Dropbox et RGPD : guide de conformité 2026
Dropbox et RGPD : sous-traitance, DPA, transferts hors UE, chiffrement, partage de liens et sécurité. Le guide pour utiliser Dropbox en conformité.
- Dropbox est votre sous-traitant, pas votre paravent
- Compte personnel ou Dropbox Business : une distinction décisive
- Accepter et conserver le DPA Dropbox
- Transferts hors UE : DPF, clauses types et résidence des données
- Sécurité : ce que couvre l’article 32 chez Dropbox
- Partage de liens : le risque le plus sous-estimé
- Inventaire, registre et durées de conservation
- Ce qu’il faut retenir
- FAQ
« On stocke tout sur Dropbox, c’est pratique. » C’est exactement le problème. Dans mes audits, Dropbox apparaît rarement dans le registre des traitements — alors qu’il héberge souvent les fichiers RH, les contrats clients et parfois des données de santé. La plateforme est commode, mais elle reste un sous-traitant établi aux États-Unis, et c’est vous qui répondez de ce qu’il contient.
Voici un cadre opérationnel pour utiliser Dropbox sans sortir des clous du RGPD, en distinguant ce que la plateforme sécurise de ce qui demeure votre responsabilité.
Dropbox est votre sous-traitant, pas votre paravent
Premier réflexe à corriger : Dropbox ne « gère » pas votre conformité. Dès lors que vous déposez sur Dropbox des fichiers contenant des données personnelles — fiches clients, CV, bulletins de paie, photos d’événements —, vous déterminez les finalités et les moyens du traitement. Vous êtes le responsable de traitement au sens de l’article 4(7) du RGPD. Dropbox, qui héberge et traite ces données pour votre compte, est votre sous-traitant au sens de l’article 28 du RGPD.
Cette qualification a une conséquence directe : vous devez disposer d’un contrat de sous-traitance conforme à l’article 28(3) avec Dropbox. Ce n’est pas optionnel, et la bonne nouvelle est qu’il existe déjà — encore faut-il l’activer.
Compte personnel ou Dropbox Business : une distinction décisive
La confusion la plus fréquente, et la plus dangereuse, oppose le compte gratuit (Dropbox Basic / personnel) à l’offre professionnelle (Dropbox Business, Teams, Enterprise). Elle est déterminante pour deux raisons.
D’abord, le Data Processing Agreement (DPA) de Dropbox, qui contient les engagements de l’article 28(3) et les clauses contractuelles types pour les transferts, s’applique aux comptes Business et Enterprise. Un salarié qui synchronise des fichiers professionnels sur son compte Dropbox personnel vous prive de ce cadre contractuel : vous n’avez alors aucun contrat de sous-traitance opposable, et vous perdez la traçabilité des accès. C’est du shadow IT caractérisé, et c’est l’un des manquements que la CNIL relève le plus souvent en entreprise.
Ensuite, les fonctions de gouvernance (administration centralisée, gestion des appareils, journaux d’audit, résidence des données dans l’UE) ne sont disponibles que sur les offres professionnelles. La première mesure de conformité consiste donc à bannir les comptes personnels pour tout usage professionnel et à n’autoriser que des comptes Business administrés par l’entreprise.
Accepter et conserver le DPA Dropbox
Le DPA de Dropbox (dans sa version la plus récente, accompagnée de ses clauses contractuelles types) couvre les obligations de l’article 28(3) : traitement sur instructions documentées, confidentialité du personnel, mesures de sécurité de l’article 32, recours à des sous-traitants ultérieurs encadré, assistance à l’exercice des droits, notification des violations et sort des données en fin de contrat.
En pratique, l’administrateur doit vérifier que le DPA est bien accepté pour votre organisation et en conserver une copie datée. En cas de contrôle, la CNIL vous demandera de prouver que la chaîne de sous-traitance est contractualisée — un DPA accepté mais introuvable équivaut, du point de vue de la preuve, à un DPA absent. Documentez aussi la liste des sous-traitants ultérieurs de Dropbox (principalement des services d’infrastructure cloud comme AWS), au titre de l’autorisation de l’article 28(2) et (4).
