est soumise aux lois extraterritoriales américaines, dont la loi FISA, qui vient d’être prolongée jusqu’en avril 2024. Avec cette règlementation, les agences de renseignement américaines peuvent avoir accès aux données stockées par les hébergeurs américains, y compris en Europe. Confier « cette mine d’or » à un acteur non européen avait été analysé comme un renoncement franc et massif à la souveraineté européenne – en plus d’être une occasion manquée de faire grandir les acteurs locaux, via la commande publique.
A lire aussi : OVH sur le Cloud européen : « Parler de souveraineté, ce n’est pas un gros mot »
Si l’affaire avait fait polémique, c’est aussi parce qu’aucun appel d’offres en bonne et due forme n’avait été lancé. Pour justifier leur choix, les décideurs politiques expliquaient qu’aucun clouder français n’arrivait, en 2019, à la cheville de Microsoft Azure. Était ensuite venu le temps des promesses d’une possible migration vers un hébergeur français ou européen : celle d’Olivier Véran, alors ministre de la Santé, qui évoquait en 2020 « une nouvelle solution technique » dans un « délai qui soit autant que possible compris entre 12 et 18 mois ». Celle ensuite de Stéphanie Combes, aux manettes de la plateforme, mentionnant plutôt un lointain trimestre 2025. Et bien que les débats pendant l’adoption de la loi SREN aient remis le sujet sur la table l’année dernière, rien ne semblait réellement bouger sur le terrain du HDH et de son hébergement.
L’appel d’offres pour une plateforme européenne des données de santé
Jusqu’à ? Jusqu’à ce qu’un événement extérieur ne vienne faire avancer le dossier. En juillet 2022, le HDH, à la tête d’un consortium de sociétés européennes, gagnait un appel d’offres européen. À charge pour les lauréats de développer un espace européen des données de santé dans lequel plusieurs plateformes de santé européennes similaires au HDH (un projet appelé l’EMC2) seraient connectées. L’événement va aboutir, 16 mois plus tard, à ce qu’un message finisse dans les boîtes email des patrons de certains Clouders français.
En novembre dernier, se remémore Sébastien Lescop à la tête de Cloud Temple, « j’ai reçu un courriel de la DNS qui demandait si on souhaitait participer à une consultation ». Le cadre était clair : « Une task force allait être mise en place pour benchmarker les solutions françaises qui pourraient répondre aux enjeux du EMC2 », rapporte-t-il. Cette évaluation du marché serait un préalable indispensable pour que le HDH, la plateforme actuelle, soit autorisée par la CNIL à développer cet espace européen.
Si les trois clouders nous ont rapportés la même version, et qu’Octave Klaba, le fondateur d’OVHcloud, en fait publiquement état le 30 décembre dernier sur les réseaux sociaux, aucune communication officielle n’a annoncé cette procédure. Contactée à plusieurs reprises, la DNS n’avait pas répondu à nos sollicitations, à l’heure de la publication de cet article. La CNIL a, de son côté, précisé à 01net qu’une décision avait bien été prise au sujet de l’EMC2 le 21 décembre dernier. Mais « elle ne sera publiée au journal officiel que prochainement ».
Un énorme fichier Excel, des réunions, et « des surprises »
Concrètement, les trois participants ont reçu une lettre de mission, accompagnée d’« un énorme fichier excel ». Dans celui-ci se trouvaient les exigences techniques demandées par le HDH pour l’hébergement du projet européen : une première, puisque jusqu’à présent, la plateforme n’avait jamais communiqué sur ses besoins en la matière.
Pendant les trois semaines de la consultation, les réunions entre les candidats et la task force (une équipe composée de membres de la direction interministérielle du numérique (DINUM), de l’Agence du numérique en Santé (ANS), et de la DNS, en association avec le HDH) se succèdent. Les « surprises » aussi : « C’était une course à obstacles où, chaque fois que vous avanciez d’un point, on rajoutait des critères » résume Michel Paulin, le directeur général d’OVHcloud. Ce qui aurait poussé des entreprises à renoncer à la procédure, ajoute-t-il. Chez Numspot, le dirigeant Alain Issarni confirme « le préavis faible, la durée courte de la consultation qui a nécessité une mobilisation extrêmement forte des équipes », et « les exigences qui ont quand même pas mal évolué en cours de consultation ».
Un cahier des charges modifié à six reprises
C’est bien simple : « le référentiel (les besoins techniques demandés, ndlr) a changé à six reprises. De 165 exigences et critères, on est passé à 262. De 200 cas d’usages, à 466 cas à la fin », détaille Michel Paulin. C’est comme si on vous modifiait six fois votre cahier des charges, en plein milieu d’un audit. Mais malgré ce qui est décrit comme « un bazar le plus total », les trois clouders français estiment que la démarche reste positive.
« Jusqu’à présent, lorsqu’on demandait ce dont HDH avait besoin, on nous répondait : il nous faut le catalogue de Microsoft Azure. Mais ça n’a aucun sens d’acheter une Ferrari pour rouler à 70 sur le périph’ », explique un membre de l’équipe de Cloud Temple. En d’autres termes, offrir exactement les mêmes prestations que l’hyperscaler américain et répondre aux besoins spécifiques de cette plateforme de données de santé sont deux choses différentes. Autre problème : les seules « évaluations » des capacités techniques des hébergeurs français étaient faites jusqu’à peu par un cabinet de conseil, à un instant T, sans que les principaux intéressés ne soient impliqués.
