La migration du Health Data Hub toujours au point mort
Face à une commission d'enquête du Sénat, la directrice du Health Data Hub a confirmé que la migration de la plateforme hors d'Azure n'était pas entamée. Le système de gestion des données de santé attend la disponibilité de solutions en cours de certification SecNumCloud.
PublicitéAuditionnée par la commission d'enquête du Sénat sur la commande publique le 14 mai, Stéphanie Combes, la directrice du Health Data Hub, s'est défendue bec et ongles. Et il fallait bien ça, tant ce système de consolidation des données de santé pseudonymisées des Français concentre toutes les critiques. Pour rappel, le Health Data Hub (HDH) est né en 2019 de la volonté de favoriser l'exploitation des données de santé à des fins de recherche, d'innovation thérapeutique ou encore d'amélioration de la qualité des soins. D'emblée, cette plateforme a été hébergée sur Microsoft Azure, présenté par les équipes du projet comme l'offre technique la plus avancée. Un choix effectué sans appel d'offres dédié, par le biais d'un contrat de l'Ugap (la centrale d'achat de l'Etat), mainte fois contesté, mais qui reste d'actualité, malgré les promesses de plusieurs ministres d'engager une migration vers une solution qui échapperait aux législations extraterritoriales américaines.
D'où l'intérêt tout particulier de la commission d'enquête du Sénat sur la commande publique pour les choix de ce Groupement d'intérêt public (GIP). Et ce d'autant plus que la ministre déléguée chargée de l'IA et du numérique, Clara Chappaz, a annoncé, début avril, devant l'Assemblée nationale, le lancement d'un appel d'offres portant sur la migration du HDH. Et que la loi SREN de mai 2024 engage les administrations à stocker les données d'une « sensibilité particulière », dont les données de santé font évidemment partie, sur un cloud « garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d'Etats tiers ». Une qualité dont ne peuvent se prévaloir les hyperscalers américains du fait de textes fédéraux, comme la section 702 du Foreign Intelligence Surveillance Act (FISA).
Une dizaine d'acteurs analysés, Microsoft plébiscité
Pour la directrice du Health Data Hub, Stéphanie Combes, la procédure retenue au moment de la création du GIP résulte de la volonté de « produire des résultats utiles, concrets et impactant rapidement ». Avec un choix technique qui s'est voulu réversible dès le démarrage, via une infrastructure as-code portable. « Nous avons documenté nos analyses de marchés et contribué aux travaux de la Dinum pour que les acteurs européens développent les services manquants par rapport aux hyperscalers américains », assure-t-elle, en gage de bonne volonté de l'organisation qu'elle dirige.
Selon la responsable, le choix de Microsoft résulte d'un arbitrage politique en mars ou avril 2019, pris par la ministre de la Santé de l'époque, Agnès Buzyn, suite à une analyse de la Direction de la recherche et des études du ministère, qui pilotait la mission de préfiguration du HDH. A l'époque, une dizaine d'acteurs académiques et industriels (dont Thales, Santeos, Docaposte, OVH, Orange, Outscale, Sage, Amazon, Google et Microsoft, selon les affirmations de la directrice du GIP) auraient été auditionnés pour évaluer leur capacité à répondre aux exigences du projet. « Seul Microsoft répondait à nos prérequis, assure Stéphanie Combes. Cette analyse a été transmise au cabinet ministériel pour arbitrage. »
PublicitéBleu et S3NS bientôt certifiés SecNumCloud
Plus étonnant, cette position unique de l'éditeur se serait maintenue jusqu'à aujourd'hui. Stéphanie Combes mentionne, en effet, des études menées en 2019, en 2020 (en collaboration avec la Dinum), en 2021 et 2022 (via un cabinet externe), puis encore en 2023 et en 2024 (par la Dinum seule cette fois), qui ont « toutes confirmé que tous les acteurs avaient des difficultés à atteindre le niveau requis, surtout en matière de services de sécurité ». La directrice du HDH précise toutefois déceler une progression des alternatives à Azure en 2025, « avec certains acteurs bien engagés dans leur certification SecNumCloud ». Parmi ceux-ci figurent notamment les cloud dits de confiance bâtis sur l'offre d'hyperscalers américains mais hébergés dans une société de droit français, contrôlée par des actionnaires locaux (avec les attelages Google+Thales pour S3NS et Microsoft+Orange+Capgemini pour Bleu), comme le montre la liste que tient à jour l'Anssi.
A ce stade, le Health Data Hub n'a entamé qu'une partie de la migration attendue vers une solution répondant aux critères attendus par la loi SREN, ce que le GIP appelle la « solution intercalaire ». Soit l'hébergement de la base principale, tournant aujourd'hui sur les environnements de l'Assurance maladie, ce qui nécessite actuellement des extractions de données pour répondre aux besoins du HDH (environ 300 en 2024). « L'idée consistera à disposer d'une copie de cette base à la main du HDH », indique Stéphanie Combes. Celle-ci assure que le travail de sourcing a permis d'identifier 10 à 15 acteurs pertinents pour l'hébergement de cette base et que le marché correspondant doit être publié avant la fin juin 2025.
Dépendant de l'émergence des solutions SecNumCloud
Sur la migration des ressources déjà présentes sur Azure, les réponses de la directrice du GIP sont, en revanche, plus évasives. Celle-ci indique d'abord attendre le décret d'application de la loi SREN - qui doit d'ailleurs préciser si les cloud devant héberger les données sensibles devront obligatoirement afficher une labellisation SecNumCloud - et reconnaît : « si ce décret est publié dans les prochains mois, ce sera sans doute un peu court pour migrer vers une solution SecNumCloud », dont la labellisation n'est « pas encore officielle ». Avant de se dire « confiante » dans la capacité du HDH à opérer cette migration « dans les délais imposés par la loi ». « Je comprends que tout le monde puisse trouver ça lent, nous les premiers, lance la directrice du GIP. Mais nous sommes dépendants de l'émergence de ces solutions », pointant vers les offres en cours de labellisation SecNumCloud. Oubliant au passage de préciser que plusieurs offres sont d'ores et déjà certifiées par l'Agence nationale de la sécurité des systèmes d'information.
Même si Stéphanie Combes se retranche derrière des analyses juridiques « qui convergent pour dire que l'application [des législations extraterritoriales américaines, NDLR] est très peu crédible » dans le contexte du HDH, son hébergement sur les datacenters d'Azure reste une épine dans le pied du projet. Un rapport de décembre 2023 sur l'utilisation secondaire des données de santé - précisément l'objectif central du HDH - soulignait combien cette question du choix de la plateforme technologique d'hébergement constituait « un point de blocage ». Raison qui a poussé ses auteurs à faire de la migration du HDH hors d'Azure leur première recommandation, alors même que ce sujet spécifique ne figurait pas dans leur lettre de mission. Le document recommandait alors de lancer les travaux pour l'hébergement du HDH sur un cloud qualifié SecNumCloud à horizon de 24 mois, « échéance ambitieuse mais crédible à ce stade », écrivaient les auteurs. Un délai qui semble déjà de plus en plus difficile à tenir.
Article rédigé par
Reynald Fléchaux, Rédacteur en chef CIO
Suivez l'auteur sur Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire