TENDANCES 2024 – Cloud et cybersécurité : des réglementations bientôt plus exigeantes ?

Signaux forts/faibles :

• Portée par le Gouvernement français, la doctrine « Cloud au centre », est venue préciser, au travers d’une nouvelle circulaire signée en mai 2023, que les données relevant du secret médical et hébergées dans le cloud doivent désormais impérativement l’être dans un cloud qualifié SecNumCloud. Cette clarification du niveau de sensibilité des données de santé s’applique à l’ensemble du domaine des données de santé publiques (et donc logiquement aux hôpitaux) mais elle ne s’impose, pour l’instant, pas formellement. C’est tout l’enjeu de la loi SREN que de fixer le niveau de sécurité exigé pour les données sensibles, et donc les données de santé. 

La loi SREN, source de discorde

Les articles 10 BIS A et 10 BIS B du projet de de loi visant à sécuriser et réguler l’espace numérique (SREN) concentrent l’essentiel des possibles changements de cette future loi en matière de cloud et de données de santé. L’article 10 BIS A dispose que les données publiques des administrations centrales, et notamment celle des ministères, doivent, lorsqu’ils ont recours à un service d’informatique en nuage fourni par un prestataire privé, s’assurer que ce prestataire respecte la doctrine Cloud au centre (l’amendement introduit par la sénatrice Catherine Morin-Desailly était plus exigeant et imposait le référentiel SecNumCloud pour ces prestataires). L’article 10 BIS B, issu lui aussi des derniers travaux de l’Assemblée, porte spécifiquement sur les données de santé (extraites de la version sénatoriale de l’article 10 BIS A). Pour ces dernières, c’est le référentiel HDS qui prévaut. “Il y a deux moyens de sauvegarder ces données de santé : soit elles sont hébergées sur site. C’est ce qui s’est passé ces dernières années et qui explique les nombreuses cyberattaques contre les hôpitaux. Lorsque ces données sont hébergées sur un cloud ou un lieu de sauvegarde qui respecte le référentiel HDS, il n’y a pas de risque majeur, c’est un très haut niveau de cybersécurité et de protection”, justifie Anne Le Hénanff, la rapporteure du volet cloud de la loi SREN. Compte tenu des divergences entre le texte soutenu par le Sénat et celui porté par l’Assemblée nationale, une commission mixte paritaire doit se rassembler prochainement (en février 2024, entend-on, mais aucune date officielle n’a été encore annoncée).  

Un nouveau référentiel HDS pour des données plus souveraines

La certification des hébergeurs de données de santé (HDS) a fait l’objet, en décembre 2023, d’une évolution importante. La Délégation au numérique en santé (DNS) a notifié à la Commission européenne un projet d’arrêté qui introduit quatre exigences relatives à la souveraineté des données. Avec ce nouveau texte, l’hébergeur a notamment le devoir d’informer ses clients de tout transfert ou accès distant de ses données depuis un territoire hors Espace économique européen (EEE) qui n’assure pas un niveau de protection des données adéquat, au sens du RGPD. À noter que ce référentiel ne va pas jusqu’à imposer la qualification SecNumcloud. S’il rajoute l’obligation d’avoir les données localisées en Europe, il n’impose rien, à date, sur l’immunité aux lois extraterritoriales. Le projet d’arrêté approuvant la version révisée du référentiel doit, à l’issue d’une période de statu quo de 3 mois, être publié au Journal officiel. “À compter de la publication de l’arrêté approuvant les référentiels, qui devrait intervenir au cours du premier trimestre 2024, les organismes certificateurs bénéficieront d’un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS”, précise l’Agence du numérique en santé. 

La version 3.2 du référentiel SecNumCloud a été publiée le 8 mars 2022. Elle prépare à la future certification européenne relative aux prestataires de cloud (EUCS), intègre les suites de l’arrêt Schrems II et prend en compte plus de 450 observations faites suite à un appel public à commentaires.  

