Quand un client suisse nous confie ses dossiers patients, ses données financières ou ses journaux d'audit, la question de l'endroit où ces données résident compte. La question plus difficile est de savoir qui peut en exiger l'accès. Cette seconde question, pas le prix, pas les fonctionnalités, est la raison pour laquelle Luzid fait tourner son hébergement de production chez Infomaniak en Suisse et Hetzner en Allemagne plutôt que chez un fournisseur cloud sous contrôle américain.
Notre setup d’hébergement
Pendant longtemps, l’option par défaut pour toute équipe d’ingénierie qui choisit un cloud a été l’un des grands hyperscalers américains. Azure, AWS, Google Cloud. L’argumentaire est cohérent : services managés, option d’un centre de données régional, outillage mature. C’est le même choix que beaucoup d’entreprises européennes continuent de faire.
Nous avons fait un choix différent pour notre propre plateforme. L’hébergement de production tourne sur Infomaniak, une entreprise suisse familiale basée à Genève, et sur Hetzner, une entreprise allemande située près de Nuremberg. Microsoft 365 reste dans le tableau, mais uniquement pour notre courrier électronique interne et la collaboration documentaire. Aucune donnée client de production n’y transite.
La raison n’est pas technique. C’est une question de juridiction.
Le CLOUD Act, en un paragraphe
En 2018, les États-Unis ont adopté une loi appelée CLOUD Act. Elle fait essentiellement une chose : elle permet aux autorités américaines de contraindre toute entreprise dont le siège social est aux États-Unis à remettre les données de ses clients, quel que soit l’endroit dans le monde où ces données sont physiquement stockées. Microsoft, Amazon et Google ont tous leur siège social aux États-Unis. Donc si un procureur ou une agence américaine émet une requête CLOUD Act valide, ces entreprises sont tenues de coopérer, même pour des données qui résident sur un serveur à Zurich, Francfort ou Genève. Le client n’en est souvent même pas informé.
Ce n’est pas de la spéculation. Le 18 juin 2025, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a déclaré sous serment devant une commission d’enquête du Sénat français que Microsoft ne pouvait pas garantir que les données de citoyens français ne seraient pas transmises au gouvernement américain au titre du CLOUD Act. La page officielle d’AWS sur le CLOUD Act engage l’entreprise à ‘contester les requêtes qui contreviennent à la loi, sont trop larges ou sont autrement inappropriées’ - un combat, pas une garantie. La position publiée de Google Cloud est comparable : suivre la procédure légale, informer les clients quand cela est permis, contester les requêtes jugées infondées. La promesse que les trois font à leurs clients européens, c’est ’nous nous opposerons à ce que nous jugeons déraisonnable’, pas ‘vos données sont hors d’atteinte’.
Pour beaucoup de workloads, c’est un compromis acceptable. Pour des données clients qui nous sont confiées, en particulier dans la santé, la finance et le secteur public, c’est devenu un compromis que nous ne voulions plus prolonger.
Pourquoi une ‘région suisse’ n’est pas la même chose qu’une juridiction suisse
Le malentendu le plus fréquent ressemble à ceci : ‘Nous avons choisi la région suisse sur Azure, donc nos données sont en Suisse, donc le droit suisse s’applique.’
La première moitié est juste. La seconde non.
La juridiction ne suit pas les coordonnées GPS du centre de données. Elle suit la personne morale qui exploite le service. La région suisse d’Azure est exploitée par Microsoft, une entreprise américaine. Le plan de contrôle, la maison-mère et l’autorité capable d’imposer la divulgation sont toutes américaines. La région suisse vous offre une résidence des données. Elle ne vous offre pas une juridiction suisse.
En complément : en 2020, la Cour de justice de l’Union européenne a jugé, dans une affaire connue sous le nom de Schrems II, que le droit américain en matière de surveillance était incompatible avec les exigences européennes de protection des données. Les juridictions européennes ne font plus semblant que l’écart soit théorique.
Ce que ‘Swiss made’ veut dire pour l’hébergement
Luzid est certifié Swiss Made Software. Historiquement, ce label signifie ’le logiciel a été conçu et développé en Suisse’. La conversation dans le secteur a évolué. De plus en plus, ‘Swiss made’ est compris comme exploité en Suisse aussi, de bout en bout, jusque dans la couche d’hébergement. Une application construite en Suisse qui tourne sur un cloud sous contrôle américain a une porte d’entrée suisse et une porte de service étrangère.
L’association Swiss Made Software a clairement pris position : ses membres devraient privilégier des hébergeurs qui ne sont pas sous le contrôle direct ou indirect d’un État étranger. Nous partageons cette position. C’est la seule lecture de ‘Swiss made’ qui résiste à une discussion d’audit sérieuse sur l’accès aux données.
