Projets

La migration du Health Data Hub toujours au point mort

Stï¿½phanie Combes, directrice du Health Data Hub , devant la commission dï¿½enquï¿½te du Sï¿½nat le 14 mai : ï¿½ si le dï¿½cret [de la loi SREN, NDLR] est publiï¿½ dans les prochains mois, ce sera sans doute un peu court pour migrer vers une solution SecNumCloud ï¿½.

Face ï¿½ une commission d'enquï¿½te du Sï¿½nat, la directrice du Health Data Hub a confirmï¿½ que la migration de la plateforme hors d'Azure n'ï¿½tait pas entamï¿½e. Le systï¿½me de gestion des donnï¿½es de santï¿½ attend la disponibilitï¿½ de solutions en cours de certification SecNumCloud.

Publicitï¿½Auditionnï¿½e par la commission d'enquï¿½te du Sï¿½nat sur la commande publique le 14 mai, Stï¿½phanie Combes, la directrice du Health Data Hub, s'est dï¿½fendue bec et ongles. Et il fallait bien ï¿½a, tant ce systï¿½me de consolidation des donnï¿½es de santï¿½ pseudonymisï¿½es des Franï¿½ais concentre toutes les critiques. Pour rappel, le Health Data Hub (HDH) est nï¿½ en 2019 de la volontï¿½ de favoriser l'exploitation des donnï¿½es de santï¿½ ï¿½ des fins de recherche, d'innovation thï¿½rapeutique ou encore d'amï¿½lioration de la qualitï¿½ des soins. D'emblï¿½e, cette plateforme a ï¿½tï¿½ hï¿½bergï¿½e sur Microsoft Azure, prï¿½sentï¿½ par les ï¿½quipes du projet comme l'offre technique la plus avancï¿½e. Un choix effectuï¿½ sans appel d'offres dï¿½diï¿½, par le biais d'un contrat de l'Ugap (la centrale d'achat de l'Etat), mainte fois contestï¿½, mais qui reste d'actualitï¿½, malgrï¿½ les promesses de plusieurs ministres d'engager une migration vers une solution qui ï¿½chapperait aux lï¿½gislations extraterritoriales amï¿½ricaines.

D'oï¿½ l'intï¿½rï¿½t tout particulier de la commission d'enquï¿½te du Sï¿½nat sur la commande publique pour les choix de ce Groupement d'intï¿½rï¿½t public (GIP). Et ce d'autant plus que la ministre dï¿½lï¿½guï¿½e chargï¿½e de l'IA et du numï¿½rique, Clara Chappaz, a annoncï¿½, dï¿½but avril, devant l'Assemblï¿½e nationale, le lancement d'un appel d'offres portant sur la migration du HDH. Et que la loi SREN de mai 2024 engage les administrations ï¿½ stocker les donnï¿½es d'une ï¿½ sensibilitï¿½ particuliï¿½re ï¿½, dont les donnï¿½es de santï¿½ font ï¿½videmment partie, sur un cloud ï¿½ garantissant notamment la protection des donnï¿½es traitï¿½es ou stockï¿½es contre tout accï¿½s par des autoritï¿½s publiques d'Etats tiers ï¿½. Une qualitï¿½ dont ne peuvent se prï¿½valoir les hyperscalers amï¿½ricains du fait de textes fï¿½dï¿½raux, comme la section 702 du Foreign Intelligence Surveillance Act (FISA).

Une dizaine d'acteurs analysï¿½s, Microsoft plï¿½biscitï¿½

Pour la directrice du Health Data Hub, Stï¿½phanie Combes, la procï¿½dure retenue au moment de la crï¿½ation du GIP rï¿½sulte de la volontï¿½ de ï¿½ produire des rï¿½sultats utiles, concrets et impactant rapidement ï¿½. Avec un choix technique qui s'est voulu rï¿½versible dï¿½s le dï¿½marrage, via une infrastructure as-code portable. ï¿½ Nous avons documentï¿½ nos analyses de marchï¿½s et contribuï¿½ aux travaux de la Dinum pour que les acteurs europï¿½ens dï¿½veloppent les services manquants par rapport aux hyperscalers amï¿½ricains ï¿½, assure-t-elle, en gage de bonne volontï¿½ de l'organisation qu'elle dirige.

