Dropbox a été le premier fournisseur de stockage cloud grand public et reste le plus grand acteur du marché, avec 700 millions d’utilisateurs(new window) (page en anglais) en 2022. Nous avons plongé dans la politique de confidentialité de Dropbox pour voir comment l’entreprise protège les données personnelles de ces millions de personnes.
Il s’avère qu’il y a des problèmes sérieux. La société Dropbox ne se contente pas de collecter beaucoup d’informations sur vous, elle peut aussi les partager avec qui elle veut, y compris des partenaires commerciaux et les forces de l’ordre. Être client de Dropbox signifie donner à l’entreprise un grand pouvoir de contrôle sur vos données.
Cet article décortique la politique de confidentialité de Dropbox et explique en quoi notre alternative privée à Dropbox, Proton Drive, diffère de manière fondamentale.
Examen de la confidentialité chez Dropbox
La politique de confidentialité de Dropbox(new window) est effectivement divisée en deux parties : la première décrit les données que le service collecte et la seconde liste toutes les entités avec lesquelles Dropbox peut partager vos données. À son crédit, Dropbox présente tous ces termes clairement de manière à ce que tout le monde puisse comprendre. Il y a aussi une page de questions fréquentes(new window) qui approfondit certains sujets.
Quelles sont les données collectées par Dropbox ?
La première chose que l’on remarque dans la politique de confidentialité est la quantité d’informations que Dropbox collecte. Outre votre adresse e-mail, une partie essentielle de votre identité en ligne, Dropbox collecte également votre nom, numéro de téléphone, adresse physique et vos informations de paiement.
Dropbox collecte et stocke également des données associées aux fichiers que vous importez, vos « Données », (ci-dessous « Your Stuff »). Cela inclut la taille du fichier, quand et d’où il a été importé, avec qui il a été partagé (Dropbox collecte aussi des données sur votre liste de contacts) et toute activité dans les fichiers.
En fait, l’activité des fichiers a sa propre sous-section dans la politique de confidentialité et cela se comprend. Dropbox semble conserver un enregistrement de pratiquement tout ce que vous pourriez faire avec un fichier. Création, modification, partage, etc. tout est consigné quelque part pour l’utilisation de Dropbox.
Enfin, Dropbox collecte également de nombreuses informations sur les appareils que vous utilisez pour accéder au service, ainsi que votre adresse IP(new window), un identifiant unique qui peut aider à déterminer votre emplacement physique. Bien que cela puisse avoir un but légitime, comme le dépannage, il semble étrange que Dropbox collecte ces informations de manière préventive.
Il y a bien d’autres choses, mais il s’agit là des principales données que Dropbox semble recueillir sur ses clients. Que fait l’entreprise avec ce trésor d’informations cependant ?
Que fait Dropbox avec toutes ces données ?
Dropbox déclare qu’elle ne vend pas vos données aux entreprises qui font de la publicité ou à des tiers.
Cependant, cela ne signifie pas qu’elle ne les partage pas.
Ce qui est le plus surprenant, c’est le nombre et les types de tiers qui reçoivent vos données. Ils incluent des entreprises ayant des antécédents particulièrement mauvais en matière de confidentialité, y compris Google, Amazon et OpenAI.
Certains de ces partenariats sont logiques dans le contexte fourni par Dropbox, comme le portail de support ZenDesk, le prestataire de paiement Stripe ou même Amazon Web Services, qui héberge probablement les serveurs de Dropbox. Cependant, il y en a aussi certains qui devraient inciter à la réflexion, comme Google, une entreprise dont le modèle commercial est la vente de données.
D’autres entreprises moins connues incluent Kissmetrics, qui analyse les données pour les entreprises qui font de la publicité, et OpenAI, la société qui a développé ChatGPT, connue pour prendre des raccourcis en matière de confidentialité des utilisateurs.
