Dropbox a été le premier fournisseur d’un espace de stockage cloud grand public, et reste le plus gros acteur du marché, avec 700 millions d’utilisateurs(nouvelle fenêtre) en 2022. Nous avons analysé la politique de confidentialité de Dropbox pour voir dans quelle mesure l’entreprise protège les données personnelles de ces millions de personnes.
Il s’avère qu’il y a de graves problèmes. Non seulement Dropbox collecte de nombreuses informations sur vous, mais elle peut également les partager avec qui elle veut, y compris des partenaires commerciaux et les autorités. Être client de Dropbox signifie donner à l’entreprise un contrôle important sur vos données.
Cet article détaille la politique de confidentialité de Dropbox et explique en quoi notre alternative privée à Dropbox, Proton Drive, diffère sur des points fondamentaux.
Analyse du respect de la vie privée chez Dropbox
La politique de confidentialité de Dropbox(nouvelle fenêtre) est divisée en deux sections : la première décrit les données collectées par le service et la suivante énumère toutes les entités avec lesquelles Dropbox pourrait partager vos données. À son crédit, Dropbox expose tous ces termes clairement d’une manière compréhensible par tous. Il existe également une page de FAQ(nouvelle fenêtre) qui approfondit certains sujets.
Quelles sont les données collectées par Dropbox ?
La première chose que vous remarquerez dans la politique de confidentialité est la quantité d’informations collectées par Dropbox. Outre votre adresse e-mail — un élément central de votre identité en ligne — Dropbox collecte également votre nom, votre numéro de téléphone, votre adresse physique et vos informations de paiement.
Dropbox collecte et stocke également des données associées aux fichiers que vous importez, désignés par le terme « Votre contenu ». Cela inclut la taille du fichier, le moment et l’endroit d’où il a été importé, avec qui il a été partagé — Dropbox collecte également des données sur votre liste de contacts — ainsi que toute activité au sein des fichiers.
En fait, l’activité des fichiers fait l’objet d’une sous-section dédiée dans la politique de confidentialité, et la raison en est claire. Dropbox semble conserver une trace de pratiquement tout ce que vous pourriez faire avec un fichier. Création, modification, partage, etc. — tout est consigné dans un journal pour l’usage de Dropbox.
Enfin, Dropbox recueille également de nombreuses informations sur les appareils que vous utilisez pour accéder au service, ainsi que votre adresse IP(nouvelle fenêtre), un identifiant unique qui peut aider à déterminer votre emplacement physique. Bien que cela puisse avoir un but légitime, comme le dépannage, il semble curieux que Dropbox collecte cela de manière préventive.
Il y en a d’autres, mais ce sont les principaux points de données que Dropbox semble recueillir sur ses clients. Que fait l’entreprise de ce trésor d’informations ?
Que fait Dropbox de toutes ces données ?
Dropbox déclare ne pas vendre vos données à des annonceurs ou à des tiers.
Toutefois, cela ne signifie pas qu’elle ne les partage pas.
Ce qui est le plus surprenant, c’est le nombre et les types de tiers destinataires de vos données. Ils incluent des entreprises ayant des antécédents extrêmement médiocres en matière de respect de la vie privée, notamment Google, Amazon et OpenAI.
Certains d’entre eux sont logiques dans le contexte fourni par Dropbox, comme le portail de support ZenDesk, le prestataire de paiement Stripe ou même Amazon Web Services, qui héberge probablement les serveurs de Dropbox. Cependant, il y en a d’autres qui devraient faire réfléchir n’importe qui, comme Google, une entreprise dont le modèle économique repose sur la vente de données.
Parmi les autres entreprises moins connues, citons Kissmetrics, qui analyse les données pour les annonceurs, et OpenAI, la société qui a développé ChatGPT, connue pour ses négligences en matière de respect de la vie privée des utilisateurs.