Selon la responsable, le choix de Microsoft rï¿½sulte d'un arbitrage politique en mars ou avril 2019, pris par la ministre de la Santï¿½ de l'ï¿½poque, Agnï¿½s Buzyn, suite ï¿½ une analyse de la Direction de la recherche et des ï¿½tudes du ministï¿½re, qui pilotait la mission de prï¿½figuration du HDH. A l'ï¿½poque, une dizaine d'acteurs acadï¿½miques et industriels (dont Thales, Santeos, Docaposte, OVH, Orange, Outscale, Sage, Amazon, Google et Microsoft, selon les affirmations de la directrice du GIP) auraient ï¿½tï¿½ auditionnï¿½s pour ï¿½valuer leur capacitï¿½ ï¿½ rï¿½pondre aux exigences du projet. ï¿½ Seul Microsoft rï¿½pondait ï¿½ nos prï¿½requis, assure Stï¿½phanie Combes. Cette analyse a ï¿½tï¿½ transmise au cabinet ministï¿½riel pour arbitrage. ï¿½

Publicitï¿½Bleu et S3NS bientï¿½t certifiï¿½s SecNumCloud

Plus ï¿½tonnant, cette position unique de l'ï¿½diteur se serait maintenue jusqu'ï¿½ aujourd'hui. Stï¿½phanie Combes mentionne, en effet, des ï¿½tudes menï¿½es en 2019, en 2020 (en collaboration avec la Dinum), en 2021 et 2022 (via un cabinet externe), puis encore en 2023 et en 2024 (par la Dinum seule cette fois), qui ont ï¿½ toutes confirmï¿½ que tous les acteurs avaient des difficultï¿½s ï¿½ atteindre le niveau requis, surtout en matiï¿½re de services de sï¿½curitï¿½ ï¿½. La directrice du HDH prï¿½cise toutefois dï¿½celer une progression des alternatives ï¿½ Azure en 2025, ï¿½ avec certains acteurs bien engagï¿½s dans leur certification SecNumCloud ï¿½. Parmi ceux-ci figurent notamment les cloud dits de confiance bï¿½tis sur l'offre d'hyperscalers amï¿½ricains mais hï¿½bergï¿½s dans une sociï¿½tï¿½ de droit franï¿½ais, contrï¿½lï¿½e par des actionnaires locaux (avec les attelages Google+Thales pour S3NS et Microsoft+Orange+Capgemini pour Bleu), comme le montre la liste que tient ï¿½ jour l'Anssi.

A ce stade, le Health Data Hub n'a entamï¿½ qu'une partie de la migration attendue vers une solution rï¿½pondant aux critï¿½res attendus par la loi SREN, ce que le GIP appelle la ï¿½ solution intercalaire ï¿½. Soit l'hï¿½bergement de la base principale, tournant aujourd'hui sur les environnements de l'Assurance maladie, ce qui nï¿½cessite actuellement des extractions de donnï¿½es pour rï¿½pondre aux besoins du HDH (environ 300 en 2024). ï¿½ L'idï¿½e consistera ï¿½ disposer d'une copie de cette base ï¿½ la main du HDH ï¿½, indique Stï¿½phanie Combes. Celle-ci assure que le travail de sourcing a permis d'identifier 10 ï¿½ 15 acteurs pertinents pour l'hï¿½bergement de cette base et que le marchï¿½ correspondant doit ï¿½tre publiï¿½ avant la fin juin 2025.

