Pourquoi vous devriez utiliser Dropbox pour des données personnelles avec attention

Dropbox, c’est plus de 500 millions d’utilisateurs à travers le monde ! (Source : meilleureinnovation.com) C’est un succès retentissant pour ce service de stockage dans le cloud.

C’est vrai : l’entreprise californienne, créée en 2007, ne manque pas d’atouts pour séduire les entreprises, et ce, quelle que soit leur taille.

Un espace de stockage de 2 Go gratuit, un fonctionnement intuitif (équivalent à un disque dur classique), des prix attractifs, la possibilité de récupérer des fichiers supprimés ou modifiés… Stocker et partager des fichiers, des informations, accessibles partout dans le monde et sur tous les supports (ordinateurs, tablettes, smartphones) devient un véritable jeu d’enfants.

Entre nous, qui n’a jamais bataillé avec un fichier trop volumineux impossible à envoyer par mail ? Avec vos seuls identifiants Dropbox, c’est de l’histoire ancienne. Les informations circulent sans entrave en temps réel, les notions de “frontières” et de “durées” s’effacent.

Un gain de productivité et d’efficacité non négligeables pour les entreprises. Dropbox facilite grandement le travail collaboratif… mais pas sans concession…

Cette liberté dans la circulation des données personnelles s’accompagne nécessairement d’une perte de gouvernance.

Où sont stockés les fichiers transférés sur Dropbox ? La confidentialité des informations est-elle assurée ? Les données personnelles sont-elles sécurisées ?

La facilité d’utilisation ne doit pas vous faire oublier vos obligations vis-à-vis du RGPD (Règlement Général sur la Protection des Données). Salariés, partenaires, clients… Vous êtes responsable des données personnelles qu’on vous confie. Vous êtes le garant de la protection de la vie privée de vos interlocuteurs européens.  

La solution Dropbox est-elle réellement la plus adaptée pour remplir pleinement vos missions ? 

La politique de confidentialité de l’entreprise américaine et son historique en matière de sécurisation des données vous encouragent à la plus grande vigilance…

Une politique de confidentialité ambiguë

Selon la politique de confidentialité de Dropbox, l’utilisation de cette solution cloud ne pose aucun problème... A priori...

Dans la section “Obligations européennes relatives à la protection des données”, l’entreprise américaine se veut même rassurante : “Dropbox a obtenu la certification Privacy Shield relative aux échanges de données entre l'Union européenne et les États-Unis, et la Suisse et les États-Unis.”

Problème : la CJUE (Cours de Justice de L’Union Européenne) a invalidé le Privacy Shield le 16 juillet 2020.

Principale raison de ce rejet : la législation américaine (notamment des lois telles que le Cloud Act…) ne permet plus d’assurer un niveau de protection adéquat aux ressortissants européens.

Les autorités américaines, à des fins de sécurité nationale, peuvent demander à des fournisseurs cloud nationaux (c’est le cas de Dropbox) l’accès aux données détenues, indépendamment du lieu d’implantation de leurs serveurs et de la nationalité des personnes concernées.

Une violation du RGPD selon la CJUE. Les ressortissants européens ne peuvent plus exercer pleinement leurs droits (notamment aucune possibilité de recours en cas de demande d'accès formulée par les autorités américaines). Une perte de contrôle de leurs informations personnelles contraire à l'esprit de la réglementation européenne.

L’enjeu de sécurité est décisif. Sur son site Internet, la CNIL (Commission Nationale de l'Informatique et des Libertés) met en garde les entreprises qui confient des données à des prestataires américains.

À la question "Je transférais des données à un importateur de données américain adhérant au Privacy Shield, que dois-je faire maintenant ? ", la réponse du gendarme pour la protection de données est particulièrement explicite : 

• “Les transferts effectués sur la base de ce cadre juridique sont illégaux”.
  

Comment utiliser Dropbox en toute légalité ?

