Infomaniak se rend « invendable » : ce que la gouvernance par fondation change pour le choix d'un hébergeur
Le 20 mai 2026, l'hébergeur suisse Infomaniak a annoncé une opération rare en Europe : son fondateur a transféré la majorité des droits de vote de l'entreprise à une fondation d'utilité publique, la Fondation Infomaniak. Objectif affiché : rendre la société « invendable » et verrouiller durablement son indépendance. Une initiative de gouvernance d'entreprise qui n'a, en apparence, rien de réglementaire — mais que les DPO auraient tort d'ignorer au moment de choisir leurs prestataires.
Ce qui s'est passé
Boris Siegenthaler, fondateur et actuel directeur de la sécurité d'Infomaniak, a cédé le contrôle de l'entreprise à la Fondation Infomaniak, une structure suisse à but non lucratif. Concrètement, la fondation devient l'actionnaire de référence d'Infomaniak Group SA : elle détient 65 % des droits de vote — via des actions spéciales qui ne pourront jamais être vendues — pour seulement 15 % de la valeur de l'entreprise.
L'opération a été approuvée à l'unanimité par l'ensemble des actionnaires, soit le fondateur et 36 salariés, qui ont accepté de réduire leurs propres droits de vote. La fondation, elle, ne prend aucune décision opérationnelle, commerciale ou technique : l'entreprise reste pilotée par son équipe de direction. Le montage est présenté comme irrévocable. Il met Infomaniak hors de portée de tout rachat tout en lui permettant, paradoxalement, d'ouvrir son capital à des investisseurs extérieurs.
Pourquoi c'est important
Sur le plan strictement juridique, cette annonce ne crée aucune obligation nouvelle : il n'y a ni décision d'autorité, ni texte, ni jurisprudence. Mais elle touche un angle mort fréquent de la conformité : la stabilité capitalistique d'un sous-traitant. Le RGPD impose au responsable de traitement de ne recourir qu'à des sous-traitants présentant des « garanties suffisantes » (article 28). En pratique, l'audit des sous-traitants se concentre sur les mesures de sécurité, la localisation des données et les clauses contractuelles — rarement sur la question de savoir qui pourrait racheter le prestataire demain.
Or un changement d'actionnariat peut bouleverser l'exposition réglementaire du jour au lendemain. Le rachat d'un hébergeur européen par un groupe soumis au droit américain ferait basculer les données concernées dans le champ du Cloud Act, avec à la clé un risque d'accès extraterritorial difficilement conciliable avec le RGPD. La dépendance de l'Europe aux acteurs non européens est déjà documentée : un rapport récent montrait que 23 États européens sur 28 dépendent des fournisseurs américains pour des fonctions critiques. En se rendant structurellement « non rachetable », Infomaniak neutralise précisément ce scénario.
Ce que ça change pour les organisations
Pour un DPO ou un RSSI, l'enseignement est moins l'événement lui-même que le critère qu'il met en lumière. Trois actions concrètes se dégagent.
D'abord, intégrer la structure de propriété et la « non-acquirabilité » au questionnaire fournisseur, au même titre que la localisation des serveurs. Un prestataire dont le capital peut changer de mains présente un risque latent qu'il faut documenter dans l'analyse. Les référentiels de souveraineté émergents, comme le cadre C3A publié par le BSI allemand, vont déjà dans ce sens en évaluant l'exposition à l'extraterritorialité.
Ensuite, réexaminer son analyse de transfert pour les prestataires hors UE — Infomaniak étant suisse, donc couvert par une décision d'adéquation dont le maintien dépend de la stabilité du cadre. Les clauses contractuelles types restent l'outil de référence pour encadrer ces flux, et la question du transfert de données hors UE mérite un examen périodique plutôt que ponctuel.
Enfin, prévoir une clause de réversibilité et de notification de changement de contrôle dans les contrats de sous-traitance : être informé en amont d'un rachat permet d'anticiper une migration plutôt que de la subir. Le débat sur les datacenters de proximité illustre la même logique : la souveraineté se joue autant dans la gouvernance que dans la géographie.
Ce que Leto pense de cette décision
Ne nous y trompons pas : l'annonce d'Infomaniak relève de la communication corporate et n'a aucune valeur normative. Mais elle a le mérite de rendre visible un critère trop souvent négligé. La conformité d'un sous-traitant n'est pas un état figé : elle peut s'effondrer avec un simple changement d'actionnaire. Verrouiller la gouvernance pour rester « invendable » est une réponse de marché élégante à un risque réel. Pour les DPO, la leçon est simple : la due diligence d'un hébergeur ne doit pas s'arrêter à ses certifications, elle doit aussi interroger sa pérennité capitalistique.
Sources :
