Health Data Hub : L'État abandonne Microsoft mais se complique avec SecNumCloud
Le gouvernement français a décidé de revoir sa stratégie pour trouver un remplaçant à Microsoft Azure, dont l'hébergement des données du Health Data Hub est attendu depuis plusieurs années. Comme rapporté par L’Usine Digitale, l'exécutif a abandonné l'idée d'un appel d'offres classique au profit d'une consultation accélérée à travers le marché interministériel "Nuage public" de l'Union des groupements d'achats publics (UGAP).
Accélérer la migration des données de santé
Selon le ministère de la Santé, cette nouvelle orientation vise à accélérer la migration de la base principale du Système national des données de santé (SNDS), qui constitue le socle du Health Data Hub. Les candidats ont jusqu'au 30 mars 2026 pour soumettre leur devis à l'UGAP. Une décision est attendue trois mois plus tard, avec une transition prévue d'ici la fin de l'année.
Un cadre de sélection modifié
Le changement vers l'UGAP modifie le cadre de sélection. Contrairement à un appel d'offres classique qui permet de rédiger un cahier des charges détaillé et juridiquement contraignant, le marché "Nuage public" repose sur une consultation plus flexible, s'appuyant sur un catalogue d'offres existantes. Cela permet à l'État de réduire les délais et d'élargir le nombre de candidats potentiels.
La controverse autour de SecNumCloud
Dans ce nouveau contexte, une controverse a émergé autour de SecNumCloud, le visa de sécurité délivré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui atteste du plus haut niveau de sécurisation des données. Comme l'a révélé L’Informé, il semblerait que la référence à cette certification ne soit plus clairement mentionnée dans les documents de la consultation.
Des inquiétudes sur la concurrence
Cette omission pourrait permettre à des acteurs en cours de qualification de déposer leur candidature sans avoir encore obtenu le précieux sésame, afin d'éviter de restreindre excessivement la concurrence. Contacté à plusieurs reprises par L’Usine Digitale, le ministère de la Santé a assuré que la mention du visa SecNumCloud était toujours incluse dans le dispositif, tout en refusant de fournir le texte précisant les critères requis. Initialement, le gouvernement avait promis de publier ce document le 9 février.
Des confirmations contradictoires
Cependant, un fournisseur de cloud a affirmé le contraire, précisant que "selon la première lecture du document, SecNumCloud n'était pas explicitement mentionné". Cette déclaration corrobore donc les informations rapportées par L’Informé.
Un parcours semé d'embûches pour le Health Data Hub
Ce flou n’est pas surprenant. Depuis sa création, le Health Data Hub est en proie à une série de revirements, de retards et d'arbitrages contradictoires, qui ont durablement obscurci la doctrine de l'État concernant l'hébergement des données de santé. Le choix initial de Microsoft, contesté dès 2020, a donné lieu à des promesses répétées de sortie rapide, sans jamais se concrétiser dans les délais annoncés.
Une trajectoire en constante évolution
Au fil des ans, la trajectoire du Health Data Hub a été réécrite à plusieurs reprises : des bascules annoncées puis repoussées, des solutions transitoires envisagées avant d'être abandonnées, ainsi que des exigences qui ont été durcies puis assouplies.
Recommandations de la CNIL
Dans sa consultation du 31 janvier 2024 sur l'hébergement du Health Data Hub, la Commission nationale de l'informatique et des libertés (CNIL) recommandait, pour les bases de données de santé les plus sensibles, de faire appel à des prestataires soumis exclusivement au droit de l'Union européenne ou bénéficiant de certifications de sécurité renforcées, mentionnant SecNumCloud comme référence pertinente.
Des enjeux cruciaux pour la souveraineté numérique
Bien que le marché reste limité financièrement, il est hautement symbolique. Le choix du futur hébergeur du Health Data Hub conditionnera la crédibilité de la stratégie française de souveraineté numérique et sa capacité à influencer la mise en œuvre de l'Espace européen des données de santé (EHDS).
Conclusion
Alors que l'État tente de tourner la page sur Microsoft, les complications liées à la certification SecNumCloud soulèvent des questions sur la transparence et la sécurité des données de santé. L'avenir du Health Data Hub est désormais entre les mains des candidats qui devront naviguer dans ce cadre incertain.
