Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

WeTransfer et RGPD : guide de conformité 2026

WeTransfer et RGPD : sous-traitance, DPA, transferts, conservation, chiffrement et la polémique CGU de 2025. Le guide pour l'utiliser en conformité.

En juillet 2025, des millions d’utilisateurs ont découvert que les conditions générales de WeTransfer s’étaient enrichies d’une clause leur faisant concéder une licence mondiale pour « utiliser, copier, modifier et créer des œuvres dérivées » de leurs fichiers — y compris pour entraîner des modèles d’apprentissage automatique. L’éditeur a fait marche arrière une semaine plus tard. Mais l’épisode a rappelé une évidence que mes audits confirment : WeTransfer transporte chaque jour des fichiers RH, des contrats et des données clients, sans presque jamais figurer dans un registre de traitement.

Voici un cadre opérationnel pour utiliser WeTransfer sans sortir des clous du RGPD, en distinguant ce que la plateforme sécurise de ce qui reste votre responsabilité.

WeTransfer est votre sous-traitant, pas un simple tuyau

Premier réflexe à corriger : envoyer un fichier via WeTransfer n’est pas un acte technique neutre. Dès lors que ce fichier contient des données personnelles — un CV, un bulletin de paie, une liste de contacts, des photos identifiantes —, vous déterminez la finalité et les moyens de ce transfert. Vous êtes le responsable de traitement au sens de l’article 4(7) du RGPD. WeTransfer, qui héberge et traite temporairement ces données pour votre compte, est votre sous-traitant au sens de l’article 28 du RGPD.

Cette qualification a une conséquence directe : vous devez disposer d’un contrat de sous-traitance conforme à l’article 28(3), et WeTransfer ne peut traiter vos fichiers que sur instructions documentées de votre part (Art. 28(3)(a) et Art. 29). C’est précisément ce point que la polémique de 2025 a mis en lumière.

La leçon de la polémique CGU de 2025

La clause 6.3 introduite à l’été 2025 illustrait un risque juridique concret. Un sous-traitant qui s’octroie le droit d’exploiter vos fichiers pour ses propres finalités — entraîner une IA, améliorer ses services, monétiser des données — cesse d’agir sur vos seules instructions. Il devient alors responsable de traitement pour cette finalité-là, en infraction avec l’article 28(10) du RGPD, et vous met vous-même en porte-à-faux vis-à-vis du principe de limitation des finalités (Art. 5(1)(b)).

WeTransfer a retiré la mention explicite de l’IA après le tollé. Mais la version corrigée autorise toujours l’usage des fichiers pour « l’amélioration du service », sans davantage de précision. Dans mon expérience de conseil, c’est exactement ce type de formulation élastique qu’il faut lire avant de confier des données personnelles à un outil : ce que disent les CGU prime sur les communications de réassurance. Vérifiez la version en vigueur des conditions et de la politique de confidentialité au moment où vous engagez l’outil, et conservez-en une copie datée.

Version gratuite ou Pro : une distinction décisive

La version gratuite de WeTransfer s’utilise sans compte, sur la base d’une simple acceptation des CGU standard. Vous n’y trouverez ni contrat de sous-traitance négocié, ni engagement contractuel adapté à un usage professionnel, ni administration centralisée. Pour un transfert ponctuel de données personnelles dans un cadre professionnel, c’est une zone grise inconfortable.

Les offres payantes (WeTransfer Pro et les offres entreprise) ouvrent l’accès à des documents contractuels, à la protection par mot de passe systématique, à la gestion des accès et à des durées de conservation paramétrables. Pour tout usage professionnel récurrent impliquant des données personnelles, il est recommandé de bannir la version gratuite anonyme au profit d’une offre administrée, et d’encadrer cet usage dans votre charte informatique.

Le DPA : à obtenir et à conserver

L’article 28(3) exige un acte juridique liant le sous-traitant au responsable, précisant l’objet, la durée, la nature et la finalité du traitement, les catégories de données et les obligations de WeTransfer. Avant tout usage professionnel, identifiez le contrat de traitement des données (DPA) applicable à votre offre, vérifiez qu’il couvre les clauses obligatoires de l’article 28(3)(a) à (h) — instructions documentées, confidentialité, sécurité, sous-traitance ultérieure, assistance, sort des données en fin de contrat, audits — et conservez-en une version archivée.

Sans ce document, vous ne pouvez pas démontrer votre conformité en cas de contrôle. Or la responsabilité de vérifier que le sous-traitant présente des garanties suffisantes pèse sur vous (Art. 28(1)), pas sur l’éditeur.

Transferts et localisation : l’angle mort américain

WeTransfer B.V. est une société néerlandaise, soumise au droit européen — un point souvent mis en avant pour rassurer. Mais deux éléments nuancent ce tableau. D’une part, le service s’appuie sur l’infrastructure d’Amazon Web Services (stockage Amazon S3) : même hébergées dans une région européenne, ces données dépendent d’un prestataire dont la maison mère américaine reste soumise au CLOUD Act et à la législation extraterritoriale des États-Unis. D’autre part, depuis son rachat par l’éditeur italien Bending Spoons en 2024, la chaîne de responsabilité et la localisation effective méritent d’être revérifiées.

La bonne pratique consiste à documenter, dans votre registre des activités de traitement, la localisation réelle du stockage et la base juridique du transfert le cas échéant : certification au titre de l’EU-US Data Privacy Framework pour les sous-traitants américains impliqués, ou clauses contractuelles types en repli, conformément aux articles 44 à 49. Notre dossier sur les transferts de données hors UE détaille les mécanismes mobilisables. La logique est la même que pour AWS ou Dropbox : l’établissement européen de l’éditeur ne suffit pas à écarter la question du transfert.