Transferts hors UE : DPF, clauses types et résidence des données
C’est le cœur du sujet, parce que Dropbox, Inc. est une société américaine. Le transfert de données vers les États-Unis relève du chapitre V du RGPD sur le transfert de données hors UE. Trois éléments encadrent aujourd’hui ce flux.
Premièrement, Dropbox est certifié au titre de l’EU-US Data Privacy Framework. Depuis la décision d’adéquation de la Commission du 10 juillet 2023 (article 45), un transfert vers une entreprise américaine certifiée DPF bénéficie d’une présomption de protection adéquate. C’est la base juridique la plus simple à mobiliser — à condition de vérifier périodiquement que la certification de Dropbox est toujours active sur la liste officielle du Data Privacy Framework.
Deuxièmement, le DPA intègre des clauses contractuelles types (article 46(2)©) qui servent de garantie de repli, notamment pour les transferts hors champ du DPF ou en cas d’invalidation future de la décision d’adéquation — un scénario que l’histoire de Safe Harbor puis du Privacy Shield invite à ne pas exclure.
Troisièmement, les offres Business et Enterprise proposent une option de résidence des données dans l’Union européenne (data centers en Irlande et en Allemagne). Activer cette option maintient les données stockées au sein de l’UE et réduit considérablement l’exposition au risque de transfert — sans l’éliminer totalement, l’éditeur restant une société soumise au droit américain. Pour les données sensibles, c’est une mesure que je recommande systématiquement.
Sécurité : ce que couvre l’article 32 chez Dropbox
Dropbox apporte un socle technique solide au regard de l’article 32 du RGPD : chiffrement des fichiers au repos (AES-256) et en transit (TLS), découpage des fichiers en blocs, certifications ISO 27001, 27017, 27018 et 27701, attestation SOC 2 et adhésion au EU Cloud Code of Conduct. Ces éléments constituent des garanties utiles, à citer dans votre documentation de sécurité.
Un point mérite cependant votre vigilance : Dropbox n’est pas un service à connaissance nulle (zero-knowledge). L’éditeur détient les clés de chiffrement et peut donc, techniquement, accéder au contenu. Pour des données particulièrement sensibles — données de santé au sens de l’article 9, secrets d’affaires —, un chiffrement applicatif côté client (via un outil tiers de type Cryptomator) avant dépôt apporte une couche de protection supplémentaire que la plateforme seule n’offre pas.
La sécurité ne s’arrête pas au chiffrement. La part qui vous incombe est tout aussi importante : activation obligatoire de la double authentification, gestion fine des droits d’accès par dossier selon le principe du moindre privilège, journalisation et revue régulière des accès, gestion des appareils (déconnexion à distance en cas de perte ou de départ d’un salarié) et politique de mots de passe robuste. Aucune de ces mesures n’est automatique : elles relèvent de votre configuration.
Partage de liens : le risque le plus sous-estimé
La fonction qui fait le succès de Dropbox est aussi sa principale faille de conformité. Un lien de partage « toute personne disposant du lien » expose un fichier sans authentification : il suffit qu’il fuite par e-mail, dans un historique de navigateur ou via une indexation pour qu’il devienne une violation de données au sens de l’article 4(12). J’ai vu des liens de partage de listes de paie circuler bien au-delà de leur destinataire initial.
Quelques règles simples réduisent le risque : privilégier le partage nominatif (accès limité à des comptes identifiés) plutôt que les liens publics, protéger les liens par mot de passe, fixer une date d’expiration, désactiver le téléchargement quand la consultation suffit, et auditer périodiquement les liens actifs depuis la console d’administration. Une fuite par lien public reste une violation à porter, le cas échéant, dans votre registre des violations et à notifier à la CNIL sous 72 heures (article 33) si elle présente un risque pour les personnes — voir notre guide sur les violations de données personnelles.
Inventaire, registre et durées de conservation
Avant tout réglage, l’inventaire. Cartographiez ce que Dropbox héberge réellement : fichiers RH, contrats, données clients, fichiers projets, sauvegardes. Cette analyse alimente votre registre des activités de traitement imposé par l’article 30 du RGPD : Dropbox doit y figurer comme outil et comme sous-traitant, avec sa localisation de données et sa base de transfert. Un registre au format exploitable reste le socle de l’ensemble.
