Publicité en cours de chargement...

Publicité en cours de chargement...

Certification HDS : puissance VS souveraineté

13 nov. 2018 - 11:32,
Tribune - Charles Blanc-Rolin
La semaine dernière, Microsoft annonçait avoir enfin obtenu LA certification HDS [1], Saint Graal détenue à ce jour par un seul acteur bien connu du secteur de la santé, le GIP MIPIH. Une question me vient alors à l’esprit, la souveraineté doit-elle être prise en compte dans le choix de son hébergeur ?

En ce qui concerne l’obtention de la certification, force est de constater, que la souveraineté ne fait pas partie des critères retenus, même si à une époque, la « géolocalisation » du data center accueillant les données s’est posée. Ce qui a d’ailleurs fortement incité Microsoft a ouvrir des data centers sur le sol Français.

La « territorialité » des données et le RGPD suffisent-ils à assurer la confidentialité des données ?
Le Cloud Act [2} nous montre que non puisque le gouvernement américain peut ordonner à toute entreprise américaine proposant un service d’hébergement de données de lui fournir les données qu’il demande, et ce, peu importe le territoire sur lequel est situé le data center hébergeant les dites données.

Alors même si nous n’avons peut-être pas grand choses à craindre des juges américains en ce qui concerne la confidentialité des données de santé hébergées dans un data center « américain » situé sur le sol français, n’oublions pas que nous laissons une « porte ouverte ». Il y a d’ailleurs beaucoup plus fort à craindre des services de renseignements, comme l’a souligné Guillaume Poupard, questionné sur le sujet, lors des dernières Assises de la Sécurité à Monaco :

« J’ai plus peur des services de renseignements que des juges. »

À ce propos, les révélations d’Edward Snowden sur le programme PRISM [3] nous ont démontré que les acteurs américains ne faisaient pas obstruction aux sollicitations des services de renseignements de leur pays.

Alors, même si je ne doute absolument pas que Microsoft dispose des moyens techniques pour assurer un taux de disponibilité des données supérieur à des acteurs du secteur de la santé français, quoique… doit-on faire abstraction des risques liés à la confidentialité ?

Car même si l’intégrité et la disponibilité des données se placent bien avant la confidentialité dans la hiérarchie du besoin en matière de sécurité des SI de santé, je pense que la certification HDS devrait permettre d’obtenir un niveau largement suffisant pour ces deux premiers critères, sans avoir besoin d’aller chercher plus de puissance chez les GAFAM.

De leur côté, vu qu’ils refusent l’utilisation d’un antivi-RUSSE, ainsi que des routeurs chinois, je ne suis pas certain que les américains accepteraient de voir leurs données de santé hébergées par une société étrangère, qui, de plus, aurait l’obligation de fournir des données à la demande de son gouvernement.


[1] https://news.microsoft.com/fr-fr/2018/11/06/microsoft-1er-acteur-majeur-du-cloud-public-a-etre-certifie-hebergeur-de-donnees-de-sante-en-france/

[2] https://www.hatch.senate.gov/public/_cache/files/6ba62ebd-52ca-4cf8-9bd0-818a953448f7/ALB18102%20(1).pdf 

[3] https://fr.wikipedia.org/wiki/PRISM_(programme_de_surveillance)

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Exploitation illicite de la base de données CIOdm : EHTRACE condamnée

Exploitation illicite de la base de données CIOdm : EHTRACE condamnée

21 juil. 2025 - 10:41,

Communiqué

- PHAST

le 1er juillet 2025. Dans une décision sans équivoque, le Tribunal de Commerce de Bordeaux a sanctionné avec fermeté le détournement des données de la société PHAST, dans le litige qui l’opposait à EHTRACE.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.