Le point sur les enjeux de souveraineté numérique et de dépendance technologique avec Thomas Jan

Des avions cloués au sol, des entreprises à l’arrêt, la bourse de Londres paralysée… il ne s’agit pas d’un scénario de science-fiction mais des conséquences de la panne informatique mondiale qui a eu lieu le 19 juillet 2024 et qui a gravement affecté les services de Microsoft. La cause exacte de la panne a été identifiée comme étant un problème de réseau interne, qui a eu des répercussions massives sur l’infrastructure globale de Microsoft. Cet épisode vient mettre en lumière la dépendance mondiale vis-à-vis des services cloud de Microsoft et remet sur le devant de la scène l’épineuse question de la souveraineté numérique.

Dans cet article, nous allons décrypter cette notion et ses impacts sur le système de la santé avec Thomas Jan, Directeur Général Adjoint de C.A.IH.

Comment peut-on définir la souveraineté numérique ?

Thomas Jan : La souveraineté numérique peut se définir comme la capacité d’un pays ou d’une organisation à contrôler ses données, ses infrastructures et ses services numériques.

Quels sont les liens entre les enjeux de souveraineté numérique et le secteur de la santé ?

T.J. Aujourd’hui, on estime à 350 € le prix de la revente d’un dossier médical de patient sur le darkweb. Dans l’écosystème de la santé, le débat public sur la souveraineté numérique est très majoritairement centré sur la question des données et donc sur la capacité des États à protéger leurs données de santé, en particulier les informations médicales sensibles des patients. Dans ce sens, assurer la souveraineté numérique permet de garantir que ces données sont protégées contre les accès non autorisés et les cyberattaques.

La souveraineté numérique des données vise principalement à éviter qu’un autre État puisse accéder à des informations relatives aux données de santé afin d’empêcher un transfert de données vers des pays tiers. On parle ici d’immunité aux lois extraterritoriales qui correspondent à des lois adoptées par un pays qui revendique une compétence juridique au-delà de ses frontières nationales.

Par exemple, le Règlement Général sur la Protection des Données (RGPD) mis en place par l’Union Européenne fait partie de ce que l’on considère comme une loi extraterritoriale. Le RGPD impose des obligations aux entreprises hors de l’UE qui traitent des données personnelles de résidents européens.

Aux Etats-Unis, le Cloud Act, promulgué en 2018 par Donald Trump, est un ensemble de lois permettant aux États-Unis d’exploiter librement des données digitales de personnes étrangères à travers des entreprises américaines comme Microsoft, Google ou encore Facebook.

Existe-t-il des initiatives françaises qui visent à sécuriser la protection de nos données ?  

T.J. Oui, tout d’abord on peut évoquer le référentiel HDS (Hébergeurs de Données de Santé) qui a été établi pour réguler et sécuriser l’hébergement des données de santé en France. Ce référentiel répond aux exigences de la loi française sur la modernisation du système de santé et vise à garantir que les données de santé soient hébergées dans des conditions de sécurité optimales. La certification HDS est délivrée par des organismes accrédités et elle est obligatoire pour tous les hébergeurs de données de santé en France.

Aujourd’hui, tous les organismes publics ou privés qui hébergent, exploitent un système d’information de santé ou réalisent des sauvegardes pour le compte d’un établissement de santé ou d’un tiers de santé, doivent être certifiés HDS. Cependant, les établissements de santé qui gèrent leur propre système d’information de santé n’ont pas la nécessité d’être certifiés HDS.

L’Agence Nationale de Sécurité des Système Informatique (ANSSI) a, quant-à-elle, mis en place le référentiel « SecNumCloud » pour encadrer les services de cloud en France. Il vise à garantir un niveau élevé de sécurité pour les services de cloud, en particulier ceux utilisés par les administrations publiques et les entreprises manipulant des données sensibles. C’est pourquoi les services de l’Etat ne peuvent pas utiliser de logiciels appartenant aux GAFAM (Google, Apple, Facebook, Amazon et Microsoft) car ils ne sont pas certifiés SecNumCloud. Ce référentiel ne s’applique pas aux établissements de santé mais on peut imaginer que cela pourrait être le cas dans les années à venir.

Aujourd’hui, on sait que l’Union européenne est en train de travailler à la mise au point d’un référentiel européen.

Concernant les données de santé, nous avons entendu parler du projet du Health Data Hub il y a quelques années. En quoi consiste-t-il ? 

T.J. C’est un cas emblématique de la souveraineté numérique. Il s’agit d’une initiative française visant à centraliser et à faciliter l’accès aux données de santé à des fins de recherche. Cette infrastructure était destinée à rendre accessibles aux chercheurs les données liées à nos passages à l’hôpital, nos ordonnances, nos remboursements et toutes les autres informations issues de nos parcours médicaux. En 2019, le gouvernement de l’époque avait décidé de confier l’hébergement de cette plateforme à Microsoft Azure.

Cela a soulevé de vastes débats car Microsoft, en tant que société américaine, est soumise aux lois extraterritoriales américaines (le Cloud Act). Avec cette règlementation, les agences de renseignement américaines peuvent avoir accès aux données stockées par les hébergeurs américains, y compris en Europe (les serveurs de Microsoft sont hébergés en Irlande).

Confier « cette mine d’or » à un acteur non européen avait été analysé comme un renoncement franc et massif à la souveraineté européenne. Par conséquent, la CNIL (Commission nationale de l’informatique et des libertés) s’est opposée à ce projet et il est aujourd’hui au point mort.

Que peut-on dire de la souveraineté numérique au sens de la dépendance technologique ?

T.J. Depuis les années 2000, les géants du numérique ont acquis un pouvoir considérable dans l’espace numérique, rivalisant avec celui des États. Cette dépendance rend les établissements particulièrement sensibles aux évolutions tarifaires des éditeurs qui sont en position de force. Nous sommes contraints par des éditeurs américains qui appliquent des évolutions tarifaires qui peuvent être très importantes.

La solution est d’essayer de diversifier le plus possible ces solutions avec des alternatives développées par des concurrents ou grâce à l’Opensource (solution gratuite) mais, à ce stade, le niveau d’usage n’est pas comparable aux éditeurs américains.

Des initiatives françaises se développent cependant comme, par exemple, avec le projet « Bleu » cocréé par deux sociétés françaises, Orange et CapGemini, en partenariat avec Microsoft. L’objectif ici est d’opérer et de commercialiser les services cloud de Microsoft dans un cadre de confiance certifié par le SecNumCloud. Bleu verra le jour en 2025.

L’un des revers de ce type de solution est cependant que cette solution est 20% plus chère que d’autres solutions similaires. Donc oui, la souveraineté numérique est un enjeu crucial mais il apparait difficile aujourd’hui de rivaliser avec les géants du numérique tels que les GAFAM en particulier en matière de prix, car ces entreprises bénéficient d’économies d’échelle massives.

Chez CAIH (Centrale d’achat de l’informatique hospitalière), notre rôle en tant que centrale d’achat est, à la fois, de proposer des solutions alternatives à nos adhérents mais également d’agir comme un tiers de confiance entre les adhérents et les éditeurs. Notre capacité à fédérer les adhérents autour de nos différents marchés, permet ainsi d’avoir un levier plus important vis-à-vis des éditeurs.