Et ce n’est pas tout. En tant qu’entreprise basée aux États-Unis, Dropbox doit se conformer aux mandats de perquisition américains et autres ordonnances, qui peuvent être secrets(new window) et sont souvent faciles à obtenir(new window) (pages en anglais). Cela signifie que vos données pourraient être saisies sur des prétextes même légers. En conséquence, Dropbox reçoit beaucoup de demandes de la part des forces de l’ordre(new window).
Mais il y a pire : la société Dropbox indique explicitement qu’elle est plus qu’heureuse de partager des données avec les autorités selon son propre jugement. Là où tous les services cloud sont contraints de coopérer avec les forces de l’ordre lorsqu’un mandat est présenté, Dropbox précise très clairement qu’elle fournira volontairement des informations. Pas étonnant qu’Edward Snowden l’ait qualifiée de « partenaire » dans le cadre de l’opération Prism(new window).
Qu’est-ce que cela signifie pour les consommateurs ?
Dropbox ne se présente pas comme un service axé sur la confidentialité, mais même en tenant compte de cela, il est choquant de voir la quantité de données que la société collecte et avec qui elle les partage. Elle sait pratiquement tout ce qu’il est possible de savoir sur vous et est plus qu’heureuse de partager ces informations avec les marketeurs, les siens ainsi que ceux de tiers.
Pire encore, elle précise également qu’elle partagera les données avec la police dans « l’intérêt public », une expression si vague qu’elle peut être utilisée pour justifier n’importe quelle situation. Tout ce que nous savons avec certitude, c’est que la confidentialité n’est pas une question d’intérêt public selon Dropbox.
Plus grave encore, afin de récolter toutes ces données, l’entreprise a affaibli la sécurité de ses utilisateurs. Pour voir ce que les utilisateurs font sur votre plateforme, vous devez pouvoir déchiffrer leurs fichiers. En d’autres termes, Dropbox n’utilise pas le chiffrement de bout en bout, la forme de protection des données la plus sécurisée. Cette faible priorité accordée à la sécurité a conduit à une longue série d’incidents de sécurité chez Dropbox.
Même si vous acceptez que Dropbox puisse avoir accès à vos données privées (mais pourquoi l’accepter ?), le fait que cette pratique les rende également non sécurisées devrait vous faire réfléchir.
Une alternative privée à Dropbox
Nous avons développé Proton Drive pour offrir à notre communauté un service de stockage cloud sécurisé qui prend au sérieux votre vie privée. Contrairement à Dropbox, nous ne pouvons pas supprimer la protection de votre vie privée sur un coup de tête : elle est intégrée par défaut.
Par exemple, nous ne collectons pas beaucoup de données sur nos clients. Nous avons votre e-mail, vos informations de paiement si vous passez à un abonnement payant et c’est à peu près tout (vous pouvez voir comment nous minimisons la collecte de données dans notre politique de confidentialité). Nous n’avons tout simplement aucun intérêt à détenir ces données, car notre business model est basé sur l’offre de services privés et sécurisés à nos clients. Nous sommes entièrement financés par notre communauté et n’avons donc pas besoin de vendre des données aux entreprises qui font de la publicité.
Nous sommes également moins exposés aux injonctions des forces de l’ordre puisque nous sommes basés en Suisse et sommes donc soumis aux lois suisses sur la protection de la vie privée, parmi les plus strictes au monde.
Même si nous le voulions, nous ne pouvons ni accéder à vos données ni les partager. Proton utilise le chiffrement de bout en bout sur toutes ses applications. Cela signifie que vos fichiers sont chiffrés sur votre appareil avant d’être importés sur nos serveurs. Cela protège votre vie privée, mais cela signifie également qu’il n’y a pas grand-chose à voler pour les pirates en cas de violation.
Tout cela fait partie de notre mission de créer un meilleur internet. Si cela, ainsi qu’une alternative de stockage cloud plus sécurisée et privée, vous semble être quelque chose auquel vous voudriez participer, créez un compte gratuit Proton Drive et rejoignez-nous.
