• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Financement et politiques publiques > Pourquoi OVH n’a pas été choisi pour héberger le Health Data Hub

Pourquoi OVH n’a pas été choisi pour héberger le Health Data Hub

Près d’un an après la signature du contrat d’hébergement du Health Data Hub avec Microsoft, mind Health a pu accéder à l’étude comparative des fournisseurs cloud qui aura mené à cette décision, mais aussi aux études de réversibilité que la plateforme mène depuis 2019. 

Par . Publié le 22 février 2021 à 18h30 - Mis à jour le 08 mars 2022 à 16h54
  • Ressources

Entre les mois de juillet et octobre 2020, une série de décisions remettait en cause l’hébergement du Health Data Hub chez Microsoft. À ce stade, le Conseil d’État a enjoint la plateforme à trouver une solution “pérenne” pour éviter tout risque de transfert de données aux États-Unis et, d’ici là, “à prendre des précautions particulières”. En attendant, mind Health a pu consulter l’analyse comparative des solutions d’hébergement terminée en février 2019, qui a mené au choix de Microsoft avec qui le Health Data Hub a signé en avril 2020, mais aussi la première étude de réversibilité conduite en novembre 2019 par le Health Data Hub, ainsi qu’une actualisation de cette étude réalisée en juin 2020 en collaboration avec la direction interministérielle du numérique (Dinum). La notion de réversibilité recouvre la possibilité de récupérer les données et leur exploitation pour l’internaliser ou la confier à un autre prestataire. Pour mémoire, la convention constitutive du Health data hub a été signée le 6 novembre 2019.

Les documents indiquent que Microsoft Azure avait été comparée aux solutions d’hébergements de dix autres prestataires – OVH, Santéos, AWS (Amazon Web Services), GCP (Google Cloud Platform), Docaposte, Padawan, Teralab, CASD, OBS (Orange Business Cloud) et Outscale (filiale de Dassault Systèmes) – selon trois critères : la sécurité, la fonctionnalité et la performance, puis les coûts et délais. À l’époque, six d’entre eux n’étaient pas certifiés hébergeurs de données de santé (HDS) et sept ne proposaient pas de processeurs graphiques (GPU, graphics processing units) ou n’étaient pas “dimensionné(s) pour la science des données” ou pour les besoins du Health Data Hub. Côté tarification, certains prestataires sont annotés comme ne disposant “pas de véhicule contractuel” ou nécessitant un “délai d’intégration important” à l’instar d’OBS et d’Outscale. OVHCloud, dont le président Octave Klaba avait réagi sur Twitter en juin 2020 à la suite du choix de Microsoft, regrettant qu’il n’y ait pas eu de procédure d’appel d’offres en bonne et due forme, ne disposait pas de GPU dans l’environnement certifié HDS ni de véhicule contractuel existant selon le document consulté par mind Health. 

OVH “présente un niveau de maturité plus faible”… 

Une fois Microsoft choisi, une étude de réversibilité a donc été menée qui élabore un scénario de réversibilité vers OVH et qui le chiffre. Le scénario prévoit donc de couvrir les mêmes fonctionnalités, les mêmes besoins matériels (comme les GPU), les mêmes exigences de sécurité (comme la certification HDS) et les mêmes principes d’architecture. Mais l’étude note d’emblée que l’offre PaaS (plateforme en tant que service) d’OVH “présente un niveau de maturité plus faible” que celle d’Azure : des briques n’y sont pas disponibles, impliquant l’“intégration de nombreuses solutions tierces” et, avec, un surcoût et des délais supplémentaires. Le Health Data Hub souligne également que “la multitude de solutions tierces intégrées (…) impacte la traçabilité des actions réalisées”. 

… et un coût humain plus élevé

Côté chiffres, l’étude indique dans un premier temps que les coûts de réalisation de la plateforme, avant sa mise en production et sur l’hypothèse d’une équipe constituée de huit équivalents temps plein, étaient supérieurs à ceux du scénario Azure, à raison de 2,2 millions d’euros vs 0,9 M€. Dans le détail, la différence repose majoritairement sur les coûts humains qui représentent 2,07 M€ chez OVH vs 0,89 M€ chez Azure. Les coûts d’infrastructure et logiciels sont en revanche sensiblement identiques. OVH aurait nécessité 60 000 € pour l’infrastructure ainsi que pour les licences logiciels tandis que Microsoft nécessitait respectivement 50 000 € et 40 000 €. Les délais de réalisation aussi étaient supérieurs dans le scénario OVH, soit 12 mois vs 6 avec Azure. En revanche, les coûts de fonctionnement du scénario OVH “sont en moyenne inférieurs de 275 000 € par semestre par rapport à ceux d’Azure”. Le “point d’équilibre des coûts” des deux scénarios se situe autour du cinquième semestre de fonctionnement, aux alentours de 20 M€ cumulés une fois la phase de réalisation terminée. Le coût du scénario de réversibilité sur OVH, qui s’est aussi appuyé sur les coûts d’infrastructure, logiciels et humains, est comparable à celui du scénario de la plateforme d’intégration, à savoir 2,09 M€ pour la réalisation puis près de 20 M€ cumulés pour le fonctionnement sur six semestres. 

