Blog Posts
Google Cloud, certifié HDS, devient hébergeur de données de santé
Début juillet, Google Cloud a intégré la liste des hébergeurs ayant obtenu la certification HDS (Hébergeur De Santé). Il est donc désormais habilité à héberger des données personnelles liées à la santé d’un consommateur et patient.
Le statut HDS était auparavant encadré par un agrément HDS – qui imposait de répondre à un cahier des charges, sans tiers certificateur. A partir de 2018, la procédure d'agrément a laissé place à une procédure de certification HDS beaucoup plus difficile à obtenir car reposant sur la norme iso27001 et délivrée par un organisme tiers indépendant (Veritas dans le cas de Google Cloud). Rappelons que la procédure de certification à une norme iso a un coût, non seulement pour appliquer les mesures préconisées - assez lourdes dans le cas de l'iso27001, mais simplement pour rétribuer l'organisme tiers délivreur - pour simple exemple, le texte de la norme iso27001 n'est pas accessible gratuitement.
Alors que beaucoup d'institutions hospitalières françaises (dont l'APHP) détiennent l'agrément HDS, aucune ne possède la nouvelle certification HDS, pour laquelle on ne retrouve que des entreprises spécialisées dans les technologies cloud, comme Google, Amazon Web Services, OVH, Thales ou Orange.
La certification HDS différencie plusieurs volets, (i) la mise à disposition et le maintien de l’infrastructure, (ii) la mise à disposition et le maintien des systèmes d’information, (iii) leur administration et exploitation, (iv) l’hébergement d’applications, (v) la virtualisation des systèmes de traitement des données de santé et (vi) la sauvegarde des données de santé. Google a obtenu la certification pour ces 6 activités, et celle-ci s'applique tant pour GCP (Google Cloud platform) que la GSuite (Google Docs, Sheets, Slides, etc.).
Il n'est pas facile de comprendre ces certifications dans le contexte de défiance vis à vis du Cloud Act (voir par ex. ici ou là). Mais la discordance n'est peut-être qu'apparente si l'on note que la majeure partie des réserves clairement exprimées (au delà de la défiance de principe) émane d'acteurs économiques, à propos d'une souveraineté économique, qui n'entre que peu en ligne de compte dans la certification HDS.
Au delà, on peut également placer cette information dans le contexte universitaire ou académique, et faire remarquer qu'aucune université ou EPST ne pourrait prétendre aujourd'hui à une certification HDS, techniquement beaucoup trop exigeante. Ce n'est pas un problème puisque ces structures n'ont pas vocation à héberger ou gérer des données personnelles de santé. Mais cela est quand même de nature à questionner les tutelles quand elles recommandent de ne pas utiliser les clouds privés (Amazon, DropBox, Google, etc) pour des raisons de confidentialité ou de propriété intellectuelle. Si nos "secrets" étaient des patients, ne faudrait il pas, au contraire, nous défier d'infrastructures locales moins sûres que celles certifiées HDS ?
Christophe Antoniewski @ ARTbio, le 19/07/2019