Transferts de fichiers et RGPD : ce que les entreprises françaises doivent vérifier

L'outil de transfert de fichiers est un angle mort RGPD : les 5 questions à poser, ce que change le chiffrement zero-knowledge, et une checklist pour DPO.

Envoyer un dossier client trop lourd pour l'email, transmettre des bulletins de paie à un expert-comptable, partager un dossier médical entre confrères : dans la plupart des organisations, ces gestes passent par un outil de transfert de fichiers choisi rapidement, souvent gratuit, rarement audité. Or les pièces transférées contiennent presque toujours des données personnelles au sens du RGPD. L'outil de transfert mérite donc le même examen que n'importe quel sous-traitant informatique — et c'est précisément là que beaucoup d'entreprises françaises ont un angle mort.

Pourquoi l'outil de transfert est un angle mort RGPD

Le registre des traitements recense généralement le CRM, la paie, le site web. Le service de transfert de fichiers, lui, y figure rarement, alors qu'il véhicule des contrats, des pièces d'identité, des données RH, parfois des données de santé — c'est-à-dire des données personnelles, et souvent des données sensibles.

Trois facteurs aggravent le risque. D'abord, l'usage est décentralisé : chaque collaborateur choisit son outil, ce qui relève du shadow IT. Ensuite, les fichiers transitent et sont stockés temporairement chez un tiers, qui devient de fait un sous-traitant au sens de l'article 28 du RGPD — sans que le contrat de sous-traitance exigé par ce texte existe nécessairement. Enfin, en cas de violation de données (lien intercepté, fuite chez le prestataire), l'entreprise reste responsable de traitement : c'est elle qui devra documenter l'incident et, le cas échéant, le notifier à la CNIL.

Les 5 questions à poser à votre outil de transfert

1. Où les données sont-elles hébergées ?

La localisation des serveurs détermine une grande partie de l'analyse. Un hébergement dans l'Union européenne simplifie considérablement la conformité ; un hébergement hors UE impose de vérifier les garanties applicables (décision d'adéquation, clauses contractuelles types, mesures supplémentaires). Attention aux formulations vagues : « conforme RGPD » ne dit rien de l'emplacement réel des fichiers.

2. L'opérateur peut-il techniquement lire les fichiers ?

C'est la question la plus souvent oubliée. Un chiffrement « en transit » (HTTPS) et « au repos » protège contre des tiers, mais pas contre l'opérateur lui-même, qui détient les clés. Si le prestataire peut déchiffrer vos fichiers, il peut aussi y être contraint — par une réquisition, une erreur interne ou une compromission de ses systèmes.

3. Quelle base légale et quel contrat de sous-traitance ?

Un sous-traitant qui traite des données personnelles pour votre compte doit être encadré par un accord de traitement des données (DPA) précisant les instructions, les mesures de sécurité et le sort des données. Vérifiez que ce document existe, qu'il est accessible, et qu'il couvre bien l'usage que vos équipes font de l'outil.

4. Quelle durée de rétention ?

Le principe de minimisation s'applique aussi aux transferts : un fichier qui reste six mois sur un serveur tiers alors que le destinataire l'a téléchargé le premier jour constitue une exposition inutile. Privilégiez des durées de rétention courtes, explicites et paramétrables, avec suppression effective à l'échéance.

5. Y a-t-il un risque de transfert hors UE ou d'accès extraterritorial ?

Même hébergé en Europe, un service opéré par une société soumise à des législations extraterritoriales — comme le CLOUD Act américain — peut faire l'objet de demandes d'accès émanant d'autorités étrangères. Ce point ne rend pas l'outil automatiquement non conforme, mais il doit être identifié, évalué et documenté dans votre analyse de risque, en particulier pour les secteurs réglementés (juridique, santé, RH, finance).

Ce que change le chiffrement de bout en bout zero-knowledge

Le chiffrement de bout en bout (E2EE) déplace la frontière du risque. Les fichiers sont chiffrés dans le navigateur de l'expéditeur, avant tout envoi, et déchiffrés uniquement chez le destinataire. La clé de déchiffrement ne transite jamais par le serveur : l'opérateur ne stocke que des données chiffrées qu'il est techniquement incapable de lire. C'est ce qu'on appelle une architecture zero-knowledge.

Pour un DPO, les conséquences sont concrètes. Les questions 2 et 5 changent de nature : un opérateur qui ne peut pas déchiffrer les fichiers ne peut pas les divulguer en clair, quelle que soit la demande qui lui est adressée. En cas de fuite côté serveur, les données exfiltrées restent chiffrées, ce qui peut contribuer à réduire la gravité de l'incident et le risque pour les personnes concernées. Le chiffrement de bout en bout ne dispense pas des autres obligations — base légale, DPA, durées de rétention restent nécessaires — mais il constitue une mesure technique forte au sens de l'article 32 du RGPD, celui qui impose des mesures « appropriées au risque ».

Checklist actionnable pour un DPO ou un dirigeant

  • Recenser les outils de transfert réellement utilisés dans l'entreprise, y compris ceux adoptés spontanément par les équipes.
  • Inscrire le transfert de fichiers au registre des traitements, avec les catégories de données concernées.
  • Vérifier la localisation d'hébergement et la juridiction de l'opérateur, pièces à l'appui.
  • Exiger un DPA conforme à l'article 28 et le conserver avec la documentation de conformité.
  • Privilégier un chiffrement de bout en bout où l'opérateur ne détient pas les clés, plutôt qu'un simple chiffrement en transit.
  • Paramétrer des durées de rétention courtes et vérifier la suppression effective des fichiers expirés.
  • Encadrer les usages dans la charte informatique : quel outil pour quelles données, et protection par mot de passe pour les pièces sensibles.
  • Réévaluer le dispositif à chaque évolution de l'outil ou de son actionnariat, qui peut modifier la juridiction applicable.

Conclusion

L'outil de transfert de fichiers n'est pas un détail technique : c'est un traitement de données personnelles à part entière, avec ses sous-traitants, ses risques et ses obligations documentaires. Les cinq questions ci-dessus permettent de qualifier rapidement un outil existant — et, souvent, de constater qu'il a été choisi sans analyse.

C'est pour répondre à ce cadre que des solutions souveraines ont émergé. ZeroTrustTransfer, par exemple, combine chiffrement de bout en bout zero-knowledge dans le navigateur, hébergement en France sur une infrastructure détenue par une société française, et durées de rétention courtes et maîtrisées. Aucun outil ne rend « conforme » à lui seul, mais choisir une architecture où l'opérateur ne peut techniquement pas lire les fichiers réduit structurellement le risque — pour l'entreprise comme pour les personnes dont elle traite les données.

Complément : notre guide de conformité RGPD pour le transfert de fichiers.

chiffré bout-en-bout · hébergement france · gdpr · zero-knowledge