https://vieviewer.com/
https://www.sham.fr/vos-donnees?utm_source=site_web&utm_medium=banner&utm_campaign=banniereticsanteseptembresite&utm_term=&utm_content=

Acteurs

Microsoft prestataire du Health Data Hub: un choix "d'opportunité" pour "aller vite"

0 674

PARIS (TICsanté) - La sélection du cloud Azure de Microsoft comme prestataire d'hébergement du Health Data Hub n'est "pas idéale" mais correspond à un "choix d'opportunité" afin "d'aller vite" dans le développement de la plateforme, a indiqué la directrice du hub Stéphanie Combes à TICsanté.

Le choix de Microsoft Azure a été critiqué par plusieurs dizaines de professionnels du secteur de la santé et de l’informatique médicale dans une tribune publiée par le Monde, et fait l'objet d'articles dans ce journal et dans Mediapart début décembre.

Les principaux reproches sont le choix d'une entreprise américaine présentant un risque de sécurité et de "captivité numérique", en particulier du fait du Cloud Act, loi permettant à la justice américaine d'accéder aux données stockées sur des serveurs situés en dehors des Etats-Unis.

Microsoft Azure fournit notamment "le stockage, la gestion des logs et des annuaires" et la puissance de calcul du hub, a précisé Stéphanie Combes.

Interrogée sur ce choix, elle a rétorqué que "nous avions besoin d'une plateforme à l'état de l'art, et ce n'est pas le rôle du ministère des solidarités et de la santé de la construire". "Nous étions conscients que ce n'est pas un choix idéal et potentiellement polémique. On aurait préféré un acteur français", a-t-elle développé.

Au lancement du Health Data Hub à l'automne 2018, "nous avons rencontré tous les acteurs de l'écosystème", a-t-elle relayé. "Nous avons commencé par les acteurs français: Thalès, OVH, Atos… Aucun n'était en mesure de faire ce que nous demandions. Puis nous avons rencontré Google, Amazon web services (AWS) et Microsoft."

Ce dernier était "le seul capable de répondre à nos demandes", a indiqué la directrice du hub. "On a préféré aller vite pour ne pas prendre de retard et pénaliser la France par rapport aux autres pays".

Microsoft était alors "la seule société certifiée hébergeur de données de santé (HDS) sur les six activités" couvertes par la réglementation, a fait valoir Jean-Renaud Roy, directeur "corporate affairs" de Microsoft France, lors de son audition par la mission d'évaluation et de contrôle des lois de financement de la sécurité sociale (Mecss) de l'Assemblée nationale le 20 décembre. Un argument également mis en avant Stéphanie Combes.

"S'il y avait eu une alternative, nous aurions dû passer par un marché public et la procédure aurait été beaucoup plus longue", a déclaré Stéphanie Combes.

Une "dispense de marché public" est possible "si une seule entreprise est capable de répondre à l'offre", a indiqué Pierre Desmarais, avocat spécialisé en droit du numérique et des données contacté par TICsanté. Microsoft étant une des seules entreprises certifiées à l'époque, "ce n'est pas incohérent", a-t-il commenté.

De son côté, Microsoft fait valoir qu'elle "n'est qu'un fournisseur de technologies de cloud, d'intelligence artificielle (IA) et de maniement des données" et "n'a pas à connaître les données hébergées", a déclaré Jean-Renaud Roy.

Azure "n'est qu'une brique technologique parmi d'autres", a confirmé Stéphanie Combes. "Les données seront pseudonymisées et chiffrées, et Microsoft n'aura pas la clé de chiffrement."

Un bilan de sécurité "globalement positif"

Interrogé par la Mecss sur la sécurité des données, Laurent Schlosser, directeur secteur public de Microsoft France, a également mis en avant le fait que Microsoft ne pourra déchiffrer les données, et qu'elles seront pseudonymisées.

"Nous avons monté une architecture de défense en profondeur dans laquelle Microsoft n'est encore qu'une brique parmi d'autres", a indiqué Stéphanie Combes à TICsanté.

