Fraîchement certifié "hébergeur de données de santé", Oracle se positionne sur le Health Data Hub

Oracle annonce le 30 juin que son service de cloud public "Oracle Cloud Infrastructure" a reçu la bénédiction de l'Agence du Numérique en Santé (ANS). Le géant américain de l'informatique est désormais certifié "hébergeur de données de santé" (HDS), un label lui permettant d'offrir légalement ses services d'hébergement aux organismes de santé français. Ce certificat est délivré pour une durée de trois ans.

Protéger les données de santé
Depuis 2018, le code de la santé publique exige que "toute personne physique ou morale qui héberge de données de santé, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet". L'objectif de cette réglementation est de protéger les données de santé particulièrement sensibles. De plus en plus de personnels médicaux utilisent des outils grand public pour échanger des informations comme l'application WhatsApp. Or ces solutions ne présentent pas toutes le niveau de sécurité informatique requis pour échanger et stocker ces informations.

Oracle, qui héberge les données du groupement hospitalier francilien l'AP-HP, du Centre d'achat de l'informatique hospitalière (CAIH) ou encore de la Caisse nationale de l'assurance maladie (Cnam), devait donc se mettre en conformité. A défaut, l'entreprise américaine n'était plus autorisée à travailler avec ces organismes. Pour les utilisateurs finaux, la certification "HDS" ne change rien. Le contenu des services proposés n'est pas modifié.

Oracle était presque déjà en pleine conformité
Reste que ce label est une preuve d'un haut niveau de sécurité pour les données transitant par les services de cloud. "Nous n'avons pas eu grand-chose à modifier car nous avions déjà les ingrédients pour être certifié HDS", précise Philippe Rousset, Senior director responsable du secteur public d'Oracle France, interrogé par L'Usine Digitale. La procédure nécessite la tenue d'un audit réalisé par un organisme certificateur accrédité par le Comité français d'accréditation (Cofrac). Oracle a choisi Ernst & Young CertifyPoint. Chaque année, un audit de surveillance est effectué.

La certification HDS du cloud public d'Oracle arrive à un moment bien particulier. Le gouvernement vient d'annoncer la publication prochaine d'un appel d'offres pour l'hébergement du Health Data Hub. L'hébergement de cette base nationale de données de santé avait été attribué à l'origine au cloud Azure de Microsoft mais le choix d'un acteur américain était très critiqué, les opposants accusant même le gouvernement de favoritisme en l'absence d'une procédure d'appel d'offres.

Cela peut-il intéresser Oracle ? "Nous sommes de toute façon impliqués dans le Health Data Hub", confie Philippe Rousset, qui explique que les deux sociétés américaines ont noué un partenariat en juin 2019 qui permet à leur cloud respectif d'être interopérable. Concrètement, "le client a une seule console d'adressage dans le système d'information. Cela permet d'avoir une solution multi-cloud avec un seul point d'accès". En d'autres termes, si Microsoft reste favori, le ministère de la Santé pourra choisir une solution mixte où Oracle sera présent.... Mais l'entreprise américaine veut également tenter sa chance en solitaire. "Oracle, plus que n'importe quel acteur de par son ADN centré sur la sécurité de l'information, se positionne sur cet appel d'offres", confie Philippe Rousset.

La souveraineté européenne à privilégier
A noter que la certification "HDS" n'impose pas l'hébergement des données en France. D'ailleurs, le géant américain ne dispose pas de data center dans l'Hexagone. Mais, pour Philippe Rousset, cette dimension n'est pas incompatible avec la notion de "souveraineté numérique", notion au centre des critiques sur le Health Data Hub.

Si le gouvernement choisit des acteurs américains, c'est que les services français ne conviennent pas, analyse-t-il. Un point de vue partagé par Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France. "Il se trouve que Microsoft a été la première société à être officiellement agréée. Quand il a fallu faire un choix, il s'est naturellement orienté vers la seule solution qui était disponible sur le marché à l'époque", avançait-il à L'Usine Digitale lors d'un entretien accordé dans le cadre du Forum International de la Cybersécurité (FIC).

Philippe Rousset estime de son côté que la souveraineté européenne est à privilégier. "La souveraineté française est compliqué. Il faudrait qu'il y ait des Microsoft, des Amazon Web Services et des Oracles français. Ce n'est pas le cas. Par contre, la souveraineté est plus envisageable dans un consortium au niveau européen", conclut-il.

Sélectionné pour vous

L'OMS va créer un système de certificats numériques international inspiré par le pass Covid européen

IA Medical lève 1,4 million d’euros pour diffuser son chatbot contre Alzheimer

Un an après son rachat par Microsoft, Nuance coupe dans ses effectifs