stock.adobe.com

(Exclusif) Cloud en France : Google Cloud, certifié HDS, devient hébergeur de données de santé

Après AWS, Microsoft et Salesforce, Google Cloud reçoit sa certification HDS (Hébergeur de Santé) pour pouvoir héberger et opérer les données personnelles de santé en France.

Début juillet, Google Cloud a intégré la liste des hébergeurs ayant obtenu la certification HDS (Hébergeur De Santé), rejoignant ainsi AWS, Azure et Salesforce, autres ténors du cloud américain qui avaient déjà reçu le sceau certificateur. Avec cette certification, Google a désormais l’habilitation d’héberger des données personnelles liées à la santé d’un consommateur et patient.

Google Cloud est la 28e société à être certifiée HDS. Outre ces acteurs américains, on retrouve pêle-mêle OVH, ASP Serveur, Bretagne Telecom, Cegedim, Cheops , Claranet , Orange et Equinix, pour n’en citer que certains.

Avec cette certification obtenue via Bureau Veritas, Google Cloud a désormais le champ juridique libre. Pour obtenir ce sésame, qui est très convoité par les fournisseurs de services cloud, Google Cloud a dû se plier à une batterie de tests. Leur rôle vise à assurer, auprès du consommateur, un niveau de confiance suffisant dans la disponibilité, la conservation et la restauration de ces données.

Google, dont l’ambition est de s’ouvrir toujours plus en grand les portes des SI des entreprises, peut désormais cibler le marché de la santé en France, un secteur où en matière de modernisation « il reste encore tout à faire », commente d’ailleurs Gilles Knoery, CEO de la société Digora. Celle-ci dispose parmi ses clients de nombre d’acteurs de la santé. Il évoque notamment l’absence de mutualisation des ressources et des infrastructures ou encore le manque total d’interconnexion des applications d’un service à l’autre, d’un centre hospitalier à l’autre.

Surtout, et c’est un point clé, le passage de l’agrément à la certification HDS a laissé plus d’une institution hospitalière française sur le carreau. Depuis 2018, le statut d’hébergeur de santé n’est plus encadré par le seul agrément HDS – qui imposait de répondre à un cahier des charges, sans tiers certificateur – mais bien à une certification, incroyablement plus compliquée à obtenir. Si les hôpitaux avaient pu obtenir leur agrément pour se faire eux-même hébergeurs ou infogéreurs, le passage à la certification, qui se repose sur la norme ISO 27001, demeure une épreuve de force. « Cela en limite le nombre », commente d’ailleurs Gilles Knoery.

Microsoft l’a aussi bien compris : en début d’année, la filiale française de l’éditeur américain avait rappelé combien il misait sur cette certification HDS pour aller conquérir les GHT (Groupements Hospitaliers de Territoires), présents dans les départements français. Avec une certification HDS, le personnel médical peut utiliser les services cloud du fournisseur. Pour Microsoft, Office 365 fait partie de la certification en plus d’Azure.

Pour Google Cloud, la certification  HDS porte sur la GCP (Google Cloud platform) et la GSuite, la suite de productivité et de collaboration qui concurrence directement celle de Microsoft. 

La santé dans l'organisation de Google Cloud France depuis juillet

Du coup, chez Google Cloud France, on s’organise et la santé fait bien partie d’un marché prioritaire. La filiale française a d’ailleurs créé début juillet une activité dédiée à la santé et au secteur public. Un vertical qui s’aligne aux côtés d’autres déjà en place, le retail et le consumer, la finance et les services, l’industrie et les telecoms et media, avait confirmé Eric Haddad, le patron de Google Cloud en France lors d’un entretien avec la rédaction. Les équipes en interne sont alignées sur cette organisation. Pour Google Cloud, « la santé est un axe prioritaire d’investissement dans le monde » et donc également en France.

Il est à noter enfin, qu’à l’inverse de ses concurrents américains, Google Cloud est le seul à ne pas avoir implanté de datacenter sur le sol français (le plus près étant en Belgique) ou de régions France. Google Cloud dispose en revanche de points de présence sur le sol français. 

Pour autant, explique Gilles Knoery, cette certification n’implique pas d’avoir une présence physique en France. La certification HDS repose à 80 %  sur la norme internationale ISO 270001 qui définit les critères de sécurité d’un système d’informations et emprunte quelques exigences des normes ISO 20000 (système de gestion de la qualité des services), ISO 27018 (protection des données à caractère personnel) et  certaines exigences spécifiques à l’hébergement de données de santé, comme le précise Bureau Veritas.

EBRC, un opérateur de datacenter localisé au Luxembourg,  qui également est au capital de Digora, dispose par exemple de la certification HDS.

Comme l’indique le site esanté.gouv.fr, et repris par Google Cloud France dans sa communication,  la certification HDS porte sur la mise à disposition et le maintien de l’infrastructure, des systèmes d’information, leur administration et exploitation, l’hébergement d’applications, la virtualisation et la sauvegarde des données de santé.  Google a obtenu la certification pour ces 6 activités alors auditées et porte donc sur des activités à la fois d’hébergeur et d’infogéreur. HDS distingue ces deux profils.

« La certification HDS de Google Cloud concerne 25 sites en Europe, sur le continent américain et en Asie du Sud-Est », ajoute encore Google Cloud.

Pour approfondir sur IaaS