For it is the truth that health is the wealth of wealth
L’appel d’offres qui vise à préparer la migration de la Plateforme des données de santé (autrement appelée Health Data Hub) vers un hébergement autre que Microsoft Azure a été lancé. Le marché prévoit une enveloppe de 6,2 millions d’euros sur quatre ans pour mettre en place cette solution qualifiée d’intercalaire, capable d’accueillir une copie de la base principale du Système national des données de santé (SNDS).
Chose promise, chose due ? Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, a annoncé mardi le lancement imminent de l’appel d’offres dédié à la sélection d’un hébergeur autre que Microsoft pour la Plateforme des données de santé, ou Health Data Hub (on parle indifféremment de PDS ou de HDH).
Jeudi, le marché public correspondant a bien été publié : il dessine les contours de la fameuse « solution intercalaire », chargée d’offrir une forme de tuilage entre l’hébergement actuel, opéré par Microsoft Azure, et une future infrastructure souveraine…
Une solution intercalaire ?
« L’intelligence artificielle en santé porte des perspectives immenses pour mieux soigner. Mais elle ne pourra tenir ses promesses qu’en protégeant les données sensibles qui la nourrissent. La migration de la Plateforme Des Données de Santé (Health Data Hub) vers un hébergement souverain constitue une avancée décisive », a déclaré mardi Clara Chappaz, citée dans un communiqué du ministère de la Santé.
Ce dernier, publié mardi, indique que la « plateforme des données de santé a lancé ce jour un appel d’offres pour l’hébergement souverain de la copie du Système National des Données de Santé (SNDS) ».
Officiellement, il s’agit donc d’une promesse tenue. La ministre du Numérique avait en effet affirmé, en séance à l’Assemblée nationale le 8 avril dernier, que la Plateforme des données de santé, ou Health Data Hub, serait bientôt migrée vers un « hébergeur sécurisé ». Cinq semaines plus tard, la promesse a été renouvelée et précisée par Stéphanie Combes, directrice de la Plateforme des données de santé, lors de son audition devant la commission sénatoriale dédiée à la commande publique.
Face aux sénateurs, Stéphanie Combes a d’abord rappelé que la loi SREN de 2024, qui dispose que les données d’une « sensibilité particulière », dont les données de santé, soient hébergées sur une infrastructure garantissant la protection contre d’éventuelles ingérences étrangères, attendait encore son décret d’application.
« L’idée consiste à anticiper en hébergeant une copie de la base principale du SNDS – aujourd’hui maintenue par l’Assurance maladie – dans une solution souveraine placée sous la maîtrise directe du HDH », expliquait-elle alors. D’où cette idée d’une solution intercalaire, entre la base principale du SNDS, aujourd’hui opérée par la Cnam, et le HDH, chargé de faire le pont avec les projets nécessitant l’accès à ces données de santé.
Ingestion, pseudonymisation, extraction
Le règlement du marché public précise l’ambition. « Cette solution vise à doter la PDS d’une infrastructure autonome, capable de recevoir une copie de la base principale du SNDS afin de lui permettre de réaliser des extractions, ciblages et appariements de manière plus fluide et de décharger la CNAM de cette activité ».
Dans le détail, la solution intercalaire doit notamment permettre de gérer le flux entrant des données provenant du SNDS, puis leur pseudonymisation et la validation de leur conformité. Ensuite, elle a vocation à permettre la « réalisation d’extractions et de ciblages de données pour des projets de recherche précis », mais aussi le transfert des jeux de données vers des environnements tiers, répondant aux exigences de sécurité du SNDS. Enfin, la plateforme doit permettre de gérer les accès et habilitations, imports et exports de données, etc.
À ce stade, aucune information précise n’est donnée quant aux exigences particulières en matière d’infrastructures ou d’environnements logiciels. La PDS réserve en effet le cahier des clauses techniques particulières (CCTP), document qui présente habituellement tous ses aspects, aux candidats qui auront franchi le premier tour de sélection et signé un accord de confidentialité ou NDA (non disclosure agreement).
L’exposé des critères pris en compte dans l’évaluation des candidats donne toutefois quelques éléments d’éclairage. Les prestataires qui proposent leurs services seront par exemple évalués sur leur maîtrise technique quant à « l’hébergement et l’exploitation d’une base Oracle massive (par ex. plus de 100 To et plusieurs centaines de tables) associée à un système de requêtage des données sur SAS ».
Ce critère de compétence technique, qui représente 35% de la note finale, est mis au même niveau que celui de la prise en compte des exigences liées à la conformité, le candidat devant démontrer son expérience dans la « mise en œuvre de solutions répondant aux exigences du référentiel du SNDS et, s’il s’appuie sur de l’hébergement cloud, dans la mise en œuvre de solutions qualifiées SecNumCloud 3.2 ».
10% de la note portent par ailleurs sur la capacité à « réaliser une prestation de reprise de données massives depuis des fichiers plats vers une base de données de données relationnelles de type Oracle composée d’environ 2000 tables avec 700 structures différentes ».
Une souveraineté implicite
La publication, fin avril, du premier contrat de filière dédié au numérique de confiance rappelle la sensibilité des questions de préférence nationale ou européenne dans la commande publique, puisque la souveraineté ne peut officiellement constituer un critère de sélection dans les marchés publics.
Pour Stéphanie Combes, si Microsoft avait finalement été retenu en 2019, c’est parce que, en dépit de rencontres avec une dizaine d’acteurs, « seule la solution proposée par Microsoft répondait à l’ensemble des prérequis ».
Cette fois, les travaux préparatoires à l’appel d’offres devraient permettre à des acteurs alternatifs de se positionner, et si le dossier a tant traîné, c’est selon elle parce que l’offre n’était pas encore au niveau, même en 2024. « Une dernière étude indépendante de la Dinum a été menée courant 2024. L’ensemble de ces études a confirmé que les offres alternatives restaient pour le moment insuffisantes au regard des exigences de sécurité ».
Les travaux préliminaires à la publication de l’appel d’offres, menés début 2025 auprès de « 10 à 15 acteurs », auraient cependant montré des progrès significatifs. Bleu (Orange, Capgemini et Microsoft) et S3ns (Thales et Google), tous deux candidats à la certification SecNumCloud, étaient-ils du nombre ?
Quel hébergement cible
En attendant la sélection du prestataire chargé de réaliser cette solution intercalaire, et en admettant que les enjeux de souveraineté confirment la nécessité de quitter Microsoft, la question de l’hébergement cible du HDH reste ouverte.
« Un groupe de travail réunissant la DINUM, la PDS, la DNS, et l’ANSSI, avec l’appui d’Inria, et en lien avec les offreurs de cloud de confiance sera mis en place afin d’affiner les besoins de la PDS en services cloud et de définir les exigences minimales permettant un hébergement sur une offre qualifiée SecNumCloud. Cette solution permettra d’héberger tous les services de la PDS, appelée « la solution cible » », indique (PDF) un dossier de presse du ministère de la Santé.
Connexion