Dï¿½pendant de l'ï¿½mergence des solutions SecNumCloud

Sur la migration des ressources dï¿½jï¿½ prï¿½sentes sur Azure, les rï¿½ponses de la directrice du GIP sont, en revanche, plus ï¿½vasives. Celle-ci indique d'abord attendre le dï¿½cret d'application de la loi SREN - qui doit d'ailleurs prï¿½ciser si les cloud devant hï¿½berger les donnï¿½es sensibles devront obligatoirement afficher une labellisation SecNumCloud - et reconnaï¿½t : ï¿½ si ce dï¿½cret est publiï¿½ dans les prochains mois, ce sera sans doute un peu court pour migrer vers une solution SecNumCloud ï¿½, dont la labellisation n'est ï¿½ pas encore officielle ï¿½. Avant de se dire ï¿½ confiante ï¿½ dans la capacitï¿½ du HDH ï¿½ opï¿½rer cette migration ï¿½ dans les dï¿½lais imposï¿½s par la loi ï¿½. ï¿½ Je comprends que tout le monde puisse trouver ï¿½a lent, nous les premiers, lance la directrice du GIP. Mais nous sommes dï¿½pendants de l'ï¿½mergence de ces solutions ï¿½, pointant vers les offres en cours de labellisation SecNumCloud. Oubliant au passage de prï¿½ciser que plusieurs offres sont d'ores et dï¿½jï¿½ certifiï¿½es par l'Agence nationale de la sï¿½curitï¿½ des systï¿½mes d'information.

Mï¿½me si Stï¿½phanie Combes se retranche derriï¿½re des analyses juridiques ï¿½ qui convergent pour dire que l'application [des lï¿½gislations extraterritoriales amï¿½ricaines, NDLR] est trï¿½s peu crï¿½dible ï¿½ dans le contexte du HDH, son hï¿½bergement sur les datacenters d'Azure reste une ï¿½pine dans le pied du projet. Un rapport de dï¿½cembre 2023 sur l'utilisation secondaire des donnï¿½es de santï¿½ - prï¿½cisï¿½ment l'objectif central du HDH - soulignait combien cette question du choix de la plateforme technologique d'hï¿½bergement constituait ï¿½ un point de blocage ï¿½. Raison qui a poussï¿½ ses auteurs ï¿½ faire de la migration du HDH hors d'Azure leur premiï¿½re recommandation, alors mï¿½me que ce sujet spï¿½cifique ne figurait pas dans leur lettre de mission. Le document recommandait alors de lancer les travaux pour l'hï¿½bergement du HDH sur un cloud qualifiï¿½ SecNumCloud ï¿½ horizon de 24 mois, ï¿½ ï¿½chï¿½ance ambitieuse mais crï¿½dible ï¿½ ce stade ï¿½, ï¿½crivaient les auteurs. Un dï¿½lai qui semble dï¿½jï¿½ de plus en plus difficile ï¿½ tenir.

Les doutes des sï¿½nateurs persistent

Malgrï¿½ le ton offensif adoptï¿½ par la directrice du Health Data Hub, les membres de la commission d'enquï¿½te du Sï¿½nat ont paru peu convaincus par les arguments de la responsable. Le sï¿½nateur du Nord Dany Wattebled, rapporteur de la commission d'enquï¿½te, a notamment questionnï¿½ ï¿½ plusieurs reprises la directrice du HDH sur le rï¿½le jouï¿½ par Capgemini dans la sï¿½lection de Microsoft Azure, tandis que sa collï¿½gue Catherine Morin-Dessailly soulignait que ce mï¿½me Capgemini se retrouve aujourd'hui parmi les fondateurs de Bleu, le cloud de confiance bï¿½ti sur la pile logicielle Azure. Cette mï¿½me sï¿½natrice de Seine-Maritime a aussi mentionnï¿½ un courrier qu'elle avait adressï¿½ ï¿½ la Premiï¿½re ministre en dï¿½cembre 2023 (Elisabeth Borne), dans lequel elle faisait part du ï¿½ sentiment gï¿½nï¿½ral ï¿½ des fournisseurs recalï¿½s par le HDH. Sentiment que le ï¿½ HDH, et peut ï¿½tre aussi la Dinum, entendaient montrer qu'ils ne sont pas en mesure de rï¿½pondre ï¿½ leurs exigences ï¿½, en multipliant les critï¿½res d'ï¿½ligibilitï¿½.