Sign in Subscribe
Cybersécurité

Health Data Hub : défi SecNumCloud pour les clouds français

Health Data Hub : défi SecNumCloud pour les clouds français

La santé numérique française traverse une période charnière. L'hébergement des données médicales de millions de Français, actuellement confié à Microsoft Azure, devra migrer vers un cloud souverain d'ici fin 2025. Un changement majeur qui s'inscrit dans une stratégie nationale de reprise en main de notre souveraineté numérique. Mais les acteurs français du cloud sont-ils vraiment prêts à relever ce défi ?

Un Health Data Hub sous pression

Le Health Data Hub (HDH), cette plateforme nationale qui centralise et facilite l'accès aux données de santé françaises, vit des heures décisives. Créé en 2019, ce groupement d'intérêt public avait fait le choix controversé de Microsoft Azure pour héberger nos précieuses données médicales. Une décision qui a déclenché une tempête de critiques, notamment en raison du CLOUD Act américain permettant aux autorités US d'accéder potentiellement à nos données, même hébergées en Europe.

En février 2024, la situation s'est tendue lorsque plusieurs acteurs français du numérique (Clever Cloud, Cleyrop, Nexedi) et l'Association de défense des libertés constitutionnelles ont saisi le Conseil d'État. Leur objectif ? Contester l'hébergement chez Microsoft de données aussi sensibles que celles de notre santé.

Parallèlement, la CNIL a autorisé "à contrecœur" fin 2023 le HDH à créer un nouvel entrepôt de données nommé EMC2 sur Azure, mais avec une limite claire : trois ans maximum. Un ultimatum qui expire précisément en 2025, date fixée pour la bascule complète vers un cloud souverain.

Le casse-tête SecNumCloud

Au cœur de cette problématique se trouve la certification SecNumCloud, véritable Graal de la sécurité cloud à la française. Délivrée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), cette qualification atteste d'un niveau élevé de sécurité et de protection contre les lois extraterritoriales.

Mais voilà, cette certification est particulièrement exigeante. Elle nécessite environ deux ans pour être obtenue et doit être renouvelée tous les trois ans, avec un audit de maintien annuel. Sa version 3.2, actualisée en mars 2022, a encore renforcé ses exigences en matière de protection vis-à-vis du droit extra-européen.

L'audit flash commandé par la CNIL fin 2023 pour évaluer les alternatives souveraines a conclu qu'aucun prestataire ne proposait d'offres répondant à toutes les exigences du HDH dans les délais requis pour le projet EMC2. Un constat qui a justifié le sursis accordé à Microsoft Azure.

Les champions français en ordre de bataille

Malgré ces obstacles, l'écosystème cloud français se mobilise pour être prêt au rendez-vous de 2025. À ce jour, huit offres ont déjà obtenu la qualification SecNumCloud, dont :

  • OVHcloud pour son offre "VMware on OVHcloud"
  • Cegedim Cloud avec sa solution "CegNum Cloud Secured IaaS"

D'autres acteurs sont en pleine course vers la certification :

  • Scaleway (filiale cloud d'Iliad) a entamé le processus et vise une qualification complète d'ici fin 2025
  • Free Pro (également du groupe Iliad) s'est lancé dans la même démarche
  • Aqua Ray cherche à obtenir la certification pour son offre de Cloud Privé Sécurisé
  • NumSpot, alliance entre Docaposte, la Banque des Territoires, Dassault Systèmes et Bouygues Telecom, prévoit de lancer sa plateforme au premier trimestre 2025 avec l'objectif d'obtenir rapidement la qualification

Cloud Temple, autre acteur français, a annoncé qu'il atteindrait 95% de conformité au printemps 2024 après la qualification SecNumCloud de ses nouveaux services PaaS. L'entreprise se dit confiante quant à l'organisation d'un appel d'offres en 2025.

Des enjeux techniques et stratégiques

Si le HDH utilise une pile technologique relativement standard (Python, R, Apache Spark, MySQL, PostgreSQL, Kubernetes...), la migration présente néanmoins des défis considérables en termes de continuité de service et de performances.

Le rapport Marchand-Arvier, publié en décembre 2023, estimait qu'un délai de 24 mois était "ambitieux mais crédible" pour cette migration vers un cloud qualifié SecNumCloud. Ce qui nous amène, calendrier en main, exactement à cette échéance de 2025.

Octave Klaba, fondateur d'OVH, a pointé du doigt des exigences techniques qui auraient "considérablement augmenté pendant l'évaluation", compliquant la tâche des acteurs français. Le principal point d'achoppement serait l'exigence de conformité au référentiel SecNumCloud pour l'ensemble de la pile technologique, là où la certification Hébergeur de Données de Santé (HDS) suffisait auparavant pour ce type de projets.

Un Health Data Hub aux ambitions européennes

Pendant que la question de l'hébergement se résout en coulisses, le HDH poursuit ses missions stratégiques. Il coordonne notamment le projet HealthData@EU Pilot, une initiative majeure réunissant 17 membres de 10 pays européens pour construire une version bêta de l'Espace Européen des Données de Santé (EHDS), dont le règlement entrera en vigueur en mars 2025.

Le HDH s'implique également dans d'autres collaborations européennes comme TEHDAS2 (définition de lignes directrices sur la collaboration et le traitement sécurisé des données de santé) et le projet QUANTUM (développement d'un label de qualité pour l'utilisation secondaire des données de santé dans l'UE).

Ces initiatives illustrent l'importance du HDH dans l'écosystème de santé européen, bien au-delà des questions d'infrastructure technique.

La souveraineté numérique comme enjeu de société

La migration du Health Data Hub vers un cloud souverain courant 2025 représente un test décisif pour la stratégie numérique française. Il ne s'agit pas simplement d'un transfert technique, mais d'un véritable choix de société : comment concilier l'utilisation massive des données de santé pour la recherche et l'innovation, tout en garantissant leur protection contre les ingérences étrangères ?

Pour les citoyens français, l'enjeu est double : s'assurer que leurs données personnelles de santé restent protégées, tout en permettant leur utilisation pour faire progresser la recherche médicale et améliorer le système de soins.

Si le défi est considérable, la mobilisation des acteurs français du cloud et l'évolution de leurs offres SecNumCloud laissent entrevoir une solution viable à l'horizon de fin 2025. Le compte à rebours est lancé, et c'est tout l'écosystème numérique français qui est désormais sous pression pour démontrer sa capacité à reprendre le contrôle de nos données les plus sensibles. Les données de santé pourraient bien être le fer de lance d'une nouvelle ère de souveraineté numérique à la française.

Read next

Comments ()