Et ce n’est pas tout. En tant qu’entreprise dont le siège social est situé aux États-Unis, Dropbox doit se conformer aux mandats de perquisition américains et à d’autres ordonnances, qui peuvent être secrets(nouvelle fenêtre) et sont souvent faciles à obtenir(nouvelle fenêtre). Cela signifie que vos données pourraient être saisies sous des prétextes même futiles. En conséquence, Dropbox reçoit de nombreuses demandes de la part des forces de l’ordre(nouvelle fenêtre).
Cependant, la situation s’aggrave : Dropbox indique également explicitement qu’elle est tout à fait disposée à partager des données avec les autorités selon son propre jugement. Alors que tous les services cloud sont contraints de coopérer avec les forces de l’ordre lorsqu’un mandat est signifié, Dropbox indique très clairement qu’elle fournira des informations de son plein gré. Il n’est pas étonnant qu’Edward Snowden l’ait qualifiée de « partenaire potentiel de PRISM(nouvelle fenêtre) ».
Ce que cela signifie pour les consommateurs
Dropbox ne se présente pas comme un service axé sur le respect de la vie privée, mais même en gardant cela à l’esprit, la quantité de données collectées et les entités avec lesquelles elles sont partagées sont choquantes. L’entreprise sait pratiquement tout ce qu’il est possible de savoir sur vous et est ravie de le partager avec des marketeurs — les siens, ainsi que des tiers.
Pire encore, elle indique clairement qu’elle partagera des données avec la police dans « l’intérêt public », un terme si vague qu’il peut être utilisé pour justifier n’importe quelle situation. Tout ce que nous savons avec certitude, c’est que le respect de la vie privée n’est pas une question d’intérêt public selon Dropbox.
Ce qui aggrave les choses, c’est que pour récolter toutes ces données, elle a rendu ses utilisateurs moins sûrs. Pour voir ce que font les utilisateurs sur votre plateforme, vous devez être en mesure de déchiffrer leurs fichiers. En d’autres termes, Dropbox n’utilise pas le chiffrement de bout en bout, la forme la plus sûre de protection des données. Ce faible intérêt pour la sécurité a entraîné une longue série de problèmes de sécurité chez Dropbox.
Même si vous acceptez que Dropbox connaisse vos données privées (et pourquoi le seriez-vous ?), le fait que cette pratique les rende également dangereuses devrait vous faire réfléchir.
Une alternative privée à Dropbox
Nous avons développé Proton Drive pour offrir à notre communauté un service de stockage cloud sécurisé qui prend votre respect de la vie privée au sérieux. Contrairement à Dropbox, votre confidentialité n’est pas quelque chose que nous pouvons supprimer sur un coup de tête — elle est incluse par défaut.
Par exemple, nous collectons peu de données sur nos clients. Nous avons votre adresse e-mail, vos informations de paiement si vous changez d’abonnement, et c’est à peu près tout. (Vous pouvez voir comment nous réduisons la collecte de données dans notre politique de confidentialité.) Nous n’avons tout simplement aucun intérêt à détenir ces données car notre modèle économique est basé sur l’offre de services privés et sécurisés à nos clients. Nous sommes entièrement financés par notre communauté et n’avons donc pas besoin de vendre des données à des annonceurs.
Nous sommes également moins exposés aux injonctions des forces de l’ordre puisque nous sommes basés en Suisse et sommes donc soumis aux lois suisses sur le respect de la vie privée, qui sont parmi les plus strictes au monde.
Même si nous voulions accéder à vos données ou les partager, nous ne le pourrions pas. Proton utilise le chiffrement de bout en bout sur toutes ses applications. Cela signifie que vos fichiers sont chiffrés sur votre appareil avant d’être importés sur nos serveurs. Cela protège votre vie privée, mais permet également qu’en cas de fuites de données, les pirates n’aient pas grand-chose à voler.
Tout cela fait partie de notre mission de créer un meilleur internet. Si cela, ainsi qu’une alternative de stockage cloud privée et plus sécurisée, vous intéresse, créez un compte Proton Drive gratuit et rejoignez-nous.
