在過去的兩個月裡,官方但非常謹慎的磋商對法國雲端提供者進行了考驗。目標:找出法國是否有一個可靠的替代方案來取代目前託管數百萬法國人健康資料的 Azure(微軟)。
這健康資料中心,有一天,儲存我們健康資料的平台會由法國或歐洲公司託管嗎?因此,在數位健康代表團(DNS)領導下的幾位法國雲端專家進行了評估(正式稱為「諮詢」)後,這個問題最近幾天又回到了桌面上。該手術在遠離攝影機且沒有太多溝通的情況下進行,於一個月前結束,OVH雲、NumSpot 和雲殿。如果該程序具有在數位主權的基礎上與法國東道主接觸的優點,那麼它的實施也並非沒有困難。
讓我們直截了當地說:雖然史無前例,但這過程並不是旨在接管的招標微軟Azure健康資料中心 (HDH)。目標是“評估法國生態系統的成熟度,了解法國參與者在多大程度上可以贏得歐洲數據空間等市場»,雲殿負責人塞巴斯蒂安·萊斯科普 (Sébastien Lescop) 的估計。雖然評價條件被描述為“奇怪» 對某些人來說,「不公平» 對其他公司來說,三家參與公司更願意看到杯子是半滿的,而不是半空的。
可能遷移到歐洲球員的承諾
因為迄今為止,HDH 的歷史是在沒有他們的情況下創造的。而且沒有歐洲的雲霧。 2019 年,儘管有爭議,政府還是決定將集中 6,700 萬法國人健康資料的 HDH 平台託管給 Microsoft Azure。這項基礎設施的目的是讓研究人員能夠存取與我們去醫院就診、我們的處方、我們的報銷以及我們醫療旅程中產生的成千上萬的其他資訊相關的數據。
當時,此案引起轟動,因為微軟作為一家美國公司,受美國域外法律管轄,包括FISA 法剛延長至 2024 年 4 月。透過這項規定,美國情報機構可以存取美國主機(包括歐洲主機)儲存的資料。委託“這個金礦» 對非歐洲參與者的製裁被分析為對歐洲主權的坦率和大規模放棄 — — 另外也錯失了透過公共採購幫助當地參與者成長的機會。
如果說此事有爭議,那也是因為沒有發起適當的招標。為了證明他們的選擇合理,政治決策者解釋說,2019 年沒有任何法國雲端供應商能夠與 Microsoft Azure 相提並論。隨後,時任衛生部長奧利維爾·韋蘭 (Olivier Véran) 承諾可能會移民到法國或歐洲東道國,他在 2020 年提到“一種新的技術解決方案“在一個”期限盡可能在 12 至 18 個月之間」。然後是該平台掌舵者史蒂芬妮·庫姆斯 (Stéphanie Combes),她提到了 2025 年遙遠的一個季度。在 SREN 法通過期間去年,當這個話題重新回到桌面上時,HDH 及其住宿方面似乎沒有任何真正的變化。
歐洲健康數據平台招標
直到 ?直到外部事件的發生推動事情向前發展。 2022 年 7 月,HDH 作為歐洲公司財團的領導贏得了歐洲招標。獲勝者將負責開發一個歐洲健康資料空間,其中將連接多個類似 HDH 的歐洲健康平台(一個名為 EMC2 的專案)。 16 個月後,該事件將導致一則訊息最終出現在某些法國 Clouders 老闆的電子郵件中。
去年 11 月,雲殿負責人塞巴斯蒂安·萊斯科普 (Sébastien Lescop) 回憶道:“我收到了一封來自 DNS 的電子郵件,詢問我們是否願意參與諮詢」。框架很明確:「將成立一個工作小組,對能夠應對 EMC2 挑戰的法國解決方案進行基準測試»,他報道。此市場評估將是目前平台 HDH 獲得 CNIL 授權開發此歐洲空間的重要先決條件。
如果三個雲端主向我們報告了相同的版本,並且 OVHcloud 的創始人 Octave Klaba 於 12 月 30 日在社交網路上公開報告了這一情況,則沒有任何官方通訊宣布這一程序。我們多次聯絡 DNS,但在本文發表時尚未回覆我們的請求。 CNIL方面向01net澄清,確實已於12月21日就EMC2做出了決定。但 ”很快就會在官方期刊上發表»。
巨大的 Excel 文件、會議和“驚喜”
具體來說,三名參與者收到了一份任務書,並附有「一個巨大的Excel文件」。其中包括 HDH 主辦歐洲專案所需的技術要求:這是第一,因為到目前為止,該平台從未就其在該領域的需求進行溝通。
在三週的諮詢期間,候選人和工作小組(由委員會成員組成的小組)舉行會議部際數位部門 (DINUM)、數位衛生局 (ANS) 以及 DNS(與 HDH 聯合)緊隨其後。這 ”驚喜“ 還 : ”這是一個障礙訓練場,每進步一分,標準就會被增加。» OVHcloud 總經理 Michel Paulin 總結。他補充說,這將迫使公司放棄這項程序。在 Numspot,經理 Alain Issarni 證實“通知時間短、諮詢時間短,需要強大的團隊動員能力», 等 «然而,在諮詢期間,要求已經發生了很大的變化»。
