Il s'agit d'une question rarement posée explicitement, mais récurrente dans la réflexion de tout dirigeant avant la signature avec un fournisseur cloud : où finit mon fichier client ?
Chaque laboratoire client de CadCamCloud constitue un tenant séparé. Fichier client EU, fichiers STL, prescriptions, volumes, fréquences de commande : tout réside dans un espace logique isolé. La plateforme est multi-tenant strict — chaque requête à la base de données filtre par tenant_id, sans exception. Aucun autre laboratoire de la plateforme ne visualise vos données.
Notre console d'administration accède exclusivement à des indicateurs agrégés du système — nombre de cabinets actifs, dans quels pays, volumes macro. Ces données ont une seule finalité : dimensionner serveurs et hébergement en fonction du volume réel de travail de la plateforme. Jamais un nom, jamais une adresse courriel, jamais un fichier. Chaque accès administratif est enregistré dans un journal d'audit append-only vérifiable par le partenaire Enterprise sur demande.
L'infrastructure opère sur serveurs Hetzner, centre de données Milan. Aucune donnée de santé ne quitte le périmètre UE. Le fournisseur de stockage cloud opère dans des centres de données UE. Aucun CDN américain pour les données cliniques, aucune sauvegarde sur cloud extra-UE. RGPD by design, et non comme déclaration de façade.
Les fichiers DICOM (CBCT, TDM, séries radiologiques endorales) constituent des PHI — Protected Health Information au sens de l'art. 9 du RGPD : ils contiennent l'identité du patient, son code identifiant, l'établissement de santé, le médecin référent. Pour cette raison, le téléversement DICOM est disponible exclusivement sur les forfaits Premium et Enterprise, où la plateforme applique un scan antivirus dédié en arrière-plan avec mise en quarantaine automatique, une notice PHI spécifique signée lors de l'onboarding et une option d'anonymisation opt-in côté cabinet.
Sur les forfaits Basic et Pro, le téléversement DICOM n'est pas activé : la plateforme bloque le flux avec un message d'upgrade explicite. La reconnaissance s'opère par extension (.dcm, .dicom, .dic, .ima, .img) ou magic-byte DICM, et ne peut être contournée en renommant un fichier d'un autre type. Tous les autres formats restent accessibles sur tous les forfaits dans les limites standards.
Chaque soumission reçue génère un PDF/A — norme ISO 19005, conforme aux Lignes directrices AGID — comprenant fichier client, formulaire renseigné, fichiers joints avec empreinte cryptographique, horodatage et UUID unique. Le form_data ne dispose pas de point d'accès de modification post-envoi : ce qui a été transmis ne peut être altéré.
Le document est conservé dix ans, conformément à ce que le Règlement UE 2017/745 exige du fabricant de dispositifs médicaux sur mesure. Un QR sur le PDF renvoie à une page de vérification publique accessible sans authentification.
Instantané quotidien de la base de données et du stockage, rétention trente jours glissants. Sauvegarde hors site sur fournisseur UE distinct pour la reprise après sinistre. Tests de restauration périodiques internes ; pour les contrats Enterprise, audit indépendant pouvant être convenu en clause SLA.
Pour ceux qui gèrent des données sensibles en volume significatif (réseaux multi-sites, Enterprise) il est possible de préparer une analyse technique dédiée, un DPA personnalisé et des clauses SLA.