Il y a une question qu’on me pose régulièrement, parfois avec une pointe de malice : « Et toi, tu utilises quoi comme outils ? »
La question est légitime. Un DPO qui conseille ses clients sur la souveraineté des données, les transferts hors UE et les risques liés aux Big Tech américains, mais qui tourne son activité sous Google Workspace et stocke ses fichiers sur Google Drive… c’est un peu comme un nutritionniste qui mange des chips en consultation.
La cohérence n’est pas une option quand on exerce ce métier. C’est une condition de crédibilité.
Le grand chantier de la mise en cohérence
Aligner ce qu’on prône et ce qu’on fait, c’est un travail. Un vrai. Pas une case à cocher, pas une posture de communication. Ça prend du temps, ça demande de tester des outils, de migrer des données, de changer des habitudes profondément ancrées.
C’est précisément ce travail que j’ai mené pour l’ensemble de mes structures. Messagerie, stockage, bureautique, agenda, formulaires, visioconférence, signature électronique, hébergement de sites, moteur de recherche, navigateur… chaque brique a été passée au crible avec une seule question : est-ce que les données restent dans l’Union européenne, chez un opérateur soumis au droit européen ?
La réponse est oui. Et non, ça n’a pas cassé le quotidien.
Brique par brique : ce qui existe vraiment
Voici comment ça se traduit concrètement, service par service.
Messagerie professionnelle
C’est souvent là que tout commence, et c’est là que l’image se joue. Proton Mail (Suisse, chiffrement de bout en bout), Tuta Mail (Allemagne, open source), Infomaniak kMail (Suisse, 20 Go offerts, hébergement écologique), ou encore Mailo (France, données hébergées sur le territoire national) : les options sont nombreuses, matures, et utilisables depuis n’importe quel client de messagerie via IMAP. Alinto opère également des solutions de messagerie souveraines pour les organisations plus structurées.
Stockage et partage de fichiers
Proton Drive pour un usage individuel ou en petite équipe. Infomaniak kDrive pour une expérience plus proche de Google Drive, avec collaboration en temps réel. Nextcloud, en auto-hébergement ou chez un prestataire européen, pour ceux qui veulent une maîtrise totale. Oodrive pour les environnements plus sensibles, notamment dans le secteur de la santé. Tresorit (Hongrie/Suisse) pour les échanges de fichiers chiffrés.
Suite bureautique et coédition
OnlyOffice, compatible avec les formats Microsoft Office, disponible en cloud ou on-premise, hébergé chez des partenaires européens. Collabora Online, version cloud de LibreOffice, intégrable dans Nextcloud. La suite Infomaniak inclut un traitement de texte et un tableur en ligne directement dans kDrive. Pour les organisations plus importantes, des suites comme Wimi ou Talkspirit (toutes deux françaises) proposent un environnement collaboratif complet avec documents, projets et messagerie interne.
Agenda et gestion du temps
Infomaniak Calendar, Blue Mind (France, spécialiste de l’agenda collaboratif en entreprise), ou encore un Nextcloud bien configuré : les alternatives à Google Agenda sont fonctionnelles et s’intègrent parfaitement avec les clients habituels (Thunderbird, Apple Calendar, applications Android).
Visioconférence
Whereby (Norvège) : simple, sans installation, sans compte obligatoire pour les participants. Jitsi Meet (open source, auto-hébergeable, gratuit). Infomaniak Meet. Talkspirit intègre sa propre solution de visio. Pour les usages professionnels plus exigeants, des acteurs comme Glowbl ou Livestorm (France) proposent des environnements complets pour les webinaires et réunions en ligne.
Formulaires et collecte de données
Tally (hébergement européen disponible), Framaforms (solution open source de Framasoft, hébergée en France), ou encore les formulaires intégrés dans des outils comme Nextcloud. Pour les collectes de données sensibles dans le secteur de la santé, LimeSurvey auto-hébergé chez un prestataire certifié HDS est une référence.
Signature électronique
Yousign (France, certifié eIDAS), DocuSign étant américain, beaucoup l’ignorent. Universign (groupe Oodrive), Certigna (Dhimyotis, France), ou encore Skribble (Suisse). Ces solutions couvrent les signatures simples, avancées et qualifiées selon les besoins.