Pourquoi c’est important :

Les principaux fournisseurs de cloud français participent à une course pour apporter à leur solution le plus haut niveau de sécurité possible, incarné par le référentiel SecNumCloud (SNC). À ce jour, quatre acteurs bénéficient de cette qualification : Outscale (filiale de Dassault Systèmes sur laquelle s’appuie l’offre de Numspot), OVHcloud, Wordline et Cloud Temple. Tous ces acteurs sont qualifiés SNC au niveau de leur infrastructure (IaaS) mais pas au niveau des services managés. NumSpot semble aujourd’hui faire la course en tête puisqu’elle entame au premier trimestre 2024 son processus de qualification SNC pour ses services managés mais ses principaux concurrents, les consortiums Bleu et S3NS, n’ont à ce jour pas encore communiqué sur l’état d’avancement de leur qualification pour leurs services managés. 

Hébergement du Health Data Hub : un statu quo qui irrite

Le cas du Health Data Hub (HDH), qui, pour des raisons de souveraineté de la donnée, doit depuis plusieurs années migrer vers un nouveau cloud (opéré jusqu’à présent par Microsoft Azure), a minima européen. Or, l’article 10 BIS A de la loi SREN, proposait une dérogation pour tous les projets déjà en cours. La question est des plus délicates pour les parlementaires, le gouvernement (Cédric O, puis Jean-Noël Barrot) s’étant clairement prononcé, tout comme le Conseil d’État en 2020, pour une migration du HDH. Signe d’agacement : dans un communiqué daté du 21 décembre dernier, le député Philippe Latombe et la sénatrice Catherine Morin-Desailly annoncent qu’ils ont envoyé un courrier à la Première ministre, pour l’informer d’une forme de favoritisme que pratiquerait le Health Data Hub (HDH) à l’égard des hyperscalers américains. Le HDH aurait, selon les acteurs français de l’informatique en nuage qui se sont portés candidats à cet appel à projets (et qui ont alerté les deux parlementaires), « appliqué des modalités de sélection bénéficiant à Microsoft Azure ou AWS.“

Analyse et perspectives 2024 :

• Loi SREN. Une Commission mixte paritaire (CMP), qui devrait se rassembler en février prochain, va décider laquelle des versions, entre celle du Sénat (favorable à l’adoption du SecNumCloud pour les données de santé) et celle de l’Assemblée nationale (plus favorable au seul référentiel HDS) va être privilégiée (une position intermédiaire est également envisageable). Ses conclusions seront surveillées de très près par tous les fournisseurs de cloud français. 

• L’EUCS (European Cybersecurity Certification Scheme for Cloud services) : la réglementation de sécurité européenne fait l’objet d’âpres débats entre les Etats membres. La question aujourd’hui posée est de savoir s’il vont pouvoir, ou pas, s’aligner sur le plus haut niveau d’exigence de sécurité des données, à savoir le référentiel SecNumCloud. Certains Etats, comme les Pays-Bas, le Danemark, la Grèce, l’Irlande ou encore la Suède, soutiennent l’idée d’un marché libre qui doit être ouvert à tous les acteurs ; d’autres, dont l’Italie, l’Espagne et la France en chef de file, poussent pour faire adopter les exigences de sécurité les plus fortes, en l’occurrence le référentiel SecNumCloud.  

• Le Data Act, un texte européen qui vise à établir un cadre propice à une concurrence équitable entre les acteurs de l’économie des données, a été adopté en juillet 2023. Il entrera en vigueur en mars 2025. L’une des mesures clés du Data Act est la suppression des frais de transfert de données et de migration (les “egress fees” ) qui sont considérés par les acteurs français du cloud (qui ne les appliquent pas) comme un outil puissant de verrouillage du marché, en faveur des hyperscalers. Google Cloud, le 12 janvier 2024, est le premier des trois géants américains du cloud (Google, Azure et AWS) à avoir supprimé ces frais. Les autres hyperscalers pourraient suivre, ce qui pourrait encourager le Health Data Hub à engager plus rapidement une procédure de “divorce” avec son hébergeur actuel (AWS). 

• La directive NIS 2, adoptée en décembre 2022, marque un tournant pour la cybersécurité en Europe. Elle vise à harmoniser les pratiques de cybersécurité dans l’UE et à élargir son champ d’application à un plus grand nombre d’entités, couvrant ainsi plusieurs secteurs d’activité, dont la santé. Elle amène aussi les États membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe (Cyber Crisis Liaison Organisation Network) qui rassemble l’ANSSI et ses homologues européens. La directive NIS 2 doit être transposée dans le droit national des États membres d’ici octobre 2024.