OVHcloud se positionne sur le Health Data Hub pour remplacer Microsoft Azure

Qui pour remplacer Microsoft Azure au poste d'hébergeur du Health Data Hub ? OVHcloud semble se positionner sur ce dossier. Octave Klaba, le fondateur et président de l'entreprise roubaisienne, a publié un message sur le réseau social X (ex-Twitter) dans lequel il expose "les exigences techniques" permettant de faire fonctionner le Health Data Hub ; détails dont il dit avoir eu accès en décembre. "Nous avons apprécié de pouvoir comprendre ce qu'HDH a besoin techniquement pour fonctionner", écrit-il dans son message posté le 30 décembre 2023. 

Six versions du fichier

En l'espace de "2-3 semaines", Octave Klaba explique avoir reçu "6 versions du fichier" avec une augmentation des exigences pour héberger cette base qui regroupe l'ensemble des données de santé des Français. Par ailleurs, il a publié des tableaux comparant les critères exigés par le Health Data Hub et les capacités actuellement offertes par "Cloud Public", le service de cloud public d'OVH, couplé à l'option "hébergeur de données de santé" (HDS). Cette dernière est obligatoire pour pouvoir héberger des données de santé. 

Parmi les exigences, se trouve la possession de la qualification "SecNumCloud" par l'entreprise souhaitant héberger le Health Data Hub. Une surprise, écrit Octave Klaba qui explique que c'est la première fois qu'on lui réclame une telle qualification pour l'hébergement de données de santé. Il s'étonne également du fait "qu'Azure assure l'hébergement du HDH avec la certification HDS" uniquement. "Alors pourquoi demander SecNumCloud à OVHcloud au lieu de rester sur la certification HDS ? C'est curieux mais je pense qu'un moment ou l'autre on aura une réponse", note-t-il. La réponse est disponible dans une circulaire du 31 mai 2023 de la Première ministre Elisabeth Borne qui actualise la doctrine gouvernementale "Cloud au centre" présentée en mai 2021.

Ce texte prévoit que "si le système ou l'application informatique traite des données, à caractère personnel ou non, d'une sensibilité particulière et dont la violation est susceptible d'engendrer une atteinte (...) à la santé et la vie des personnes, l'offre de cloud commerciale retenue devra impérativement respecter la qualification SecNumCloud (...)". Il précise que les données dotées "d'une sensibilité particulière" recouvrent "les données nécessaires à l'accomplissement des missions essentielles de l'Etat', telles que "la protection de la santé et de la vie des personnes". Les données hébergées par le Health Data Hub semblent rentrer dans le champ d'application. 

5 fournisseurs qualifiés SecNumCloud

Pour rappel, la qualification "SecNumCloud" est délivrée par l'Agence nationale de la sécurité des systèmes d'information (Anssi) et a pour objectif de "promouvoir, enrichir et améliorer l'offre de prestataires de confiance à destination des entités publiques et privées souhaitant externaliser l'hébergement de leurs données, applications ou systèmes d'information", peut-on lire sur son site. Le label étant particulièrement exigeant, seuls cinq fournisseurs de services cloud ont été certifiés par l'autorité française. Il s'agit d'Oodrive, d'Outscale, OVHcloud, Cloud Temple et Worldline (dans le périmètre restreint de son cloud privé).

Cette qualification est née du constat suivant : il n'existait aucun référentiel de sécurité nationale pour les fournisseurs de cloud. A la suite à la promulgation de la Loi de Programmation Militaire en 2013, l'Anssi s'est entourée de neuf acteurs du secteur du cloud computing pour former un groupe de travail et réfléchir à la création d'un visa de sécurité reposant sur un référentiel exigeant. Fin 2016, la première version du SecNumCloud est publiée.

La dernière version – la version 3.2 – a été adoptée en mars 2022 et avait notamment comme objectif d'expliciter les critères de protection vis-à-vis des lois étrangères dans le contexte de l'arrêt Schrems II. En juillet 2020, la Cour de justice de l'Union européenne a sabré le Privacy Shield, le texte qui permettait de faciliter les flux de données personnelles entre l'Union européenne et les Etats-Unis en assurant que les deux entités avaient un niveau de protection équivalent. Les nouvelles exigences de la version 3.2 garantissent ainsi que "le fournisseur de services cloud et les données qu'il traite ne peuvent être soumis à des lois non européennes". 

Azure, hébergeur du HDH jusqu'en 2025

Actuellement, le Health Data Hub est hébergé par Azure. Malgré les nombreuses critiques sur ce choix, le gouvernement ne devrait pas changer de fournisseur jusqu'en 2025, date laquelle les travaux de migration vers "une solution cloud souverain" seront mis en oeuvre, avait expliqué Stéphanie Combes, la directrice du Health Data Hub, auprès du média spécialisé TICpharma, en septembre 2022.

Cette procédure est loin d'être simple. Le dilemme : trouver une solution souveraine qui est capable de répondre aux besoins d'une gigantesque base de données. "Le benchmark est en cours de finalisation mais j'ai déjà les résultats et le constat est toujours le même : il y a encore un écart trop important concernant les fonctionnalités, notamment de sécurité (tout ce qui est gestion des logs, gestion des clés de chiffrement..", détaillait la directrice à cette époque.

Outscale, un concurrent de taille

OVHcloud devra faire face à un concurrent : Outscale, la filiale cloud de Dassault Système. Cette dernière présente au moins deux avantages. Le premier est d'ordre technique : elle a reçu la version 3.2 de SecNumCloud, soit la dernière version adoptée par l'Anssi. Elle remplit donc les standards les plus élevés en matière de protection des données.

Le second avantage est plutôt d'ordre commercial. Outscale s'est allié à Docaposte (filiale numérique de La Poste), la Banque des Territoires et Bouygues Telecom pour lancer NumSpot poursuivant l'ambition suivante : proposer "une offre cloud indépendante, souveraine et robuste". Notons également que Docaposte a récemment annoncé une réorganisation de ses activités au sein du pôle "Horizon santé 360" pour devenir un partenaire de référence dans la valorisation des données de santé.