La CNIL aurait finalement validé Azure pour l’Espace européen des données
Avec cette consultation, les clouders français ont pu montrer ce qu’ils pouvaient faire, et leurs capacités « à date et à six mois » sont désormais connues au sein de la DNS et du HDH, constate Sébastien Lescop. Les clouders français ont, de leur côté, une meilleure idée des besoins réels de HDH – même si les exigences décrites n’étaient pas celles du HDH français, mais du projet européen.
La consultation a donc débouché sur du positif, estiment les trois dirigeants, bien que certains d’entre eux regrettent « un cadre figé » dans la procédure. Notamment parce qu’« on a exigé que toutes nos solutions soient SecNumCloud » et non pas HDS, le référentiel requis actuellement pour les données de santé, qui vient d’être mis à jour, explique Alain Issarni, à la tête de NumSpot – la société a répondu à la consultation en coopération avec Outscale.
Dans le monde des labels de cybersécurité du Cloud, SecNumCloud est la certification la plus élevée. Elle garantit une immunité aux lois extraterritoriales américaines. Et si les trois clouders participant à la consultation ont bien une partie de leurs services estampillés SecNumcloud, et qu’ils proposent des solutions d’hébergement à l’abri des lois américaines, il est « de notoriété publique qu’aucun clouder français ne remplit, aujourd’hui, ce critère sur toutes ces couches (il en existe trois dans le Cloud – iaas, paas, saas, ndlr), cette certification étant très longue à obtenir. Il suffit de se rendre sur le site de l’Anssi pour avoir cette information », souligne Alain Issarni, aux rênes de Numspot.
Dit autrement, demander un tel label pour tous les services de Cloud revenait à exclure, de facto, les clouders français. De quoi conclure, pour certains, que le but de la procédure était de permettre au HDH d’aller voir la CNIL en disant “Regardez, les clouds français ne sont pas prêts”. Résultat, « on a appris fin décembre que le dossier qui a été présenté à la CNIL et qui a obtenu l’accord de la CNIL consistait à installer ce projet EMC2 sur le même environnement que le HDH, c’est-à-dire Azure », nous apprend Alain Issarni. Contactée, la CNIL confirme que le dossier a bien été étudié. Comment a-t-il été tranché ? La décision sera prochainement publiée au journal officiel.
Pas de SecNumCloud partout, pas d’hébergement de la plateforme
« Cette exigence SecNumCloud à tous les niveaux est d’autant plus surprenante que Microsoft Azure n’a pas cette certification », ajoute Michel Paulin, le directeur général d’OVHcloud, qui vient d’annoncer un 3e datacenter à Gravelines offrant des prestations SecNumCloud.
En d’autres termes, « on nous dit : “vous êtes SecNumCloud sur l’iaas, vous avez l’ambition d’être SecNumCloud pour les couches supérieures, mais aujourd’hui, vous n’y êtes pas (le processus de certification étant extrêmement long, ndlr). Comme vous n’y êtes pas, c’est un problème. Donc on ne vous choisit pas. En conséquence, on va rester sur l’alternative (Microsoft Azure) qui n’est SecNumCloud sur aucun de ses services” », détaille Alain Issarni.
Microsoft Azure, en tant que société américaine soumise aux lois américaines, ne pourra jamais obtenir la qualification SecNumCloud. Alors, « pourquoi ne pas avoir choisi, pour ce projet européen, une infrastructure plus en phase avec la doctrine Cloud au centre de l’État ? », s’interroge le dirigeant de Numspot.
En mai 2023, le Gouvernement a préconisé, dans une une circulaire faisant évoluer la doctrine cloud de l’Etat (devenue « cloud au centre »), le recours à un fournisseur labellisé SecNumCloud pour les données sensibles, dont les data de santé, l’objectif étant que l’entreprise en question soit bien immunisée face aux lois extraterritoriales. Mais la circulaire prévoit des dérogations notamment pour les projets déjà engagés – dont ferait vraisemblablement partie le HDH.
La vrai question est, en fait, quasi politique, estime Michel Paulin : « Est-ce que les données de santé qui relèvent du secret médical doivent être aujourd’hui accessibles à des tiers (L’Etat américain, ndlr), dans des conditions que vous ne maîtrisez pas ? ». Loin de trancher ce sujet, la consultation a finalement débouché, en décembre, sur une « restitution ». Concrètement, les participants ont pris connaissance « des taux de conformité à date, et à six mois » de leurs offres. De quoi leur donner de bonnes indications sur leur chance de satisfaire les exigences techniques attendues du HDH. Et si aucun clouder français ne semble avoir satisfait aujourd’hui la HDH, la procédure se serait soldée par une nouvelle promesse : celle de « revenir vers les clouders français fin 2024 pour voir l’avancement des travaux des différents services », a précisé Sébastien Lescop. Cette nouvelle étape débouchera peut-être sur un appel d’offres pour prendre la suite de Microsoft Azure sur la plateforme : un document, très attendu, qui arriverait au plus tôt l’année prochaine.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.