Un audit de sécurité sur l'ensemble du hub a été réalisé avec l'appui de l'agence nationale de sécurité des systèmes d'information (Anssi), qui "accompagne" son développement. Il a été soumis à "neuf scénarios de cyberattaque", et le bilan a été "globalement positif".

La centralisation des données dans le Health Data Hub a également été présentée comme un facteur de risque de sécurité par la tribune publiée dans le Monde.

"Si on veut faire du traitement de données à cette échelle, on doit centraliser, c'est la seule solution", a observé Stéphanie Combes. "Aujourd'hui, la réalité de terrain, c'est que les données sont traitées sans aucune exigence de sécurité", a-t-elle ajouté.

L'Anssi a été interrogée sur le risque posé par la centralisation des données devant la Mecss. Pour Yves Verhoeven, sous-directeur stratégie de l'agence, elle permet "d'augmenter le niveau de sécurité".

"Aujourd'hui, la capacité à apporter des bonnes pratiques numériques est relativement limitée dans le monde de la santé. La capacité en ressources humaines en cybersécurité est aussi limitée. Il y a une grande hétérogénéité des systèmes d'information, mais un niveau de sécurité faible. La rationalisation est la voie de la raison", a-t-il détaillé.

Pour Microsoft, "il n'y a aucun problème" au sujet du Cloud Act

Au sujet du Cloud Act, Stéphanie Combes comme les responsables de Microsoft auditionnés par la Mecss, ont mis en avant le fait que cette loi concerne des enquêtes judiciaires en matière de criminalité et de terrorisme.

"Il n'y a aucun problème de notre côté", a déclaré Jean-Renaud Roy devant la Mecss.

Me Pierre Desmarais a expliqué que la loi américaine "prévoit effectivement que tout fournisseur américain de services opérant hors des Etats-Unis peut être amené à fournir des informations" au gouvernement américain, voire à des gouvernements américains si des accords bilatéraux le prévoient.

Mais "l'injonction doit concerner un crime ou un acte terrorisme, donc a priori les données de santé ne sont pas concernées". Elle doit "viser des données précises et nominatives, donc on voit mal comment un juge pourrait s'intéresser aux données de santé".

L'injonction peut être contestée "quand la requête ne concerne pas un citoyen américain ou une personne résidant aux Etats-Unis et qu'elle viole une loi étrangère, or nous avons le RGPD [Règlement général européen relatif à la protection des données personnelles, nldr] et le code de la santé publique." Enfin, "le Cloud Act impose la transmission des données mais pas leur déchiffrement", a-t-il expliqué.

Interrogée sur le risque de captivité des données, Stéphanie Combes a indiqué que le hub n'utilisera pas de formats propriétaires, et qu'Azure "fournit des bureaux virtuels qui feront tourner des logiciels open source ou des logiciels captifs".

LĂ©o Caravagna
leo.caravagna@apmnews.com

http://www.computer-engineering.fr/

En bref

Reconnaissance vocale: Nuance Healthcare et Microsoft nouent un partenariat

La société Nuance Healthcare, spécialisée dans les logiciels de reconnaissance vocale et de retranscription à destination des professionnels de santé, et le géant américain Microsoft ont annoncé le 17 octobre avoir noué un partenariat pour accompagner la transformation numérique de la documentation médicale.

0 752

En bref

DMP: une "porte d'entrée" pour permettre aux citoyens de consentir au partage de leurs données (Emmanuel Bacry)

Directeur scientifique du Health Data Hub/Institut national des données de santé (INDS), Emmanuel Bacry a appelé à faire du dossier médical partagé (DMP) "une porte d'entrée permettant à chaque citoyen de donner son accord pour partager ses données de santé dans le cadre de projets de recherche", lors d'une audition à l'Assemblée nationale.

1 768
https://www.lacharente.fr/boite-a-outils/emploi/medecin-generaliste/

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
3 + 4 =
http://www.canyon.fr/
https://openbi.org/
https://www.cegi.fr/nos-solutions/

Les offres APMjob.com

https://exed.mines-paristech.fr/formations/certificat-management-hospitalier-et-du-secteur-de-la-sante/

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 07/10/2020 au 09/10/2020

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021