在过去的两个月里,官方但非常谨慎的磋商对法国云提供商进行了考验。目标:找出法国是否有一个可靠的替代方案来替代目前托管着数百万法国人健康数据的 Azure(微软)。
这健康数据中心,有一天,存储我们健康数据的平台会由一家法国或欧洲公司托管吗?因此,在数字健康代表团(DNS)领导下的几位法国云专家进行了评估(正式称为“咨询”)后,这个问题最近几天又回到了桌面上。健康项目。该手术在远离摄像机且没有太多沟通的情况下进行,于一个月前结束,OVH云、NumSpot 和云殿。如果该程序具有在数字主权的基础上与法国东道主接触的优点,那么它的实施也并非没有困难。
让我们直截了当地说:虽然史无前例,但这一过程并不是旨在接管的招标微软Azure健康数据中心 (HDH)。目标是“评估法国生态系统的成熟度,了解法国参与者可以在多大程度上赢得欧洲数据空间等市场»,云殿负责人塞巴斯蒂安·莱斯科普 (Sébastien Lescop) 的估计。虽然评价条件被描述为“奇怪» 对于某些人来说,“不公平» 对于其他公司来说,三个参与公司更愿意看到杯子是半满的,而不是半空的。
可能迁移到欧洲球员的承诺
因为迄今为止,HDH 的历史是在没有他们的情况下创造的。而且没有欧洲的云雾。 2019 年,尽管存在争议,政府还是决定将集中 6700 万法国人健康数据的 HDH 平台托管给 Microsoft Azure。这一基础设施的目的是让研究人员能够访问与我们去医院就诊、我们的处方、我们的报销以及我们医疗旅程中产生的成千上万的其他信息相关的数据。
当时,此案引起轰动,因为微软作为一家美国公司,受美国域外法律管辖,包括FISA 法刚刚延长至 2024 年 4 月。通过这项规定,美国情报机构可以访问美国主机(包括欧洲主机)存储的数据。委托“这个金矿» 对非欧洲参与者的制裁被分析为对欧洲主权的坦率和大规模放弃 — — 此外还错失了通过公共采购帮助当地参与者成长的机会。
如果说此事存在争议,那也是因为没有发起适当的招标。为了证明他们的选择合理,政治决策者解释说,2019 年没有任何法国云提供商能够与 Microsoft Azure 相媲美。随后,时任卫生部长奥利维尔·韦兰 (Olivier Véran) 承诺可能会移民到法国或欧洲东道国,他在 2020 年提到“一种新的技术解决方案“在一个”期限尽可能在 12 至 18 个月之间”。然后是该平台掌舵者斯蒂芬妮·库姆斯 (Stéphanie Combes),她提到了 2025 年遥远的一个季度。在 SREN 法通过期间去年,当这个话题重新回到桌面上时,HDH 及其住宿方面似乎没有任何真正的变化。
欧洲健康数据平台招标
直到 ?直到外部事件的发生推动事情向前发展。 2022 年 7 月,HDH 作为欧洲公司财团的牵头赢得了欧洲招标。获胜者将负责开发一个欧洲健康数据空间,其中将连接多个类似于 HDH 的欧洲健康平台(一个名为 EMC2 的项目)。 16 个月后,该事件将导致一条消息最终出现在某些法国 Clouders 老板的电子邮箱中。
去年 11 月,云殿负责人塞巴斯蒂安·莱斯科普 (Sébastien Lescop) 回忆道:“我收到了一封来自 DNS 的电子邮件,询问我们是否愿意参与咨询”。框架很明确:“将成立一个工作组,对能够应对 EMC2 挑战的法国解决方案进行基准测试»,他报道道。该市场评估将是当前平台 HDH 获得 CNIL 授权开发这一欧洲空间的重要先决条件。
如果三个云主向我们报告了相同的版本,并且 OVHcloud 的创始人 Octave Klaba 于 12 月 30 日在社交网络上公开报告了这一情况,则没有任何官方通讯宣布这一程序。我们多次联系 DNS,但在本文发表时尚未回复我们的请求。 CNIL方面向01net澄清,确实已于12月21日就EMC2做出了决定。但 ”很快就会在官方期刊上发表»。
巨大的 Excel 文件、会议和“惊喜”
具体来说,三名参与者收到了一份任务书,并附有“一个巨大的Excel文件”。其中包括 HDH 主办欧洲项目所要求的技术要求:这是第一,因为到目前为止,该平台从未就其在该领域的需求进行沟通。
在三周的磋商期间,候选人和工作组(由委员会成员组成的小组)举行会议部际数字部门 (DINUM)、数字卫生局 (ANS) 以及 DNS(与 HDH 联合)紧随其后。这 ”惊喜“ 还 : ”这是一个障碍训练场,每进步一分,标准就会被添加。» OVHcloud 总经理 Michel Paulin 总结道。他补充说,这将迫使公司放弃这一程序。在 Numspot,经理 Alain Issarni 证实“通知时间短、咨询持续时间短,需要极强的团队动员能力», 等 «然而,在咨询期间,要求已经发生了很大的变化»。