Sécurité : ce que couvre — et ne couvre pas — l’article 32

WeTransfer chiffre les fichiers en transit (TLS) et au repos (AES 256 bits), ce qui répond à une partie des exigences de l’article 32 du RGPD sur la sécurité du traitement. Mais le service ne propose pas de chiffrement de bout en bout : l’éditeur conserve la capacité technique d’accéder aux fichiers stockés. Cette nuance est décisive pour les données sensibles.

Surtout, le modèle même de WeTransfer repose sur un lien de téléchargement. Par défaut, quiconque détient ce lien peut accéder au fichier — il suffit qu’un destinataire transfère le mail ou qu’un lien fuite pour transformer un partage en violation de données. Les mesures à activer systématiquement : protection par mot de passe, transmission du mot de passe par un canal distinct (jamais dans le même message), envoi nominatif plutôt que lien public, et durée d’expiration la plus courte possible.

Données sensibles : la prudence s’impose

Les données relevant de l’article 9 du RGPD — santé, opinions, données biométriques — appellent des garanties renforcées. Compte tenu de l’absence de chiffrement de bout en bout, de la nature « lien public » du service et des incertitudes sur l’usage des fichiers, il est recommandé de ne pas faire transiter de données sensibles par WeTransfer dans sa configuration standard. Pour ces cas, privilégiez une solution avec chiffrement côté client ou un espace de partage sécurisé administré, et — pour des données de santé à grande échelle — vérifiez l’applicabilité de l’obligation d’hébergeur de données de santé (HDS).

Conservation et registre : ne pas oublier les métadonnées

La version gratuite supprime automatiquement les fichiers après 7 jours ; les offres Pro permettent de les conserver jusqu’à un an, voire indéfiniment. Cette suppression automatique sert le principe de limitation de la conservation (Art. 5(1)(e)) — à condition de ne pas le contourner en allongeant systématiquement les durées « par confort ». Définissez une règle : un transfert n’a pas vocation à devenir un espace de stockage.

Attention aussi aux données résiduelles : adresses e-mail des expéditeurs et destinataires, journaux de téléchargement, statistiques d’usage. Ces métadonnées survivent au fichier et doivent figurer dans votre registre, au titre de l’article 30 du RGPD, avec WeTransfer identifié comme outil et comme sous-traitant. C’est tout ce travail — cartographie des sous-traitants, suivi des bases de transfert, tenue des durées de conservation — que des outils comme Legiscope automatisent, là où un suivi manuel sur tableur devient vite ingérable dès qu’une organisation multiplie les services en ligne.

Ce qu’il faut retenir

  • WeTransfer est votre sous-traitant (Art. 28) dès qu’un fichier transféré contient des données personnelles : vous restez responsable de traitement et devez disposer d’un DPA conforme, accepté et archivé.
  • La polémique CGU de 2025 rappelle qu’un sous-traitant ne peut traiter vos fichiers que sur vos instructions (Art. 28(10)) : lisez la version en vigueur des conditions, pas les communiqués de réassurance.
  • Pour un usage professionnel, écartez la version gratuite anonyme au profit d’une offre administrée offrant contrat, mot de passe et durées paramétrables.
  • L’établissement néerlandais de l’éditeur n’écarte pas la question du transfert : l’infrastructure repose sur AWS, soumise au CLOUD Act — documentez localisation et base de transfert (Art. 44 à 49).
  • Le lien de téléchargement est le premier risque de violation : mot de passe par canal séparé, envoi nominatif et expiration courte ; pas de données sensibles (Art. 9) dans la configuration standard.

FAQ

WeTransfer est-il conforme au RGPD ?

WeTransfer, en tant que société néerlandaise, applique le RGPD et fournit des garanties techniques (chiffrement TLS et AES 256, protection par mot de passe). Mais aucun outil n’est « conforme » à lui seul. La conformité dépend de votre configuration : offre administrée plutôt que version gratuite anonyme, DPA en place, absence de données sensibles, paramétrage des liens et du registre. C’est vous, responsable de traitement, qui devez la construire et la documenter.

Peut-on envoyer des données personnelles via WeTransfer gratuit ?

C’est déconseillé dans un cadre professionnel. La version gratuite repose sur les CGU standard, sans contrat de sous-traitance négocié ni administration centralisée. Pour un transfert ponctuel et non sensible, activez au minimum la protection par mot de passe et l’expiration. Pour un usage récurrent, basculez sur une offre Pro ou entreprise disposant des engagements contractuels appropriés.

WeTransfer utilise-t-il mes fichiers pour entraîner une IA ?

Après la polémique de juillet 2025, WeTransfer a retiré la clause autorisant explicitement l’entraînement de modèles d’IA et déclaré ne pas exploiter les fichiers à cette fin. La version corrigée des CGU autorise toutefois encore l’usage des fichiers pour « l’amélioration du service ». Il est recommandé de relire la version en vigueur des conditions et de conserver une copie datée avant tout usage professionnel.

Où sont stockés les fichiers envoyés via WeTransfer ?

WeTransfer s’appuie sur l’infrastructure Amazon Web Services (stockage S3). Même lorsque les données sont hébergées dans une région européenne, le prestataire dépend d’une maison mère américaine soumise au CLOUD Act. Il convient donc de documenter la localisation effective et, le cas échéant, la base juridique du transfert (Data Privacy Framework ou clauses contractuelles types).

Quelles sanctions en cas de mauvais usage d’un outil de transfert ?

La CNIL peut prononcer des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (Art. 83(5)). Sur les outils de partage, les manquements les plus fréquents portent sur l’absence de contrat de sous-traitance, les transferts non encadrés, les durées excessives et les fuites par liens mal maîtrisés. Voir notre dossier sur les sanctions RGPD.