La polémique engendrée par la participation de Microsoft, société américaine, dans l'hébergement de la plateforme française pour les données de santé (Health Data Hub) est en train de rebattre les cartes : la piste d'un hébergement par une société française se concrétise, via un appel d'offres.

L’implication de Microsoft dans l’hébergement du Health Data Hub, une voie sans issue ? C’est en tout cas un nouveau sujet de discorde dans le paysage numérique français, puisque ce n’est pas une entreprise nationale qui s’occupe de la jeune plateforme pour les données de santé, mais une société américaine. Un choix de prestataire qui déplait, à la fois pour les risques de transfert de données aux USA et pour les conditions dans lesquelles il a été retenu, sans appel d’offres.

Vers un appel d’offres pour l’hébergement du Health Data Hub

Cette situation pourrait évoluer, si l’on en croit les récentes déclarations de Cédric O. Le secrétaire d’État au numérique a déclaré le 23 mai, lors d’une conférence sur StopCovid, « qu’il serait normal que, dans les mois à venir, nous puissions lancer un appel d’offres afin d’avoir un choix plus large avec les spécifications qui permettront à quelqu’un de se positionner ». Mais l’intéressé d’ajouter, dans des propos rapportés par ZDNet, qu’il n’était guère possible de faire autrement à l’époque.

« Si nous n’avions pas pris cette décision il y a un an, nous n’aurions pas la capacité de faire ce que nous faisons aujourd’hui avec le Health Data Hub. Nous avons un attachement particulier à la souveraineté numérique française. Nous faisons beaucoup pour la French Tech […]. Mais il convient d’avoir une utilisation raisonnée : nous sommes également ouverts à ce que des investisseurs et entreprises américaines puissent opérer en France », a-t-il argué.

Cedric O lors de son point d’étape sur StopCovid le 23 mai 2020. // Source : Ministère de l’Economie

Microsoft a obtenu en 2018 la certification d’hébergeur de données de santé (HDS) en France, et l’entreprise se félicitait alors d’être le «  premier acteur majeur du Cloud public en France » à recevoir une telle distinction. Ce n’est toutefois ni le premier ni le seul : aujourd’hui, ce label a été décerné à 36 structures, selon une liste tenue par l’Agence du numérique en santé, et sur les six domaines couverts par la certification. On trouve aussi des entreprises comme Orange, IBM, OVH, Outscale, Thales, Google, Amazon, Atos ou Capgemini.

Ces entreprises n’auraient-elles pas pu faire l’affaire, du moins les sociétés françaises ?

À ce sujet, Guillaume Poupard, qui officie en tant que directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), et qui était présent au point presse avec Cédric O, a relevé que «  dans une phase de prototypage, le choix d’une solution facile d’emploi a été privilégié ». Par ailleurs, « la portabilité du système a été évoquée dès le départ et est un point important  », a-t-il ajouté, dans des propos cités par le site Usine-Digitale, pour garantir la réversibilité des orientations prises.

« Le fait de revenir sur une solution européenne serait de bon goût »

Cela étant, il souhaite que cette situation ne dure pas. Pour le patron du cybergarde du corps de l’État français, « le fait de revenir sur une solution européenne idéalement qualifiée par l’ANSSI et non soumise à des lois extraterritoriales européennes serait de bon goût ». Un risque existe avec le droit américain, à commencer par le Cloud Act, qui autorise la justice américaine à demander la saisie de données hébergées à l’étranger, si l’hébergeur est une société américaine.

Actuellement, les données du Health Data Hub sont stockées sur le territoire de l’Union européenne, dans les centres de données de l’entreprise américaine aux Pays-Bas.

Dans le domaine du cloud, l’ANSSI propose la certification SecNumCloud. Selon la liste des produits et services qualifiés, seules deux entreprises l’ont dans la catégorie informatique en nuage (cloud computing) : Oodrive et Outscale. Microsoft n’y figure pas — même si la société américaine a pris soin de souligner l’existence de ses autres certifications et de son plein respect des différents textes juridiques en vigueur (RGPD, ISO 27018 sur la vie privée, clauses contractuelles types définies par l’UE, etc.).

Outscale
Outscale bénéficie d’une double certification, SecNumCloud et HDS, qui lui permettrait de candidater à l’hébergement du Health Data Hub.

OVH ou Outscale en recours ?

Selon les documents de l’ANSSI et de l’Agence du numérique, seules deux entreprises ont la double certification SecNumCloud et HDS : Oodrive et Outscale. Cependant, ces labels ont été obtenus tardivement par rapport au calendrier du Health Data Hub.

C’est en octobre 2019 qu’Oodrive est certifié HDS et en mai 2020 pour Outscale. Quant à SecNumCloud, il a été décerné en janvier 2019 pour Oodrive et décembre 2019 pour Outscale. Or en 2018,le projet du Health Data Hub était déjà bien lancé, avec une mission de préfiguration en juin 2018, un lancement en octobre 2018 et une officialisation en décembre 2019. Des problèmes de date qui de toute évidence ont pesé sur la pertinence d’un appel d’offres.

Toujours est-il que la situation évolue aujourd’hui.

Outre Oodrive et Outscale, d’autres firmes sont sur la ligne de départ pour décrocher le précieux sésame SecNumCloud, dont OVH, qui se démène particulièrement sur ce dossier. Son fondateur, Octave Klaba, déplorait encore début juin l’absence d’appel d’offres et de cahier des charges, et le fait que la piste de Microsoft se transforme en solution imposée. Un mécontentement public qui a donné lieu à des explications avec la présidente du Health Data Hub, Stéphanie Combes, d’abord par écrit, puis par téléphone.

Partager sur les réseaux sociaux

La suite en vidéo