Vous devez :

• utiliser des clauses contrat type ;
• procéder à une évaluation des conditions de transferts ;
• prendre éventuellement des mesures de sécurité complémentaires.

L'objectif est simple : les données en votre possession doivent profiter d'un niveau de protection adéquat, conformément aux exigences du RGPD.

En cas de manquement, votre entreprise ne respecte plus les directives du RGPD. Vous encourez de lourdes sanctions (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires au niveau mondial).

Dropbox et la sécurité des données : une histoire avec quelques couacs

“Préservez la confidentialité de vos fichiers avec les différents niveaux de protection offerts par le service auquel des millions de personnes font confiance.” La protection, une force de l’entreprise de San Francisco si on se réfère à leur site Internet.

Pourtant, Dropbox a déjà montré quelques failles, voire manqué de transparence pendant les dernières années.

2011 : des clés cryptées non confidentielles

Nous sommes en 2011. Le chercheur américain Christopher Soghoian, spécialiste en sécurité informatique et militant en faveur de la protection de la vie privée sur les réseaux informatiques, découvre que la promesse Dropbox de chiffrement et d’inaccessibilité des données hébergées n’était pas tenue.

Dropbox affirmait que seuls les utilisateurs accédaient à leurs fichiers avec leur mot de passe.

Problème : les employés de Dropbox pouvaient aussi accéder à ces données !

Dropbox prenait également la liberté de gérer le nombre de copies partagées d’un même fichier. Pour optimiser les capacités de stockage de ses serveurs, Dropbox comparait les fichiers téléchargés et éliminait les doublons.

Ces pratiques sont-elles encore d’actualité ? Difficile de se prononcer...

2012 : 68 millions d'identifiants utilisateurs dérobés

L’entreprise a été victime d’un vol à grande échelle en 2012 : 68 millions d'e-mails et de mots de passe utilisateurs.

Aucun accès non autorisé à des comptes utilisateurs n’a, malgré tout, été constaté. Ceci parce que les mots de passe dérobés sont très difficilement déchiffrables (ajout d’un nombre arbitraire et cryptage). Toutefois, le manque de transparence de la société interpelle : Dropbox a révélé cette fuite de données en 2016 seulement…

Comment respecter vos engagements vis-à-vis du RGPD, comment être réactif dans de telles conditions ? Car, de votre côté, vous avez aussi un devoir d’information.

Adopter une attitude éthique

Vous en savez désormais un peu plus sur la solution Dropbox. Pour être en conformité avec le RGPD, il vous appartient de prendre les précautions nécessaires. Dropbox n’assurera pas, à lui seul, votre conformité.

Une subtilité que ne manque pas de souligner la société américaine sur son site Internet : “les entreprises établies dans l'Union européenne et qui traitent les données personnelles de personnes vivant dans l'Union européenne sont tenues de se conformer au Règlement général sur la protection des données (RGPD).” 

Onedrive, Google Drive, Dropbox… Plus généralement, méfiez-vous des solutions cloud gratuites. 

Très populaires, elles constituent le terrain de chasse privilégié des pirates du Web. Tant de participants, tant de liens qui s’échangent… Difficile de contrôler à 100 % les données stockées et partagées. Les risques de vols d’informations sont particulièrement élevés. 

Vous pouvez continuer à utiliser ces plateformes. Une condition à respecter : diffuser des informations non confidentielles qui ne vous mettent pas en porte-à-faux avec le RGPD.

N’oubliez pas ! Vous avez encore le contrôle. Vous maîtrisez la nature des informations stockées sur le cloud et votre politique en matière de protection des données.

Adoptez une attitude responsable. Clients, employés, partenaires… Tous noteront votre sérieux. Un message de confiance favorable au développement de votre business…

Pour être informé en temps réels de la conformité de vos outils, aidez-vous du logiciel RGPD Leto. Réserver une démo avec nos experts.