Health Data Hub : L'État cherche à se détourner de Microsoft, mais se heurte à des complications avec SecNumCloud
Le gouvernement français a décidé de changer sa méthode pour sélectionner un remplaçant à Microsoft Azure, en place depuis plusieurs années pour l'hébergement des données du Health Data Hub. Comme l'a rapporté L’Usine Digitale, l'exécutif a abandonné l'appel d'offres classique au profit d'une consultation accélérée via le marché interministériel Nuage public de l'Union des groupements d'achats publics (UGAP).
Objectif : accélérer la migration des données
Cette réorientation vise à accélérer la migration de la base principale du Système national des données de santé (SNDS), qui est le socle du Health Data Hub. Les candidats ont jusqu'au 30 mars 2026 pour soumettre leur devis à l'UGAP. La décision finale est attendue trois mois plus tard, avec une transition prévue d'ici la fin de l'année.
Un changement de cadre de sélection
Le recours à l'UGAP modifie le cadre de sélection habituel. Un appel d'offres classique permettrait d'établir un cahier des charges détaillé et juridiquement contraignant, intégrant des exigences techniques et de sécurité précises. En revanche, le marché Nuage public repose sur une consultation plus flexible, appuyée par un catalogue d'offres existantes et des demandes de devis auprès de prestataires déjà référencés. Cette approche vise à réduire les délais et à élargir le panel de candidats.
Les controverses autour de SecNumCloud
Dans ce nouveau contexte, une controverse a émergé autour de SecNumCloud. Le visa de sécurité, délivré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), atteste du plus haut niveau de sécurité pour les données. Selon L’Informé, la mention de cette certification ne serait plus clairement indiquée dans les documents de la consultation, permettant ainsi à des acteurs en cours de qualification de soumettre leur candidature sans avoir encore obtenu cette certification.
Contacté à plusieurs reprises par L’Usine Digitale, le ministère de la Santé a affirmé que la référence à SecNumCloud était toujours incluse dans le processus, tout en refusant de fournir le texte détaillant les critères exigés. Un fournisseur de services cloud a toutefois déclaré que, d'après sa première lecture des documents, SecNumCloud n'était pas explicitement mentionné, corroborant ainsi les informations de L’Informé.
Un historique tumultueux pour le Health Data Hub
Cette incertitude n'est pas surprenante. Depuis sa création, le Health Data Hub a été confronté à une série de revirements, de retards et de décisions contradictoires, brouillant ainsi la doctrine de l'État sur l'hébergement des données de santé. Le choix initial de Microsoft, contesté dès 2020, avait donné lieu à des promesses répétées de sortie rapide, sans résultats concrets dans les délais prévus.
Au fil du temps, les orientations ont été modifiées à plusieurs reprises : des bascules annoncées ont été repoussées, des solutions transitoires envisagées puis abandonnées, et les exigences ont été tour à tour durcies puis assouplies.
Recommandations de la CNIL
Dans sa consultation du 31 janvier 2024 sur l'hébergement du Health Data Hub, la Commission nationale de l'informatique et des libertés (CNIL) a recommandé, pour les bases de données de santé les plus sensibles, de recourir à des prestataires soumis exclusivement au droit de l'Union européenne ou bénéficiant de certifications de sécurité renforcées, mentionnant SecNumCloud comme une référence pertinente.
Enjeux financiers et symboliques
Bien que le marché reste limité financièrement, il est hautement symbolique. Le choix du futur hébergeur du Health Data Hub conditionnera la crédibilité de la stratégie française en matière de souveraineté numérique et sa capacité à influencer la mise en œuvre de l'Espace européen des données de santé (EHDS).
En conclusion, le gouvernement devra naviguer habilement dans ce contexte complexe pour garantir la sécurité et l'intégrité des données de santé, tout en répondant aux attentes de la communauté et en respectant les exigences de transparence.
