https://vieviewer.com/
https://openbi.org/

Acteurs

Microsoft prestataire du Health Data Hub: un choix "d'opportunité" pour "aller vite"

0 240

PARIS (TICsanté) - La sélection du cloud Azure de Microsoft comme prestataire d'hébergement du Health Data Hub n'est "pas idéale" mais correspond à un "choix d'opportunité" afin "d'aller vite" dans le développement de la plateforme, a indiqué la directrice du hub Stéphanie Combes à TICsanté.

Le choix de Microsoft Azure a été critiqué par plusieurs dizaines de professionnels du secteur de la santé et de l’informatique médicale dans une tribune publiée par le Monde, et fait l'objet d'articles dans ce journal et dans Mediapart début décembre.

Les principaux reproches sont le choix d'une entreprise américaine présentant un risque de sécurité et de "captivité numérique", en particulier du fait du Cloud Act, loi permettant à la justice américaine d'accéder aux données stockées sur des serveurs situés en dehors des Etats-Unis.

Microsoft Azure fournit notamment "le stockage, la gestion des logs et des annuaires" et la puissance de calcul du hub, a précisé Stéphanie Combes.

Interrogée sur ce choix, elle a rétorqué que "nous avions besoin d'une plateforme à l'état de l'art, et ce n'est pas le rôle du ministère des solidarités et de la santé de la construire". "Nous étions conscients que ce n'est pas un choix idéal et potentiellement polémique. On aurait préféré un acteur français", a-t-elle développé.

Au lancement du Health Data Hub à l'automne 2018, "nous avons rencontré tous les acteurs de l'écosystème", a-t-elle relayé. "Nous avons commencé par les acteurs français: Thalès, OVH, Atos… Aucun n'était en mesure de faire ce que nous demandions. Puis nous avons rencontré Google, Amazon web services (AWS) et Microsoft."

Ce dernier était "le seul capable de répondre à nos demandes", a indiqué la directrice du hub. "On a préféré aller vite pour ne pas prendre de retard et pénaliser la France par rapport aux autres pays".

Microsoft était alors "la seule société certifiée hébergeur de données de santé (HDS) sur les six activités" couvertes par la réglementation, a fait valoir Jean-Renaud Roy, directeur "corporate affairs" de Microsoft France, lors de son audition par la mission d'évaluation et de contrôle des lois de financement de la sécurité sociale (Mecss) de l'Assemblée nationale le 20 décembre. Un argument également mis en avant Stéphanie Combes.

"S'il y avait eu une alternative, nous aurions dû passer par un marché public et la procédure aurait été beaucoup plus longue", a déclaré Stéphanie Combes.

Une "dispense de marché public" est possible "si une seule entreprise est capable de répondre à l'offre", a indiqué Pierre Desmarais, avocat spécialisé en droit du numérique et des données contacté par TICsanté. Microsoft étant une des seules entreprises certifiées à l'époque, "ce n'est pas incohérent", a-t-il commenté.

De son côté, Microsoft fait valoir qu'elle "n'est qu'un fournisseur de technologies de cloud, d'intelligence artificielle (IA) et de maniement des données" et "n'a pas à connaître les données hébergées", a déclaré Jean-Renaud Roy.

Azure "n'est qu'une brique technologique parmi d'autres", a confirmé Stéphanie Combes. "Les données seront pseudonymisées et chiffrées, et Microsoft n'aura pas la clé de chiffrement."

Un bilan de sécurité "globalement positif"

Interrogé par la Mecss sur la sécurité des données, Laurent Schlosser, directeur secteur public de Microsoft France, a également mis en avant le fait que Microsoft ne pourra déchiffrer les données, et qu'elles seront pseudonymisées.

"Nous avons monté une architecture de défense en profondeur dans laquelle Microsoft n'est encore qu'une brique parmi d'autres", a indiqué Stéphanie Combes à TICsanté.

Un audit de sécurité sur l'ensemble du hub a été réalisé avec l'appui de l'agence nationale de sécurité des systèmes d'information (Anssi), qui "accompagne" son développement. Il a été soumis à "neuf scénarios de cyberattaque", et le bilan a été "globalement positif".

La centralisation des données dans le Health Data Hub a également été présentée comme un facteur de risque de sécurité par la tribune publiée dans le Monde.

