Vos informations ainsi que celles de vos patients sont parmi les plus sensibles qui existent. Vous méritez de savoir précisément où elles vivent, sous quelle juridiction, et pourquoi nous avons fait les choix que nous avons faits.
Cet article vous le raconte sans détour.
Savez-vous qui peut légalement consulter les dossiers de vos patients ?
La plupart des logiciels de santé stockent leurs données chez Google (Google Cloud), AWS (Amazon) ou encore Azure (Microsoft). Ces plateformes sont fiables, bien connues, certifiées. Beaucoup affichent un centre de données à Paris, Francfort ou Dublin.
Ce que leurs pages marketing ne mentionnent pas, c'est que la localisation du serveur ne protège pas grand-chose face à la loi américaine.
AWS, Azure et Google Cloud sont des entreprises de droit américain. À ce titre, elles sont soumises à deux législations dont les implications dépassent les frontières américaines.
Deux textes de loi que vous n'avez probablement jamais entendus
Le Cloud Act (2018) permet aux autorités américaines d'obliger toute entreprise technologique domiciliée aux États-Unis à leur fournir des données, quel que soit le pays où ces données sont physiquement stockées. Un centre de données à Francfort opéré par Amazon reste soumis à la juridiction américaine.
La section 702 du FISA autorise les agences de renseignement américaines à collecter, sans mandat individuel, les communications et données cloud de personnes étrangères situées hors des États-Unis. Les demandes sont accompagnées d'une interdiction de divulgation : ni vous, ni votre patient, ni votre hébergeur européen ne sont prévenus.
Ces deux textes ne sont pas des rumeurs ou des théories. Ce sont des lois fédérales en vigueur, documentées par des juristes européens, analysées par la CNIL et d'autres autorités de protection des données.
Un dossier patient hébergé chez un prestataire américain peut être communiqué à des agences fédérales américaines sans que vous en soyez jamais informé. Légalement.
Pourquoi « hébergé en Europe » ne suffit pas
Face aux inquiétudes sur le Cloud Act, la réponse habituelle des grands fournisseurs cloud est simple : « Vos données sont hébergées en Europe. Donc protégées par le RGPD. »
Ce message est rassurant. Il est aussi incomplet.
Ce qui compte n'est pas l'adresse du centre de données. C'est la nationalité juridique de l'entreprise qui opère ce centre de données. Et si cette entreprise est américaine, la juridiction américaine s'applique à elle, où qu'elle place ses serveurs.
La Cour de justice de l'Union européenne l'a confirmé en juillet 2020. Dans l'arrêt dit « Schrems II » (affaire C-311/18, 16 juillet 2020), la CJUE a invalidé le Privacy Shield, le mécanisme d'adéquation qui permettait légalement de transférer des données européennes vers les États-Unis. La Cour a estimé que les programmes de surveillance américains, dont la section 702 du FISA, ne garantissaient pas aux personnes concernées un niveau de protection équivalent à celui du RGPD.
Ce que l'arrêt Schrems II dit concrètement
Un centre de données en Europe opéré par une entreprise américaine ne met pas vos données à l'abri des lois de surveillance américaines. Le RGPD protège contre les usages commerciaux non consentis des données. Il ne peut pas neutraliser une loi de surveillance étrangère à portée extraterritoriale.
Être conforme au RGPD et être à l'abri du Cloud Act sont deux choses différentes. Une organisation peut cocher les deux cases, ou seulement l'une d'elles.
Notre choix : Infomaniak
Beaucoup d’entreprises choisissent leurs centres de données pour des raisons classiques : sécurité, proximité, connaissance technique ou familiarité historique des développeurs.
Chez Moofl, lorsque nous avons construit notre solution, le choix de l’hébergeur n’était pas un simple détail technique à régler en dernier. C’était une question de cohérence.
Souveraineté européenne et engagement environnemental : deux piliers qui caractérisent Moofl.
Un outil de soin qui traite des données de patients vulnérables ne peut pas héberger ces données dans une zone juridique opaque ou fragile. Nous avons donc recherché un hébergeur répondant à deux critères non négociables : une infrastructure souveraine, située dans une juridiction européenne, et un engagement environnemental sérieux.
Nous avons choisi Infomaniak.
La souveraineté juridique
Infomaniak est une entreprise fondée en 1994 à Genève. Elle est détenue majoritairement par ses propres employés. Son capital est suisse, son actionnariat est indépendant, et elle n'a aucun lien de contrôle avec une entreprise hors espace économique européen.
La Suisse n'est pas membre de l'Union européenne, mais ses lois de protection des données ont été reconnues équivalentes au RGPD. La Commission européenne a maintenu et confirmé cette décision d'adéquation en janvier 2024, après l'entrée en vigueur de la nouvelle loi sur la protection des données suisse (nLPD) le 1er septembre 2023.
Ce que cela signifie pour vos données
Infomaniak est une entreprise soumise au RGPD. Les demandes d'accès aux données doivent passer par les voies judiciaires suisses, encadrées par la loi suisse et le RGPD. Toutes les données que vous confiez à Moofl sont hébergées et traitées exclusivement en Suisse, en Europe.
