Dans un rapport publié fin octobre, la Cour des comptes alerte sur la nécessité d’encadrer davantage l’hébergement des données sensibles par des acteurs privés, citant notamment le cas de Doctolib. Les magistrats recommandent une révision en profondeur de la certification française d’hébergeur de données de santé (HDS), jugée insuffisante pour garantir la souveraineté numérique.
Le rapport, consacré à la souveraineté des systèmes d’information civils de l’État, rappelle que plus de 300 opérateurs sont aujourd’hui certifiés HDS, dont de grands fournisseurs américains de services cloud (Amazon, Microsoft, Google). Cette certification, créée en 2016, ne protège toutefois pas pleinement contre les risques liés à l’extraterritorialité du droit, alors que la majorité des établissements de santé externalisent désormais leurs données.
La Cour revient également sur la polémique autour du recours à Amazon Web Services par Doctolib lors de la campagne vaccinale contre le Covid-19. Si le Conseil d’État avait validé ce choix en 2021, les services de Doctolib se sont depuis élargis à des échanges de documents médicaux sensibles, renforçant selon les magistrats la nécessité d’un cadre plus robuste.
Pour y répondre, la Cour recommande de rapprocher la certification HDS des exigences de SecNumCloud, le référentiel de sécurité élaboré par l’ANSSI, afin de mieux protéger les données vis-à-vis du droit extra-européen et de consolider la souveraineté numérique.
Enfin, les magistrats critiquent le recours à Microsoft pour l’hébergement du Health Data Hub, estimant que ce choix a un temps dégradé la qualité de service, malgré une amélioration récente des délais d’accès pour les utilisateurs. (Source TIC Santé, Raphaël Moreaux)
