Le gouvernement français change de stratégie pour l'hébergement du Health Data Hub en abandonnant l'appel d'offres classique au profit d'une consultation accélérée via l'UGAP. Ce changement soulève des questions sur la certification SecNumCloud, cruciale pour la sécurité des données. Malgré des promesses de transparence, des incertitudes persistent quant aux critères de sélection des prestataires, affectant la crédibilité de la souveraineté numérique de la France.
Le gouvernement français a décidé de modifier son approche pour trouver un remplaçant à Microsoft Azure, qui est attendu depuis plusieurs années pour l'hébergement des données du Health Data Hub. Comme l'indique L’Usine Digitale, l'exécutif a renoncé à un appel d'offres traditionnel au profit d'une consultation accélérée via le marché interministériel "Nuage public" de l'UGAP (Union des groupements d'achats publics).
Objectif : Accélérer la migration des données
Selon le ministère de la Santé, cette réorientation vise principalement à accélérer la migration de la base principale du Système national des données de santé (SNDS), qui constitue le socle du Health Data Hub. Les candidats intéressés ont jusqu'au 30 mars 2026 pour soumettre leur devis à l'UGAP. La décision finale est attendue trois mois plus tard, avec une transition prévue d'ici la fin de l'année.
Un cadre de sélection modifié
Le passage par l'UGAP modifie considérablement le cadre de sélection. Un appel d'offres classique permettrait d'établir un cahier des charges détaillé et juridiquement opposable, intégrant des exigences techniques et de sécurité. En revanche, le marché "Nuage public" repose sur une consultation plus souple, adossée à un catalogue d'offres existantes et à des demandes de devis auprès de prestataires déjà référencés. Ce choix offre à l'État la possibilité de réduire les délais et d'élargir le vivier de candidats.
La controverse autour de SecNumCloud
C'est dans ce nouveau contexte qu'une controverse a émergé concernant la certification SecNumCloud. Ce visa de sécurité, délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi), atteste du plus haut niveau de sécurisation des données. Cependant, comme l'a révélé le média L’Informé, la référence à cette certification ne serait plus clairement mentionnée dans les documents de consultation.
Il semblerait que l'objectif soit de permettre à des acteurs en cours de qualification de candidater sans avoir encore obtenu le sésame, afin de ne pas restreindre excessivement la concurrence. Pourtant, contacté à plusieurs reprises par L’Usine Digitale, le ministère de la Santé a assuré que la mention du visa SecNumCloud figurait toujours dans le dispositif, tout en refusant de communiquer le texte précisant les critères exigés.
Des promesses non tenues
Le gouvernement avait promis la publication de ce document le 9 février. Pourtant, un fournisseur de cloud a affirmé le contraire, précisant que, selon sa première lecture du document, SecNumCloud n'était pas explicitement mentionné. Cette déclaration corrobore donc les propos recueillis par L’Informé.
Ce flou n'a rien d'étonnant. Depuis sa création, le Health Data Hub est en proie à une succession de revirements, de retards et d'arbitrages contradictoires, brouillant durablement la doctrine de l'État sur l'hébergement des données de santé. Le choix initial de Microsoft, contesté dès 2020, a donné lieu à des promesses répétées de sortie rapide, sans jamais aboutir dans les délais annoncés.
Une trajectoire incertaine
Au fil des années, cette trajectoire a été réécrite à plusieurs reprises : une bascule annoncée puis repoussée, une solution transitoire envisagée avant d'être abandonnée, des exigences durcies puis assouplies. Dans sa consultation du 31 janvier 2024 sur l'hébergement du Health Data Hub, la Commission nationale de l'informatique et des libertés (Cnil) avait recommandé, pour les bases de données de santé les plus sensibles, de faire appel à des prestataires soumis exclusivement au droit de l'Union européenne ou bénéficiant de certifications de sécurité renforcées, citant SecNumCloud comme référence pertinente.
Un enjeu symbolique et financier
Le marché reste limité financièrement mais est hautement symbolique. Le choix du futur hébergeur du Health Data Hub conditionnera la crédibilité de la stratégie française de souveraineté numérique et sa capacité à peser dans la mise en œuvre de l'Espace européen des données de santé (EHDS).
Alors que le secteur du numérique évolue rapidement, la gestion des données de santé est devenue un enjeu essentiel pour garantir la sécurité et la confidentialité des informations. Le gouvernement doit clarifier sa position et garantir que les normes de sécurité les plus élevées soient respectées dans ce processus critique.
Galerie