Le stockage cloud encourage l’accumulation sans fin : c’est précisément ce que sanctionne le principe de limitation de la conservation (Art. 5(1)(e)). Définissez des durées de conservation par type de fichier et organisez une purge régulière des dossiers obsolètes. Pensez aussi aux versions antérieures et aux fichiers supprimés que Dropbox conserve un temps : une donnée « effacée » côté utilisateur peut rester récupérable, ce qu’il faut maîtriser pour répondre correctement à une demande d’effacement (Art. 17).
C’est tout ce travail de cartographie des sous-traitants, de suivi des bases de transfert et de tenue des durées de conservation que des outils comme Legiscope automatisent, là où un suivi manuel sur tableur devient vite ingérable dès qu’une organisation multiplie les outils cloud.
Ce qu’il faut retenir
- Dropbox est votre sous-traitant (Art. 28) : vous restez responsable de traitement et devez disposer de son DPA, accepté et conservé.
- Bannissez les comptes personnels pour un usage professionnel : sans compte Business administré, vous perdez le contrat de sous-traitance, la résidence des données et la traçabilité des accès.
- Les transferts vers les États-Unis sont couverts par la certification EU-US Data Privacy Framework et, en repli, par les clauses contractuelles types du DPA ; l’option de résidence des données dans l’UE réduit l’exposition.
- Dropbox chiffre les données mais n’est pas zero-knowledge : pour les données sensibles, ajoutez un chiffrement côté client et activez 2FA, gestion des droits et journaux d’accès (Art. 32).
- Le partage par lien public est le premier risque de violation : préférez le partage nominatif, les mots de passe et l’expiration des liens, et inventoriez le tout dans votre registre.
FAQ
Dropbox est-il conforme au RGPD ?
Dropbox fournit les garanties contractuelles et techniques nécessaires (DPA avec clauses contractuelles types, certification Data Privacy Framework, chiffrement, certifications ISO et SOC 2), mais aucun outil n’est « conforme » à lui seul. La conformité dépend de votre configuration, de votre offre (Business plutôt que personnel), de l’activation du DPA et de la résidence des données, et de votre gouvernance interne. C’est vous, en tant que responsable de traitement, qui devez la construire et la documenter.
Où sont stockées les données Dropbox pour un client européen ?
Par défaut, les données peuvent transiter par les infrastructures de Dropbox aux États-Unis. Les offres Business et Enterprise proposent toutefois une option de résidence des données dans l’Union européenne, avec des data centers situés en Irlande et en Allemagne. Activer cette option maintient le stockage au sein de l’UE et limite l’exposition au risque de transfert, sans toutefois échapper entièrement au droit américain auquel l’éditeur reste soumis.
Peut-on stocker des données de santé sur Dropbox ?
Avec prudence. Les données de santé relèvent de l’article 9 et exigent des garanties renforcées. Dropbox n’étant pas un service à connaissance nulle, l’éditeur détient les clés de chiffrement. Pour ce type de données, il est recommandé d’ajouter un chiffrement côté client avant dépôt, d’activer la résidence des données dans l’UE, de restreindre strictement les accès, et — pour un hébergement de données de santé à grande échelle — de vérifier si l’obligation d’hébergeur de données de santé (HDS) s’applique à votre cas.
Un salarié peut-il utiliser son Dropbox personnel pour le travail ?
C’est à proscrire. Un compte personnel ne bénéficie pas du DPA professionnel, échappe à l’administration de l’entreprise et ne garantit ni la résidence des données ni la traçabilité des accès. L’entreprise perd alors tout contrôle sur des données dont elle reste pourtant responsable. La règle saine est de n’autoriser que des comptes Dropbox Business administrés et d’encadrer cet usage dans votre charte informatique.
Quelles sanctions en cas de mauvais usage d’un outil cloud ?
La CNIL peut prononcer des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (Art. 83(5)). Sur les outils cloud, les manquements les plus fréquents concernent l’absence de contrat de sous-traitance, les transferts hors UE non encadrés, les durées de conservation excessives et les fuites par liens de partage mal maîtrisés. Voir notre dossier sur les sanctions RGPD.