WeTransfer s’est imposé comme un outil rapide et facile pour envoyer des fichiers volumineux. Mais derrière cette simplicité d’usage se cachent de véritables risques juridiques et stratégiques, notamment en matière de Règlement général sur la protection des données (RGPD) et de souveraineté numérique.
Pour les entreprises et institutions françaises, le recours à cet outil peut être en contradiction avec leurs valeurs et obligations réglementaires. Et avec leurs secteurs d’activité !
WeTransfer est un service en ligne de transfert de fichiers à l’origine conçu pour les créatifs. Et encore aujourd’hui, l’outil reste fermement ancré dans ce positionnement. Son site, ses campagnes, son esthétique. Tout illustre cette orientation.
Et c’est aussi peut être pour ça qu’une impasse est faite sur le volet sécurité.
Un service pratique, certes, mais non souverain
Créé en 2009 aux Pays-Bas, WeTransfer permet d’envoyer facilement et rapidement des fichiers volumineux à une ou plusieurs personnes. Un de ses avantages phares ? Il ne nécessite pas de création de compte dans sa version gratuite.
En ce sens, il propose deux versions :
• Gratuit : envoi de fichiers jusqu’à 2 Go, expiration automatique, sans traçabilité.
• WeTransfer Pro / Premium : personnalisation des transferts, stockage, expiration paramétrable, lien protégé par mot de passe, envoi jusqu’à 200 Go.
Bien que WeTransfer soit une entreprise néerlandaise, elle utilise des services de cloud computing fournis par des entreprises américaines. Cela signifie que, même si les données sont hébergées dans l’Union européenne, elles peuvent être soumises à des lois américaines. C’est le cas du Cloud Act. Cette loi rend possible aux autorités américaines d’accéder aux données stockées par des entreprises américaines. Et ce, même si ces données sont situées à l’étranger !
Selon le document “WeTransfer Sub-processors” mis à jour en avril 2025, WeTransfer s’appuie sur plusieurs sous-traitants, notamment :
• Amazon Web Services (AWS) – Localisation : UE/États-Unis – Service : Infrastructure cloud
• Google Cloud – Localisation : États-Unis – Service : Analyse de données
• Stripe – Localisation : États-Unis – Service : Traitement des paiements
• SendGrid – Localisation : États-Unis – Service : Envoi d’e-mails transactionnels
• CrowdStrike LogScale – Localisation : États-Unis – Service : Solution SIEM
• Slack – Localisation : États-Unis – Service : Intégration avec Zendesk pour la gestion des tickets
…
Ces outils soulèvent donc des préoccupations en matière de souveraineté numérique et de conformité au RGPD.
De plus, le RGPD impose généralement aux organisations de signer un contrat de sous-traitance (DPA) avec tout prestataire traitant des données personnelles pour leur compte.
Or, dans le cas de WeTransfer :
• Aucun DPA n’est fourni automatiquement lors de l’utilisation gratuite
• Il est difficilement accessible même en version payante (et uniquement sur demande spécifique)
Un manque de contrôle sur les données partagées
En entreprise, le partage de fichiers lourds peut être une difficulté récurrente. Dans le cas d’un envoi ponctuel, la plupart des salariés se tournent vers la version gratuite de WeTransfer. Rapide, simple, efficace. Ça fait le travail. En quelques minutes, le fichier est envoyé sous forme de mail ou de lien.
Or, en version gratuite, WeTransfer ne propose :
• ni chiffrement de bout en bout,
• ni authentification forte du destinataire,
• ni journal d’activité pour suivre qui accède ou télécharge quoi.
Ainsi, une fuite ou un mauvais destinataire est non seulement possible, mais impossible à tracer ou à justifier en cas de contrôle CNIL ou d’incident de sécurité.
C’est sans compter la soumission de l’entreprise au shadow IT ! Vos données, parfois sensibles, sont ainsi envoyées sans validation ni supervision à travers des liens consultables par n’importe qui…
Cette situation ne fragilise pas seulement votre politique de sécurité, mais aussi votre réputation et rigueur aux yeux de vos clients ou partenaires.
Un manque de contrôle sur les données partagées
Imaginons qu’un responsable RH transfère via WeTransfer un dossier contenant des données confidentielles (contrats, bulletins de paie…). Il se trompe de destinataire ou le lien est partagé à un tiers non autorisé.
Résultat : impossible de révoquer le lien, de tracer l’accès, et encore moins de prouver les mesures de sécurité prises.
Conséquence immédiate : signalement obligatoire à la CNIL dans les 72h (article 33 du RGPD).
Et dans le pire des cas ? Une fuite publique qui endommage durablement l’image de votre structure (cas médiatisé, remise en cause de la confiance, couverture presse).
🔎 Piqûre de rappel. Le RGPD prévoit des sanctions jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros, selon la gravité des manquements.
Bref, un lien WeTransfer peut vous coûter bien plus qu’un simple abonnement à une solution sécurisée…
Une alternative : la solution souveraine, conforme et sécurisée
L’envoi instantané de fichiers est devenu indispensable à l’efficacité d’une organisation. La cybersécurité, elle, est la préoccupation principale à la protection de vos données.
Alors que WeTransfer, est devenue populaire par sa simplicité, NetExplorer est une solution française qui se positionne comme un expert souverain du partage de fichiers via une plateforme sécurisée spécifiquement conçue pour les organisations attentives à la protection de leurs données.
Conforme RGPD, NIS 2, DORA, certifié ISO 27001, ISO 9001 et HDS (Hébergeurs de Données de Santé), nous faisons de la sécurité des données notre priorité. Nous sommes également en cours de qualification SecNumCloud. En tant qu’éditeur et hébergeur souverain, NetExplorer continuera à porter cet engagement de transparence.
→ Pour aller plus loin et vous sensibiliser aux risques liés à l’utilisation de WeTransfer, nous vous invitons à télécharger nos webinaire et ebook complets sur le sujet.
