Certification HDS : puissance VS souveraineté

En ce qui concerne l’obtention de la certification, force est de constater, que la souveraineté ne fait pas partie des critères retenus, même si à une époque, la « géolocalisation » du data center accueillant les données s’est posée. Ce qui a d’ailleurs fortement incité Microsoft a ouvrir des data centers sur le sol Français.

La « territorialité » des données et le RGPD suffisent-ils à assurer la confidentialité des données ?
Le Cloud Act [2} nous montre que non puisque le gouvernement américain peut ordonner à toute entreprise américaine proposant un service d’hébergement de données de lui fournir les données qu’il demande, et ce, peu importe le territoire sur lequel est situé le data center hébergeant les dites données.

Alors même si nous n’avons peut-être pas grand choses à craindre des juges américains en ce qui concerne la confidentialité des données de santé hébergées dans un data center « américain » situé sur le sol français, n’oublions pas que nous laissons une « porte ouverte ». Il y a d’ailleurs beaucoup plus fort à craindre des services de renseignements, comme l’a souligné Guillaume Poupard, questionné sur le sujet, lors des dernières Assises de la Sécurité à Monaco :

« J’ai plus peur des services de renseignements que des juges. »

À ce propos, les révélations d’Edward Snowden sur le programme PRISM [3] nous ont démontré que les acteurs américains ne faisaient pas obstruction aux sollicitations des services de renseignements de leur pays.

Alors, même si je ne doute absolument pas que Microsoft dispose des moyens techniques pour assurer un taux de disponibilité des données supérieur à des acteurs du secteur de la santé français, quoique… doit-on faire abstraction des risques liés à la confidentialité ?

Car même si l’intégrité et la disponibilité des données se placent bien avant la confidentialité dans la hiérarchie du besoin en matière de sécurité des SI de santé, je pense que la certification HDS devrait permettre d’obtenir un niveau largement suffisant pour ces deux premiers critères, sans avoir besoin d’aller chercher plus de puissance chez les GAFAM.

De leur côté, vu qu’ils refusent l’utilisation d’un antivi-RUSSE, ainsi que des routeurs chinois, je ne suis pas certain que les américains accepteraient de voir leurs données de santé hébergées par une société étrangère, qui, de plus, aurait l’obligation de fournir des données à la demande de son gouvernement.

[1] https://news.microsoft.com/fr-fr/2018/11/06/microsoft-1er-acteur-majeur-du-cloud-public-a-etre-certifie-hebergeur-de-donnees-de-sante-en-france/

[2] https://www.hatch.senate.gov/public/_cache/files/6ba62ebd-52ca-4cf8-9bd0-818a953448f7/ALB18102%20(1).pdf 

[3] https://fr.wikipedia.org/wiki/PRISM_(programme_de_surveillance)