Health Data Hub : le choix initial de Microsoft Azure motivé par le besoin d’aller vite

Spread the love
  • Yum

Health Data Hub : le choix initial de Microsoft Azure motivé par le besoin d'aller vite

La directrice du Health Data Hub, Stéphanie Combes, est revenue sur les arbitrages technologiques qui ont été faits à l’origine de la mission de préfiguration du projet de plateforme, au regard des besoins identifiés et des contraintes techniques.

Interrogée ce jeudi devant les membres de la mission parlementaire “Bâtir et promouvoir une souveraineté numérique nationale et européenne”, Stéphanie Combes a déclaré que le choix du prestataire Microsoft Azure relevait d’une volonté avant tout pragmatique, celle d’aller vite. « Il fallait que l’on développe ces usages numériques en santé sans attendre » justifie Stéphanie Combes, rappelant que la plateforme s’est entouré d’une dizaine d’autres partenaires technologiques, dont la société Open comme intégrateur.

Sur le long terme, la solution américaine se révèle toutefois plus onéreuse que son alternative française OVHcloud. Une étude du marché a en effet permis de constater qu’il était « beaucoup moins cher de construire l’infrastructure Microsoft, notamment parce qu’elle est intégrée », mais qu’en revanche, cela revenait plus cher à l’usage, précise Stéphanie Combes.

publicité

Une liste d’exigences en matière de sécurité et de fonctionnalités

Le choix d’un fournisseur cloud s’est fait sur la base d’une liste d’exigences en termes de sécurité et de fonctionnalités disponibles. Le choix s’est porté sur Microsoft avant toute chose pour « les services managés de sécurité ». Stéphanie Combes déclare qu’il s’agissait, à l’époque, de « la seule solution disposnible à court terme avec la certification HDS, et permettant d’intégrer les fonctionnalités et certifications nécessaires au niveau de sécurité requis ». D’autres critères portaient également sur la performance, notamment en matière de scalabilité.

La réversibilité s’est révélée être aussi un prérequis important dans les discussions dès le départ, assure la directrice. Elle précise que cette exigeance est inscrite « statégiquement et opérationnellement dans ses actions depuis 2019 ».

L’équipe du HDH a mené à ce jour deux études de réversibilité, dont la seconde, en juin 2020, a permis d’identifier « 14 besoins indispensables pour la plateforme ». Stéphanie Combes constate que « pour le moment, cinq besoins sont couverts par un acteur comme OVHcloud. » Elle maintient n’avoir « aucun doute » sur le fait que les acteurs français « ont une roadmap ambitieuse et vont pouvoir réduire le gap ». OVHcloud, pour  ne citer que lui, a pourtant rejoint le club des SecNumCloud cette année.

Le ministre de la santé, Olivier Véran, s’est engagé en novembre dernier à adopter une solution souveraine d’ici à deux ans, et les espoirs ne sont pas morts pour les fournisseurs français et européens. Selon Stéphanie Combes, « ce qui manque collectivement, c’est un benchmark du niveau de maturité des solutions cloud françaises qui soit endossé par l’Etat. »

Selon le gouvernement, les inquiétudes liées au Cloud Act sont sans lien avec les ambitions du Health Data Hub

Stéphanie Combes soutient que le Hub est prêt de son côté à réaliser cette migration, mais que « pour mettre en oeuvre cette réversibilité, il faut que la cible soit prête. Et la cible n’est pas prête. Donc il faut le temps de la construire ». Une fois démarrée, la migration ne devrait prendre que « quelques mois », indique-t-elle.

Dans le même temps, Stéphanie Combes reconnaît que la « définition de la souveraineté » n’est pas encore très claire, ce qui ne facilite pas les échanges.

Sur la question des lois extraterritoriales notamment, à commencer par le Cloud Act, la directrice de la plateforme recommande de traiter le sujet avec « finesse », puisque « ces lois s’appliquent dans certains contextes qui sont pas forcément valables pour tous les hébergements de toutes les données personnelles, et en particulier dans le cadre du hub, où les données sont pseudonymisées ».

Le ministère des solidairités et de la sécurité a d’ailleurs récemment déclaré que les inquiétudes liées au Cloud Act n’ont pas de lien avec les ambitions du Health Data Hub. Ce texte « n’est notamment pas applicable dans le cadre d’action d’espionnage ou d’enquêtes à visée commerciale. Le département de la justice américaine ayant explicitement indiqué que le Cloud Act ne s’applique que pour obtenir des données explicites (dont directement nominatives) de la cible de l’enquête judiciaire, il ne s’appliquera donc pas au contexte du Health Data Hub puisque l’intégralité des données stockées dans la plateforme est dé-identifiée et chacun des jeux de données est indépendamment stocké dans un espace dédié à son producteur et chiffré avec une clé à laquelle Microsoft n’a pas accès ».

La souveraineté et les usages

La directrice du HDH s’inquiète aussi de la finalité des usages. Pour elle, c’est là que réside le débat sur la souveraineté, qui ne doit pas se réduire à la « question de l’hébergement ».

Stéphanie Combes défend une position « agile » pour mener à bien le projet. « On n’aurait même pas le début d’une plateforme si on était parti sur une autre solution aujourd’hui. On est sur un projet extrêmement ambitieux, donc on a plusieurs étapes de réalisation, dont cette étape d’infrastructure souveraine. »

Il reste encore des réalisations à achever, à commencer sur le modèle de financement de la plateforme, qui a besoin de 20 millions d’euros pour fonctionner. Stéphanie Combes voit quelques leviers de financement possibles dans le plan de relance notamment. « Je suis assez confiante sur notre capacité, au niveau interministériel, pour débloquer les 20 millions d’euros qu’il nous faut pour avoir une solution souveraine » glisse la directrice, toujours en attente aussi du décret sur le Health Data Hub, prévu pour « février/mars ».

Leave a Reply

%d bloggers like this: