Le secrétaire d'Etat au numérique confirme que le gouvernement travaille à un transfert de l'hébergement Health Data Hub, pour ne plus passer par Microsoft. À la place, un prestataire français ou européen sera sollicité.

L’avenir de l’hébergement du Health Data Hub est-il scellé ? Dans l’esprit de Cédric O, certainement : ce 8 octobre 2020, le secrétaire d’État en charge du numérique a déclaré devant les sénateurs son souhait d’un changement de prestataire : au lieu de s’en remettre à Microsoft, l’actuel hébergeur du Health Data Hub, une solution française ou européenne doit être privilégiée.

« Nous travaillons avec [le ministre de la Santé] Olivier Véran, après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plates-formes françaises ou européennes », a déclaré l’intéressé, sans rentrer plus avant sur les modalités de cette bascule ni sur son calendrier. « Nous aurons sur ce sujet des discussions avec nos partenaires allemands ».

Cédric O 27 mai 2020
Cédric O, le 27 mai 2020. // Source : Assemblée nationale

Actuellement, le Health Data Hub est hébergé dans un centre de données de Microsoft aux Pays-Bas, c’est-à-dire dans l’Union européenne. L’entreprise américaine est donc soumise au Règlement général sur la protection des données. Toutefois, les détracteurs du Health Data Hub estiment qu‘il existe des circonstances juridiques dans lesquelles Microsoft pourrait être contrainte de transférer des données aux USA.

Le sujet est sensible, car le Health Data Hub est la nouvelle plateforme nationale pour les données de santé — qui sont donc par essence des données personnelles sensibles. Avec cette plateforme, il est possible de connecter des bases de données de santé existantes entre elles, selon un processus d’anonymisation pour protéger la vie privée, à des fins de R&D, mais aussi d’innovation sanitaire.

Jusqu’à cet été, le transfert de données entre les USA et l’Europe était encadré par le Privacy Shield, mis en place entre Bruxelles et Washington. Mais la Cour de justice de l’Union européenne l’a invalidé, faisant écrouler l’édifice juridique. Dès lors, la légalité des transferts transatlantiques se pose, même si le Health Data Hub assure que les données de santé ne sont pas couvertes par ces transferts.

Vers une bascule sur un prestataire français

Déjà cet été, Cédric O se montrait ouvert à l’idée d’un changement de prestataire, au nom de la souveraineté des données — une problématique sur laquelle le gouvernement se dit mobilisé. « Il serait normal que, dans les mois à venir, nous puissions lancer un appel d’offres afin d’avoir un choix plus large avec les spécifications qui permettront à quelqu’un de se positionner », déclarait en juin le secrétaire d’État.

L’intéressé avait toutefois apporté quelques nuances, en expliquant qu’au moment où les bases du Health Data Hub étaient lancées, il n’y avait guère d’autres possibilités que celle offerte par Microsoft. En 2018, Microsoft a notamment obtenu la certification d’hébergeur de données de santé en France — même si d’autres l’ont obtenue depuis, comme Orange,, OVH, Outscale, Thales, Atos ou Capgemini.

« Si nous n’avions pas pris cette décision il y a un an, nous n’aurions pas la capacité de faire ce que nous faisons aujourd’hui avec le Health Data Hub.  Mais il convient d’avoir une utilisation raisonnée : nous sommes également ouverts à ce que des investisseurs et entreprises américaines puissent opérer en France », avait-t-il argué alors. Toutefois, les choses sont en train de bouger.

En effet, le cloud européen se réorganise, en témoigne le rapprochement des entreprises OVH et T-Systems pour concevoir une infrastructure de données fiable et sécurisée pour l’Europe, sur fond de souveraineté numérique. En l’espèce le partenariat franco-allemand entend accueillir les opérateurs d’importance vitale et les entreprises évoluant « dans des secteurs stratégiques ou sensibles, d’intérêt public ».

Partager sur les réseaux sociaux

La suite en vidéo