"Si on veut faire du traitement de données à cette échelle, on doit centraliser, c'est la seule solution", a observé Stéphanie Combes. "Aujourd'hui, la réalité de terrain, c'est que les données sont traitées sans aucune exigence de sécurité", a-t-elle ajouté.

L'Anssi a été interrogée sur le risque posé par la centralisation des données devant la Mecss. Pour Yves Verhoeven, sous-directeur stratégie de l'agence, elle permet "d'augmenter le niveau de sécurité".

"Aujourd'hui, la capacité à apporter des bonnes pratiques numériques est relativement limitée dans le monde de la santé. La capacité en ressources humaines en cybersécurité est aussi limitée. Il y a une grande hétérogénéité des systèmes d'information, mais un niveau de sécurité faible. La rationalisation est la voie de la raison", a-t-il détaillé.

Pour Microsoft, "il n'y a aucun problème" au sujet du Cloud Act

Au sujet du Cloud Act, Stéphanie Combes comme les responsables de Microsoft auditionnés par la Mecss, ont mis en avant le fait que cette loi concerne des enquêtes judiciaires en matière de criminalité et de terrorisme.

"Il n'y a aucun problème de notre côté", a déclaré Jean-Renaud Roy devant la Mecss.

Me Pierre Desmarais a expliqué que la loi américaine "prévoit effectivement que tout fournisseur américain de services opérant hors des Etats-Unis peut être amené à fournir des informations" au gouvernement américain, voire à des gouvernements américains si des accords bilatéraux le prévoient.

Mais "l'injonction doit concerner un crime ou un acte terrorisme, donc a priori les données de santé ne sont pas concernées". Elle doit "viser des données précises et nominatives, donc on voit mal comment un juge pourrait s'intéresser aux données de santé".

L'injonction peut être contestée "quand la requête ne concerne pas un citoyen américain ou une personne résidant aux Etats-Unis et qu'elle viole une loi étrangère, or nous avons le RGPD [Règlement général européen relatif à la protection des données personnelles, nldr] et le code de la santé publique." Enfin, "le Cloud Act impose la transmission des données mais pas leur déchiffrement", a-t-il expliqué.

Interrogée sur le risque de captivité des données, Stéphanie Combes a indiqué que le hub n'utilisera pas de formats propriétaires, et qu'Azure "fournit des bureaux virtuels qui feront tourner des logiciels open source ou des logiciels captifs".

Léo Caravagna
leo.caravagna@apmnews.com

http://www.computer-engineering.fr/

En bref

Le groupe Web100T enrichit ses logiciels avec Alticap

Le groupe Web100T a annoncé fin mars la signature d'un partenariat avec la société Alticap afin d'intégrer à son offre logicielle des solutions de comptabilité et de gestion de la paie et des ressources humaines "adaptées aux exigences du marché de la santé".

0 501

Politique

Les activités d'infogérance bientôt retirées de la certification HDS

LE MANS (TICsanté) - Les activités d'infogérance devraient être extraites "dans les mois qui viennent" du périmètre de certification des hébergeurs de données de santé, pour laisser place à un encadrement spécifique faisant actuellement l'objet d'une réflexion à l'Agence des systèmes d'information partagés de santé (Asip santé), a déclaré mardi Jean-François Parguet, directeur du pôle technique et sécurité de l'agence.

0 670

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
4 + 4 =
http://www.canyon.fr/
http://www.mediane.tm.fr/mediane-planning-sanitaire/

Les offres APMjob.com

https://www.santexpo.com/infos-pratiques/obtenez-badge-visiteur/?utm_campaign=SE&utm_source=SW&utm_medium=BAN&utm_term=TICSANTE

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • Hacking Health Camp 2020

    Du 20/03/2020 au 22/03/2020

  • 8e congrès de l'Apssis

    Du 31/03/2020 au 02/04/2020

  • 3e colloque sur l'imagerie à l'heure de l'IA

    Le 22/04/2020

  • 6e Journées des start-up innovantes du dispositif médical

    Le 12/05/2020

  • SIDO 2020

    Du 12/05/2020 au 13/05/2020

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 26/05/2020 au 28/05/2020

  • 12e colloque données de santé en vie réelle

    Le 16/06/2020

  • HealthTech Innovation Days

    Du 22/06/2020 au 23/06/2020