Au détour de la présentation de la stratégie nationale dans le cloud, le gouvernement a confirmé son engagement de sortir le Health Data Hub des serveurs de Microsoft.

Le Health Data Hub délaissera bien Microsoft dans quelques mois pour migrer sur un prestataire de cloud français, ou tout du moins européen. Le gouvernement a confirmé cet objectif lors d’un échange avec la presse lundi 17 mai, pendant la présentation de la stratégie nationale pour le cloud. C’est Amélie de Montchalin, ministre de la fonction et de la transformation publiques, qui l’a évoqué.

La ministre a expliqué que cette migration — qui avait déjà été annoncée en novembre 2020 par Olivier Véran, son collègue en charge de la santé et de la solidarité — pourra se déclencher à partir du moment où les premières labellisations « Cloud de confiance » seront délivrées aux plateformes. Dans ce cas, le Health Data Hub aura douze mois pour effectuer cette bascule.

Une migration qui dépend d’un label renouvelé

Ce label repose sur deux piliers, l’un technique et l’autre juridique. Sur la partie technique, il reprend en fait la certification SecNumCloud, qui est délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) si les prestataires répondent aux exigences du référentiel. Aujourd’hui, trois sociétés possèdent ce label : Oodrive, OVH et Outscale.

L’autre partie est juridique et vise à résister aux lois extraterritoriales qui émergeraient ou, pour celles qui existent déjà, seraient utilisées. Dans ce domaine, c’est avant tout la loi américaine du Cloud Act qui s’avère être la préoccupation majeure de ce côté-ci de l’océan Atlantique, compte tenu de la nationalité de la plupart des entreprises du numérique que les Européens utilisent au quotidien.

Le Cloud Act ouvre la possibilité aux juridictions américaines d’exiger des entreprises sises aux États-Unis qu’elles fournissent des données stockées sur leurs serveurs, y compris ceux qui sont situés à l’étranger, en cas de mandat ou d’assignation en justice. De fait, ce texte voté en 2018 génère une incertitude juridique et nuance la portée de certains engagements, comme ceux, récents, de Microsoft.

Health Data Hub
L’accueil du Health Data Hub.

Le Health Data Hub est justement concerné par cette éventualité. En effet, ce hub pour les données de santé (qui sont des données sensibles) est hébergé par Microsoft. Certes, il se sert d’un centre de données localisé aux Pays-Bas, mais sa nationalité fait que ce risque du Cloud Act n’est pas totalement écarté. En réaction, un arrêté a été pris pour interdire le transfert de ces données hors de l’UE.

En novembre, Olivier Véran indiquait à la présidente de la Cnil partager « la nécessité que soit fixé l’objectif d’avoir adopté une nouvelle solution technique permettant de ne pas exposer les données par la plateforme des données de santé à d’éventuelles divulgations illégales aux autorités américaines ». Il fixait une échéance à horizon de deux ans, soit au plus tard d’ici fin 2022.

Déjà au printemps 2020, Cédric O, en charge des questions du numérique, reconnaissait « qu’il serait normal que, dans les mois à venir, nous puissions lancer un appel d’offres afin d’avoir un choix plus large  ». Le patron de l’agence de cyberdéfense française, présent lors de la présentation de la stratégie nationale du cloud, en avait remis une couche, déclarant que « le fait de revenir sur une solution européenne […] serait de bon goût ».

Il reste maintenant à vérifier si le calendrier de labellisation « Cloud de confiance » des premiers prestataires et l’échéance de douze mois maximum pour migrer dessus seront compatibles avec l’échéance donnée par Olivier Véran il y a quelques mois. Cela étant, l’impulsion est désormais là. Elle ne concernera d’ailleurs pas que le Health Data Hub : ce sont toutes les administrations qui devront basculer.

Partager sur les réseaux sociaux

La suite en vidéo