Une réversibilité possible vers OVH mais dégradée

Le Health Data Hub conclut que, “si cette réversibilité est possible, elle offrira actuellement (à fin 2019, ndlr) un niveau de service inférieur à celui proposé par Azure : une expérience utilisateur dégradée, des coûts et des délais de réalisation plus importants sans compter les procédures de marché, des processus de fonctionnement plus lourds et une gestion de la sécurité plus difficile à mettre en place”. Toutefois, la plateforme note que, “lors d’un portage vers un autre hébergeur, des économies de transfert importantes (environ 38 %) sont permises grâce à (…) la conservation d’une grande partie des travaux d’architecture réalisés (estimation : 50 % d’économie), (…) la réutilisation d’une partie des codes de déploiement des ressources non Azure (…), le portage des licences logicielles achetées et (…) le portage de la boîte noire transactionnelle (HSM)” pour Hardware Security Module. Dans tous les cas, le Health Data Hub souligne que sa plateforme “assure la réversibilité des données stockées et des travaux de recherche qui y sont conduits”. À ce titre, “les données stockées pourront être facilement transférées : les coûts sont maîtrisés et aucun format propriétaire n’est utilisé (coût d’export de données : environ 0,07 €/Go soit environ 7 000 € pour 100 To)” précise le document consulté par mind Health.

Quatorze besoins cloud “indispensables”

L’autre étude à laquelle mind Health a pu avoir accès a défini en juin 2020 quatorze “besoins cloud indispensables” pour la plateforme des données de santé. Surtout, elle a permis de constater que “seulement cinq de ces quatorze besoins prioritaires faisaient partie de la solution intégrée d’OVH, ne permettant pas d’envisager à court terme une réversibilité”, commente le Health Data Hub auprès de mind Health. Dans le détail, le document recense “une cinquantaine de services, tous fournisseurs confondus, dont près de la moitié sont utilisés pour gérer la sécurité” (les autres catégories de services concernent par exemple le traitement et la visualisation, le stockage ou le déploiement et la mise à disposition d’outils). Quatorze ont donc été jugés “indispensables” parce qu’ils “représentent le minimum que le Health Data Hub pourrait attendre d’un fournisseur cloud, “du fait de la complexité d’intégration et, par conséquent, du risque de sécurité, que cela engendrerait”. Une dizaine de services ont quant à eux été jugés secondaires dans l’offre d’un fournisseur cloud “du fait de l’existence de solutions externes matures, ne nécessitant pas d’importants efforts d’intégration”. Une dizaine d’autres “sont déjà externalisés”.

Essentiel : Le cloud souverain

Ces quatorze services ont été jugés “indispensables” “sans évaluation des coûts et de la charge réelle d’intégration que représenterait le développement de la plateforme chez un prestataire d’hébergement autre que celui actuellement retenu”, précise le Health Data Hub dans son document. Il s’agit en tout cas de la virtualisation de machines (capacités de calcul élastiques pour les projets en data science) ; du pilotage et de la configuration des services cloud dans une interface graphique ; de la sécurité des accès ; de la gestion des identités et autorisations ; de la centralisation, l’exploration et l’analyse des traces des composants de la plateforme technologique ; de la gestion d’événements ; du filtrage des flux intégré dans les réseaux et sous réseaux managés ; de la gestion des clés de chiffrement ; de la mise en place et du suivi des critères d’acceptance de sécurité et de santé pour le maintien en condition de la sécurité de la plateforme ; de la structuration des espaces de stockage en mode objet ; de la capacité de lancer des traitements distribués ; de l’exposition des données selon le modèle relationnel ; de l’automatisation du déploiement des ressources ; et enfin de l’attribution temporaire d’autorisations d’accès.

Si à cette date une réversibilité vers OVH n’était donc pas envisageable “à court terme”, le Health Data Hub indique à mind Health que ses équipes techniques, “en collaboration avec la Dinum, poursuivent les travaux d’identification des solutions cloud souveraines répondant aux besoins fonctionnels et de sécurité définis”. Quoi qu’il en soit, la plateforme déposera “dans les prochaines semaines” auprès de la Commission nationale de l’informatique et des libertés (Cnil) sa demande d’autorisation officielle “pour permettre l’hébergement de la base principale et du catalogue de données” par ses soins “au-delà des données relatives à la crise sanitaire COVID-19, qu’il est déjà autorisé à mettre à disposition”.

Le cabinet d’avocats DLA Piper missionné par le Health Data Hub sur les conséquences de l’arrêt “Schrems II”

À la date du 11 janvier 2021, le Health Data Hub indique sur son site avoir passé un marché auprès du cabinet d’avocats d’affaires international DLA Piper pour une “expertise juridique sur les conséquences de l’arrêt “Schrems II” en matière de traitement de données de santé à caractère personnel”. Marché passé à hauteur de moins de 40 000 € HT. Le jugement “Schrems II” a invalidé le Privacy Shield le 16 juillet 2020, ce régime de transfert de données entre l’Union européenne (UE) et les États-Unis. Interrogé sur les contours de ce marché par mind Health, le Health Data Hub répond que l’expertise juridique est “en cours, afin d’évaluer de façon exhaustive les conséquences de cette décision de la Cour de justice de l’Union européenne (CJUE) sur les conditions d’hébergement des données de santé par un prestataire américain alors même qu’aucun transfert de ces données en dehors de l’Union européenne n’est réalisé. Une évaluation de la législation américaine et de sa compatibilité avec le Règlement général sur la protection des données (RGPD) dans ce contexte a en particulier été demandée”.

  • cloud
  • Health data hub
  • hébergeurs

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nous contacter
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025
  • Twitter
  • LinkedIn
  • Email