Hébergement de sites et applications
OVHcloud (France, premier hébergeur européen). Infomaniak (Suisse). o2switch (France, serveurs 100 % en France). Hetzner (Allemagne, excellent rapport qualité/prix). Scalingo (France, plateforme cloud orientée développeurs). Toutes ces options permettent de garantir que les données de vos visiteurs ne transitent pas vers des serveurs américains.
Moteur de recherche
Qwant (France, soutenu par des institutions publiques françaises et européennes, aucune collecte de données personnelles). Startpage (Pays-Bas). DuckDuckGo (États-Unis mais politique de confidentialité stricte). Ecosia (Allemagne). Pour un usage quotidien, Qwant répond à l’immense majorité des besoins.
Navigateur
Firefox (Mozilla Foundation, open source, moteur Gecko indépendant, nombreuses extensions de protection). Vivaldi (Norvège, ultra-personnalisable, 100 % RGPD). Brave (open source, bloque les trackers et publicités par défaut).
Gestion de projet et collaboration
Wimi (France), Talkspirit (France), Jamespot (France, également membre du consortium CollabNext soutenu par France 2030), Whaller (France, réseau social d’entreprise cloisonné), eXo Platform (digital workplace open source). Ces outils répondent aux besoins de la grande majorité des structures sans avoir à passer par Microsoft Teams ou Slack.
Analyse d’audience web
Matomo (open source, auto-hébergeable ou cloud européen) : c’est la référence pour remplacer Google Analytics tout en restant exempt de consentement si le déploiement respecte les recommandations de la CNIL. AT Internet / Piano Analytics (France) pour les environnements plus complexes.
Oui, c’est possible. Sans astérisque.
Ce catalogue n’est pas théorique. Ces outils, je les utilise au quotidien pour faire tourner DPO PARTAGE, DPO FRANCE, DPO SUITE et FOCUS RGPD. Messagerie, stockage, signature, hébergement, analytics : tout est en Europe, tout répond au droit européen.
Ce n’est plus 2017. L’argument « les alternatives ne sont pas au niveau » ne tient plus. Les outils sont là. Ils sont matures. Certains sont même supérieurs à leurs équivalents américains sur des fonctionnalités spécifiques. Et leur modèle économique ne repose pas sur l’exploitation de vos données.
2026 : l’année du miroir pour les professionnels de santé
Maintenant, parlons franchement à ceux qui sont directement concernés : cabinets médicaux, CPTS, maisons de santé, pharmacies, laboratoires, orthophonistes, kinésithérapeutes, infirmiers libéraux, centres de radiologie, organismes agréés opérant dans des programmes de qualité…
Si votre structure tourne encore avec une adresse @gmail.com en 2026, vous envoyez un signal. Pas un signal neutre. Un signal qui dit : « nous n’avons pas réfléchi à la protection des données de nos patients. »
Une ordonnance reçue sur Gmail, un compte-rendu partagé via Google Drive, un agenda de rendez-vous dans Google Calendar : chacun de ces usages constitue un transfert de données de santé vers des serveurs américains, sans base légale solide depuis l’invalidation du Privacy Shield, et sans garantie réelle face au Cloud Act américain qui autorise les autorités américaines à accéder aux données stockées par des entreprises US, y compris hors du territoire américain.
Les patients sont de plus en plus informés. Les organismes d’accréditation regardent. La CNIL sanctionne. Et le grand public fait désormais la distinction entre un professionnel qui traite les données de santé avec sérieux et un autre qui répond à ses patients depuis une boite Gmail hébergée aux États-Unis.
Une adresse @gmail.com pour un professionnel de santé en 2026, c’est soit de l’obsolescence, soit de l’inconscience. Dans les deux cas, c’est visible.
Ce que ça change vraiment
Migrer vers des outils souverains, ce n’est pas seulement une obligation de conformité. C’est une décision stratégique et une forme de crédibilité professionnelle que vos patients, vos partenaires et demain vos organismes de tutelle vont lire comme un signal fort.
Pour un DPO, la cohérence est non négociable : impossible de vendre de la conformité RGPD le matin et d’utiliser Google Analytics sur son propre site le soir. Pour un médecin, une pharmacie ou une CPTS, c’est la même logique : vous traitez chaque jour des données parmi les plus sensibles qui existent. Les outils que vous utilisez doivent être à la hauteur de cette responsabilité.
Les solutions existent. Elles sont accessibles. Elles fonctionnent.
La question n’est plus « est-ce possible ? » Elle est : « qu’est-ce qu’on attend ? »