Cette configuration n'est pas seulement conforme : elle est délibérément plus protectrice que ce qu'impose le RGPD seul.
L'engagement écologique
Le deuxième critère était environnemental. Et ce n'était pas un bonus à l'utilisation d'Infomaniak, c'était une condition.
Prendre soin de personnes et saccager la planète où elles vivent sont deux postures incompatibles. Un outil de soin doit être cohérent avec ce qu'il sert.
Infomaniak a construit ses centres de données autour d'une contrainte qu'elle s'est elle-même imposée : ne pas dépenser plus d'énergie qu'il n'est strictement nécessaire, et ne pas gaspiller l'énergie dépensée.
Ce que cela donne concrètement
Les centres de données sont refroidis uniquement par de l'air extérieur filtré, sans climatisation traditionnelle. Ce système de free cooling leur permet d'atteindre un indice d'efficacité énergétique (PUE) de 1,06, contre une moyenne européenne de 1,8.
Depuis novembre 2024, leur nouveau centre de données (construit dans le sous-sol d'une coopérative écoresponsable à Genève) récupère 100 % de l'électricité consommée et la réinjecte comme chaleur dans le réseau de chauffage urbain du canton, alimentant environ 6 000 logements.
Mix énergétique : 60 % d'hydroélectricité certifiée TÜV SÜD EE01, 40 % d'énergies renouvelables certifiées Naturemade Star.
Infomaniak compense 200 % de ses émissions de CO2 via la fondation myclimate, une fondation suisse à but non lucratif dédiée à la protection du climat, depuis plus de dix ans.
Ces engagements sont certifiés : Infomaniak détient les certifications ISO 14001 (management environnemental), ISO 50001 (management de l'énergie) et, depuis 2025, la certification B Corp.
Où vivent vos données et comment elles sont protégées
Localisation
Vos données sont hébergées exclusivement dans les centres de données d'Infomaniak, situés en Europe, dans le canton de Genève.
Sécurité et certifications
Certification ISO 27001:2022 (sécurité des systèmes d'information)
Redondance N+1 sur l'alimentation électrique, le refroidissement, les générateurs et les onduleurs
Accès physique aux salles serveur strictement contrôlé
Cadre contractuel
Un Data Processing Agreement (DPA) est signé entre Moofl et Infomaniak. Ce contrat de sous-traitance définit les obligations d'Infomaniak en matière de traitement, de protection et de confidentialité des données.
Moofl ajoute à cette infrastructure sa propre couche de protection : les communications sont chiffrées en transit via TLS 1.3, et les fichiers les plus sensibles sont chiffrés côté applicatif avant leur envoi vers le stockage.
La question qu'on vous invite maintenant à poser
Vous savez désormais où sont vos données, sous quelle juridiction, et pourquoi.
Moofl n'est pas le seul outil numérique que vous utilisez dans votre cabinet. Vous avez probablement aussi un logiciel de comptabilité, un outil de prise de rendez-vous en ligne ou encore une messagerie professionnelle.
Pour chacun de ces outils, la même question mérite d'être posée :
Trois questions à poser à vos autres logiciels
Où mes données sont-elles physiquement hébergées ?
L'entreprise qui opère cet hébergement est-elle soumise à une loi de surveillance d'un autre État non soumis aux obligations européennes (par ex. Cloud Act, FISA) ?
Quelle est l'empreinte environnementale de cet hébergement ?
Ce ne sont pas des questions pour des juristes. Ce sont des questions que tout praticien qui confie des données sensibles à un outil numérique peut légitimement poser. Et attendre une réponse claire.
Sources
À propos d’Infomaniak (FAQ officielle) : fondation 1994, Genève, actionnariat majoritairement employés, données hébergées en Suisse, certifications ISO 27001:2022 / 14001 / 50001 / B Corp 2025
Inauguration du nouveau centre de données Infomaniak, novembre 2024 (communiqué officiel) : récupération 100 % de l’énergie pour chauffer 6 000 logements, canton de Genève
Engagements écologiques d’Infomaniak : free cooling, PUE 1,06, mix énergétique, compensation 200 % CO2 via myclimate
Schrems II, invalidation du Privacy Shield, CJUE C-311/18 (LawInside) : analyse juridique de l’arrêt du 16 juillet 2020
Décision d’adéquation Suisse-UE (Office fédéral de la justice suisse) : reconnaissance de la Suisse par la Commission européenne, confirmée janvier 2024 après entrée en vigueur de la nLPD
Cloud Act et RGPD, définition et portée extraterritoriale (Leto Legal) : analyse du Cloud Act 2018 et de son application aux prestataires cloud américains opérant en Europe
FISA section 702, surveillance américaine et souveraineté numérique européenne (Journal du Net) : portée de la section 702 sur les données d’étrangers hébergées par des entreprises américaines
Une question ?
L'équipe Moofl est disponible pour vous
Si vous avez des questions sur nos pratiques d'hébergement ou sur la protection de vos données, contactez-nous via le chat depuis Moofl ou par e-mail : [email protected]