Le gouvernement français change de méthode pour l'hébergement du Health Data Hub, abandonnant l'appel d'offres classique pour une consultation via l'UGAP, mais la question de la certification SecNumCloud soulève des inquiétudes. La décision finale est attendue pour la fin de l'année, après plusieurs années de retards et de revirements.
Le gouvernement français a décidé de réorienter sa stratégie concernant l’hébergement des données du Health Data Hub, en mettant de côté l’appel d’offres traditionnel pour se tourner vers le marché interministériel “Nuage public” de l’Union des groupements d’achats publics (UGAP). Cette décision, qui intervient après plusieurs années d’attente pour remplacer Microsoft Azure, a pour but d’accélérer la migration des données du Système national des données de santé (SNDS), qui constitue la pierre angulaire du Health Data Hub.
Un calendrier serré pour les candidats
Les fournisseurs intéressés ont jusqu’au 30 mars 2026 pour soumettre leur devis à l’UGAP. La décision finale devrait être rendue trois mois plus tard, avec une transition prévue d’ici la fin de l’année. Toutefois, cette nouvelle méthode de sélection, plus souple que l’appel d’offres classique, soulève des questions quant à la rigueur des critères techniques et de sécurité.
La controverse autour de SecNumCloud
Dans ce contexte de changement, une polémique a émergé concernant la référence à SecNumCloud, le visa de sécurité délivré par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Cette certification atteste d’un niveau de sécurité des données optimal. Selon un rapport du média L’Informé, cette référence ne serait plus clairement mentionnée dans la documentation de la consultation, ce qui pourrait permettre à des candidats encore en phase de qualification de participer sans avoir obtenu ce précieux sésame.
Les assurances du ministère de la Santé
Malgré les inquiétudes, le ministère de la Santé a affirmé à plusieurs reprises que la référence à la certification SecNumCloud demeurait dans le cadre de la consultation. Cependant, les responsables ont refusé de partager le texte détaillant les critères exigés, suscitant encore plus de doutes parmi les acteurs du secteur. Bien que le gouvernement ait promis de rendre ce document public le 9 février, un fournisseur de services cloud a signalé que, selon une première analyse, SecNumCloud n’était pas explicitement mentionné.
Un parcours semé d'embûches pour le Health Data Hub
Depuis sa création, le Health Data Hub a été le théâtre de nombreux revirements, de retards et de décisions contradictoires, créant une confusion sur la politique de l'État en matière d'hébergement des données de santé. L'option initiale de recourir à Microsoft, critiquée dès 2020, a été accompagnée de promesses répétées de trouver une solution rapide, mais celles-ci n’ont jamais été honorées dans les délais prévus.
Des recommandations sur les prestataires
Dans sa consultation du 31 janvier 2024 sur l’hébergement du Health Data Hub, la Commission nationale de l’informatique et des libertés (Cnil) a conseillé d'utiliser des prestataires soumis exclusivement au droit de l’Union européenne ou possédant des certifications de sécurité renforcées, citant SecNumCloud comme référence pertinente pour les bases de données de santé les plus sensibles.
Un marché symbolique pour la souveraineté numérique
Bien que le marché de l’hébergement des données de santé soit financièrement limité, il revêt une importance symbolique majeure. Le choix du futur hébergeur du Health Data Hub aura un impact significatif sur la crédibilité de la stratégie française en matière de souveraineté numérique et sur sa capacité à influencer la mise en œuvre de l’Espace européen des données de santé (EHDS).
Conclusion
En somme, le développement du Health Data Hub est marqué par un chemin semé d’embûches, et la question de la sécurité des données, mise en lumière par le flou entourant la certification SecNumCloud, demeure cruciale pour l’avenir de la gestion des données de santé en France.
Galerie