规格修改六次
很简单:“参考框架(所要求的技术需求,编者注)已更改六次。从 165 个需求和标准,我们增加到 262 个。从 200 个用例,到最后的 466 个用例»,米歇尔·保林解释道。这就像在审核期间您的规格更改了六次。但尽管被描述为“一团糟»,三位法国云专家认为,这种方法仍然是积极的。
«到目前为止,当我们询问 HDH 需要什么时,我们被告知:我们需要 Microsoft Azure 目录。但买一辆法拉利在环路上开70公里是没有意义的”云殿团队的一名成员解释道。换句话说,提供与美国超大规模提供商完全相同的服务和满足该健康数据平台的特定需求是两件不同的事情。另一个问题是:直到最近,对法国东道主技术能力的唯一“评估”还是由一家咨询公司在特定时间进行的,而主要利益相关者并未参与其中。
CNIL 最终将验证 Azure 是否适用于欧洲数据空间
通过这次咨询,法国云公司能够展示他们可以做什么以及他们的能力“迄今为止六个月Sébastien Lescop 指出,“现在在 DNS 和 HDH 中已为人所知。”就法国云商而言,他们更了解 HDH 的真正需求 - 即使所描述的要求不是法国 HDH 的要求,而是欧洲项目的要求。
因此,三位领导人相信,磋商取得了积极成果,尽管其中一些人感到遗憾”固定框架» 在程序中。值得注意的是,因为«我们要求所有的解决方案都是 SecNumCloud» NumSpot 负责人 Alain Issarni 解释说,HDS 不是当前健康数据所需的存储库,该存储库刚刚更新,该公司与 Outscale 合作对“咨询”做出了回应。
在云网络安全标签领域,SecNumCloud 是最高的认证。它保证不受美国治外法权的管辖。如果参与咨询的三个云提供商将其部分服务标记为 SecNumcloud,并且他们提供不受美国法律保护的托管解决方案,那么“众所周知,如今没有法国云提供商能够满足所有这些层的这一标准(云中有三个层 - iaas、paas、saas,编者注),而获得此认证需要很长时间。只需访问 Anssi 网站即可获取此信息。»,Numspot 负责人 Alain Issarni 强调道。
换句话说,要求所有云服务都贴上这样的标签实际上等于排除法国云提供商。对于一些人来说,足以得出这样的结论:该程序的目的是让 HDH 去见 CNIL 并说“看,法国的云还没有准备好”。结果, ”我们在12月底获悉,提交给CNIL并获得CNIL同意的文件包括在与HDH相同的环境(即Azure)上安装此EMC2项目»,阿兰·伊萨尼告诉我们。
到处没有SecNumCloud,没有平台托管
«各个级别的 SecNumCloud 要求更令人惊讶,因为 Microsoft Azure 没有此认证»,OVHcloud 总经理 Michel Paulin 补充道,他刚刚宣布在 Gravelines 建立第三个数据中心,提供 SecNumCloud 服务。
换句话说, ”我们被告知:“你是IAAS上的SecNumCloud,你有野心成为上层的SecNumCloud,但今天,你不在那儿(认证过程极其漫长,编者注)。既然你不在,那就是个问题。所以我们不选择你。因此,我们将继续使用替代方案(Microsoft Azure),它的任何服务都不是 SecNumCloud。”»,阿兰·伊萨尼 (Alain Issarni) 解释道。
微软Azure作为一家受美国法律管辖的美国公司,永远无法获得SecNumCloud资格。所以, ”为什么不为这个欧洲项目选择一个更符合国家中心云理论的基础设施呢? »”Numspot 的经理问道。
2023 年 5 月,政府在一份报告中建议一份关于发展国家云理论的通告(成为“中心云”),使用带有 SecNumCloud 标签的供应商提供敏感数据,包括健康数据,目的是使相关公司能够很好地免受域外法律的影响。但该通知规定了豁免,特别是对于已经在进行的项目——HDH 可能是其中的一部分。
事实上,真正的问题是准政治性的,米歇尔·保林认为:“如今,在您无法控制的情况下,第三方(美国政府,编者注)是否可以获取属于医疗机密的健康数据? »。远非决定这个主题,12 月,磋商最终达成了“归还”。具体来说,参与者意识到“迄今为止和六个月的合规率» 他们的优惠。足以向他们表明他们有机会满足 HDH 预期的技术要求。如果今天没有法国云计算者满足健康数据平台的要求,那么该程序将以一个新的承诺结束:“将于 2024 年底回归法国云朵查看各部门的工作进展»,指定塞巴斯蒂安·莱斯科普。这一新举措可能会导致在 HDH 上接管 Microsoft Azure 的招标:这是一份备受期待的文件,最早将于明年到达。
