Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Certification HDS : puissance VS souveraineté

13 nov. 2018 - 11:32,
Tribune - Charles Blanc-Rolin
La semaine dernière, Microsoft annonçait avoir enfin obtenu LA certification HDS [1], Saint Graal détenue à ce jour par un seul acteur bien connu du secteur de la santé, le GIP MIPIH. Une question me vient alors à l’esprit, la souveraineté doit-elle être prise en compte dans le choix de son hébergeur ?

En ce qui concerne l’obtention de la certification, force est de constater, que la souveraineté ne fait pas partie des critères retenus, même si à une époque, la « géolocalisation » du data center accueillant les données s’est posée. Ce qui a d’ailleurs fortement incité Microsoft a ouvrir des data centers sur le sol Français.

La « territorialité » des données et le RGPD suffisent-ils à assurer la confidentialité des données ?
Le Cloud Act [2} nous montre que non puisque le gouvernement américain peut ordonner à toute entreprise américaine proposant un service d’hébergement de données de lui fournir les données qu’il demande, et ce, peu importe le territoire sur lequel est situé le data center hébergeant les dites données.

Alors même si nous n’avons peut-être pas grand choses à craindre des juges américains en ce qui concerne la confidentialité des données de santé hébergées dans un data center « américain » situé sur le sol français, n’oublions pas que nous laissons une « porte ouverte ». Il y a d’ailleurs beaucoup plus fort à craindre des services de renseignements, comme l’a souligné Guillaume Poupard, questionné sur le sujet, lors des dernières Assises de la Sécurité à Monaco :

« J’ai plus peur des services de renseignements que des juges. »

À ce propos, les révélations d’Edward Snowden sur le programme PRISM [3] nous ont démontré que les acteurs américains ne faisaient pas obstruction aux sollicitations des services de renseignements de leur pays.

Alors, même si je ne doute absolument pas que Microsoft dispose des moyens techniques pour assurer un taux de disponibilité des données supérieur à des acteurs du secteur de la santé français, quoique… doit-on faire abstraction des risques liés à la confidentialité ?

Car même si l’intégrité et la disponibilité des données se placent bien avant la confidentialité dans la hiérarchie du besoin en matière de sécurité des SI de santé, je pense que la certification HDS devrait permettre d’obtenir un niveau largement suffisant pour ces deux premiers critères, sans avoir besoin d’aller chercher plus de puissance chez les GAFAM.

De leur côté, vu qu’ils refusent l’utilisation d’un antivi-RUSSE, ainsi que des routeurs chinois, je ne suis pas certain que les américains accepteraient de voir leurs données de santé hébergées par une société étrangère, qui, de plus, aurait l’obligation de fournir des données à la demande de son gouvernement.


[1] https://news.microsoft.com/fr-fr/2018/11/06/microsoft-1er-acteur-majeur-du-cloud-public-a-etre-certifie-hebergeur-de-donnees-de-sante-en-france/

[2] https://www.hatch.senate.gov/public/_cache/files/6ba62ebd-52ca-4cf8-9bd0-818a953448f7/ALB18102%20(1).pdf 

[3] https://fr.wikipedia.org/wiki/PRISM_(programme_de_surveillance)

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.