Pourquoi Infomaniak (Suisse)
Infomaniak est suisse, familiale, basée à Genève, avec tous ses centres de données en Suisse. Elle publie un rapport de transparence sur les requêtes légales. Elle est certifiée ISO 27001. Elle est alignée sur la nouvelle loi suisse sur la protection des données (nLPD).
Pour les workloads dont la juridiction est suisse, dont la personne concernée est suisse, dont l’autorité de contrôle est suisse et dont l’audit est suisse, Infomaniak donne la réponse la plus propre. Aucune personne morale étrangère dans la chaîne. Aucune loi extraterritoriale qui surplombe le contrat client.
Pourquoi Hetzner (Allemagne / UE)
Hetzner est une entreprise allemande, avec des centres de données en Allemagne et en Finlande. Pas de maison-mère américaine, pas de holding américaine, pas d’exposition au CLOUD Act. Pour les workloads dont la juridiction est européenne plutôt que spécifiquement suisse, dont la personne concernée est citoyenne de l’UE et dont le RGPD est le droit de référence, Hetzner est le bon foyer. Les données restent dans la juridiction européenne pour laquelle le règlement a été écrit.
Ce que cela signifie pour nos clients
Concrètement, nous proposons quatre formes d’hébergement - et le choix se fait projet par projet, dicté par les exigences et le budget, pas par défaut :
- Juridiction entièrement suisse : tout sur Infomaniak. Pour les données de santé suisses, les données financières ou les workloads d’autorités publiques où toute exposition juridique étrangère est inacceptable.
- Juridiction entièrement UE : tout sur Hetzner. Pour les données de citoyens européens couvertes par le RGPD.
- Hybride (Suisse + UE) : les données les plus sensibles sur Infomaniak en Suisse, le reste du workload sur Hetzner. Nous ne passons en hybride que lorsqu’un projet a réellement besoin de cette combinaison - souveraineté suisse pour la partie critique, économie européenne pour la masse - et cela ajoute de la complexité opérationnelle, ce n’est donc pas notre choix par défaut.
- Sur mesure / défini par le client : une forme entièrement différente, sur une infrastructure que le client possède déjà ou qu’il impose. Nous aidons à la concevoir et à l’exploiter aux mêmes standards de souveraineté que nous appliquons à notre propre plateforme.
Nous fixons la forme avec chaque client en amont. Chaque client que nous hébergeons sait s’il est à 100 % en juridiction suisse, 100 % UE, hybride ou dans une forme sur mesure qu’il a définie - et ce que ce choix implique sur le coût par ressource et sur le dossier d’audit.
Dans les quatre formes, notre courrier électronique interne, notre calendrier et notre collaboration documentaire restent sur Microsoft 365. Nous sommes honnêtes là-dessus dans notre politique de confidentialité. C’est aussi pour cela que les données client de production n’y atterrissent jamais.
Les compromis que nous avons acceptés
Azure offre plus de services managés que les autres. Postgres managé avec tout activé. Kubernetes managé. Observabilité intégrée. Nous y avons renoncé en partie. Sur Infomaniak et Hetzner, nous opérons davantage la pile nous-mêmes : nos propres clusters Kubernetes, nos propres bases Postgres, nos propres setups Loki et Grafana pour les logs et les métriques.
Nous avons pu accepter cela parce que l’artisanat opérationnel est l’un des piliers sur lesquels nous travaillons déjà. Nous opérons ailleurs des infrastructures critiques pour des clients ; opérer la nôtre ici est cohérent, pas un saut. Le résultat, c’est plus de code à maintenir, mais un setup que nous contrôlons de bout en bout.
Pourquoi nous l’avons écrit
Pour des clients qui ne peuvent jamais se permettre d’échouer, la question ‘où mes données peuvent-elles être contraintes d’aller ?’ mérite une réponse architecturale, pas une réponse marketing. Choisir un hébergement souverain suisse et européen était cette réponse pour notre propre plateforme. Si la même question figure sur votre liste d’audit, nous pouvons vous aider à y répondre pour la vôtre.
La souveraineté est un standard de travail, pas une accroche marketing
Héberger chez un fournisseur sous contrôle américain, même dans une région suisse, laisse les données clients accessibles à la procédure légale américaine. Pour des clients suisses réglementés, c'est un risque structurel, pas théorique.
Infomaniak (suisse, exploité en Suisse) et Hetzner (européen, exploité en UE) placent les données sous des juridictions où les droits suisse et européen régissent l'accès de bout en bout.
Si vous opérez dans la santé, la finance ou un domaine où un audit demande 'une autorité étrangère pourrait-elle y accéder ?', nous pouvons vous aider à concevoir une architecture d'hébergement et de données qui répond clairement par 'non'.