規格修改六次
很簡單:「參考框架(所要求的技術需求,編者註)已更改六次。從 165 個需求和標準,我們增加到 262 個。»,米歇爾·保林解釋。這就像在審核期間您的規格更改了六次。但儘管被描述為“一團糟»,三位法國雲端專家認為,這種方法仍然是正面的。
«到目前為止,當我們詢問 HDH 需要什麼時,我們被告知:我們需要 Microsoft Azure 目錄。但買法拉利在環路上開70公里是沒有意義的「雲殿團隊的一名成員解釋。換句話說,提供與美國超大規模提供者完全相同的服務和滿足該健康數據平台的特定需求是兩件不同的事情。另一個問題是:直到最近,對法國東道主技術能力的唯一「評估」還是由一家諮詢公司在特定時間進行的,而主要利益相關者並未參與其中。
CNIL 最終將驗證 Azure 是否適用於歐洲資料空間
透過這次諮詢,法國雲端公司能夠展示他們可以做什麼以及他們的能力“迄今六個月Sébastien Lescop 指出,“現在在 DNS 和 HDH 中已為人所知。”就法國雲商而言,他們更了解 HDH 的真正需求 - 即使所描述的要求不是法國 HDH 的要求,而是歐洲計畫的要求。
三位領導人相信,磋商因此取得了積極成果,儘管其中一些人感到遺憾”固定框架» 在程式中。值得注意的是,因為«我們要求所有的解決方案都是 SecNumCloud» NumSpot 負責人 Alain Issarni 解釋說,HDS 不是當前健康資料所需的儲存庫,該儲存庫剛剛更新,該公司與 Outscale 合作對「諮詢」做出了回應。
在雲端網路安全標籤領域,SecNumCloud 是最高的認證。它保證不受美國治外法權的管轄。如果參與諮詢的三個雲端提供者將其部分服務標記為 SecNumcloud,並且他們提供不受美國法律保護的託管解決方案,那麼“眾所周知,如今沒有法國雲端供應商能夠滿足所有這些層的這一標準(雲端中有三個層 - iaas、paas、saas,編者註),而獲得此認證需要很長時間。只需造訪 Anssi 網站即可取得此資訊。»,Numspot 負責人 Alain Issarni 強調。
換句話說,要求所有雲端服務都貼上這樣的標籤實際上等於排除法國雲端供應商。對某些人來說,足以得出這樣的結論:該計畫的目的是讓 HDH 去見 CNIL 並說「看,法國的雲還沒有準備好」。結果, ”我們在12月底獲悉,提交給CNIL並獲得CNIL同意的文件包括在與HDH相同的環境(即Azure)上安裝此EMC2項目»,阿蘭·伊薩尼告訴我們。
到處都沒有SecNumCloud,沒有平台託管
«各個層級的 SecNumCloud 要求更令人驚訝,因為 Microsoft Azure 沒有此認證»,OVHcloud 總經理 Michel Paulin 補充道,他剛剛宣佈在 Gravelines 建立第三個資料中心,提供 SecNumCloud 服務。
換句話說, ”我們被告知:「你是IAAS上的SecNumCloud,你有野心成為上層的SecNumCloud,但今天,你不在那裡(認證過程極為漫長,編者註)。既然你不在,那就是個問題。所以我們不選擇你。因此,我們將繼續使用替代方案(Microsoft Azure),它的任何服務都不是 SecNumCloud。»,阿蘭·伊薩尼 (Alain Issarni) 解釋道。
微軟Azure作為一家受美國法律管轄的美國公司,永遠無法取得SecNumCloud資格。所以, ”為什麼不為這個歐洲計畫選擇一個更符合國家中心雲端理論的基礎設施呢? »」Numspot 的經理問。
2023 年 5 月,政府在一份報告中建議一份關於發展國家雲理論的通告(成為「中心雲」),使用 SecNumCloud 標籤的供應商提供敏感數據,包括健康數據,目的是使相關公司能夠很好地免受域外法律的影響。但該通知規定了豁免,特別是對於已經在進行的項目——HDH 可能是其中的一部分。
事實上,真正的問題是準政治性的,米歇爾·波林認為:「如今,在您無法控制的情況下,第三方(美國政府,編者註)是否可以獲得屬於醫療機密的健康資料? »。遠非決定這個主題,12 月,磋商最終達成了“歸還」。具體來說,參與者意識到“迄今和六個月的合規率» 他們的優惠。足以向他們表明他們有機會滿足 HDH 預期的技術要求。如果今天沒有法國雲端運算公司滿足健康數據平台的要求,那麼該程式將以一個新的承諾結束:「將於 2024 年底回歸法國雲朵查看各部門的工作進展»,指定塞巴斯蒂安·萊斯科普。這項新舉措可能會導致在 HDH 上接管 Microsoft Azure 的招標:這是一份備受期待的文件,最早將於明年到達。
