Google Drive, Microsoft 365, Dropbox, WeTransfer…
Ces outils font partie du quotidien de presque toutes les entreprises.
On les utilise pour rédiger, stocker, partager, collaborer.
Pourtant, très peu de structures savent vraiment où leurs fichiers sont hébergés, qui peut y accéder, et ce que dit leur contrat vis-à-vis du RGPD.
Cet article fait le tour des principales solutions du marché, en ajoutant deux outils souvent ignorés : Infomaniak et Proton, les alternatives suisses qui ont tout pour plaire aux entreprises soucieuses de leur souveraineté numérique.
Ce qu’il faut comprendre avant de comparer
Quand vous stockez un document dans le cloud ou envoyez un fichier via un service de transfert, vous confiez potentiellement des données personnelles (coordonnées clients, fichiers RH, documents contractuels) à un prestataire externe. Celui-ci devient votre sous-traitant de données au sens du RGPD. Trois questions s’imposent alors :
Où sont mes données physiquement ? Un outil dont les serveurs sont aux États-Unis expose vos données au Cloud Act américain, qui permet aux autorités américaines de réclamer l’accès à ces données même sans votre consentement, même pour des citoyens européens.
Ai-je signé un DPA ? Sans ce contrat de traitement des données, vous n’êtes pas en règle avec le RGPD, même si l’outil affiche un beau badge « conforme au RGPD ».
Mon fournisseur peut-il lire mes données ? La réponse varie énormément selon les outils : certains ont un accès technique total à vos fichiers, d’autres (comme Proton) ne peuvent techniquement pas y accéder grâce au chiffrement de bout en bout.
🟢 Les solutions souveraines : Suisse ou hors Cloud Act
Ces outils sont développés et hébergés en Europe, hors de portée du droit américain.
Infomaniak kSuite (kDrive, Mail, kMeet, kChat) ⭐ Outil que je peux utiliser dans mes prestations
Ce que c’est : Infomaniak est un hébergeur suisse indépendant fondé en 1994, dont le capital est détenu par ses propres employés. Sa suite collaborative kSuite regroupe tout ce dont une entreprise a besoin au quotidien : stockage de fichiers (kDrive), messagerie email, visioconférence (kMeet), chat d’équipe (kChat), calendrier, contacts, et éditeur de documents compatible Microsoft Office. C’est l’alternative la plus aboutie aux suites américaines pour les entreprises qui veulent rester en Europe.
| Critère | Détail |
|---|---|
| Siège social | 🇨🇭 Suisse (Genève) |
| Hébergement des données | 🇨🇭 Suisse — Deux datacenters propres en Suisse, énergie 100% renouvelable |
| RGPD | ✅ Natif — Conforme RGPD et loi suisse LPD (plus stricte que le RGPD) |
| DPA disponible | ✅ Oui |
| Plan requis pour hébergement EU | Tous les plans (Suisse par défaut, dès la version gratuite) |
| Données de santé (HDS) | ⚠️ Non certifié HDS France — Mais loi suisse très protectrice |
| Soumis au Cloud Act | ❌ Non — Entreprise suisse, hors juridiction US |
| API | ✅ Oui |
| Automatisation Make | ✅ Oui via API |
| Automatisation Zapier | ✅ Oui via API |
| Automatisation n8n | ✅ Oui via API |
Mon avis : Infomaniak est la solution que je recommande en priorité pour les entreprises qui veulent sortir de l’écosystème Google ou Microsoft sans compromis sur la souveraineté. Infomaniak développe et héberge ses services exclusivement en Suisse, et garantit à ses clients un respect total de leur vie privée — leur modèle économique est de protéger les données, pas de les vendre. Le point fort supplémentaire : Infomaniak ne dépend d’aucun investisseur extérieur ni d’AWS ou Google Cloud — c’est leur propre infrastructure. Pour les entreprises du secteur associatif, de la santé (hors données HDS strictes) ou du juridique, c’est une valeur sûre.
Proton (Mail, Drive, Calendar, Docs)
Ce que c’est : Proton est une suite d’outils née au CERN de Genève en 2014, avec un positionnement radical : tout est chiffré de bout en bout, y compris pour Proton lui-même. Cela signifie que personne — pas même Proton — ne peut lire vos emails, vos fichiers ou vos documents. La suite comprend Proton Mail, Proton Drive, Proton Calendar, Proton Docs et Proton VPN.
| Critère | Détail |
|---|---|
| Siège social | 🇨🇭 Suisse (Genève) |
| Hébergement des données | 🇨🇭 Suisse |
| RGPD | ✅ Natif — Chiffrement zéro accès, loi suisse LPD |
| DPA disponible | ✅ Oui (plans Business) |
| Plan requis pour hébergement EU | Tous les plans (y compris gratuit) |
| Données de santé (HDS) | ⚠️ Non certifié HDS France — Architecture « zéro accès » très protectrice |
| Soumis au Cloud Act | ❌ Non |
| API | ⚠️ Limitée — Intégrations tierces volontairement restreintes par design |
| Automatisation Make | ❌ Non |
| Automatisation Zapier | ❌ Non |
| Automatisation n8n | ❌ Non |
À retenir : Proton est la solution la plus sécurisée de cette liste, sans exception. Proton Mail n’a pas accès au contenu des emails sur ses serveurs grâce au chiffrement zéro accès — cela limite votre vulnérabilité et votre responsabilité en cas de fuite de données. La contrepartie directe de ce niveau de sécurité : les automatisations sont très limitées, car une application tierce ne peut pas accéder à des données que même Proton ne peut pas lire. C’est la solution idéale pour les échanges très confidentiels (cabinets d’avocats, directions générales, médecins), mais moins adaptée aux workflows automatisés.
SwissTransfer — Transfert de fichiers
Ce que c’est : SwissTransfer est le service de transfert de fichiers gratuit d’Infomaniak. Il permet d’envoyer des fichiers volumineux (jusqu’à 50 Go) sans inscription, avec un chiffrement côté client et une durée de rétention paramétrable. C’est l’alternative directe et souveraine à WeTransfer.
| Critère | Détail |
|---|---|
| Siège social | 🇨🇭 Suisse (Infomaniak) |
| Hébergement des données | 🇨🇭 Suisse |
| RGPD | ✅ Natif — Aucune publicité, aucune revente de données |
| DPA disponible | ✅ Via Infomaniak |
| Plan requis pour hébergement EU | Gratuit — Aucun plan requis |
| Données de santé (HDS) | ⚠️ Non certifié HDS France |
| Soumis au Cloud Act | ❌ Non |
| API | ✅ Oui |
| Automatisation Make | ✅ Via API |
| Automatisation Zapier | ✅ Via API |
| Automatisation n8n | ✅ Via API |
Mon avis : Pour tout envoi de fichiers professionnels contenant des données personnelles, SwissTransfer est la référence gratuite et souveraine. Aucune inscription nécessaire, aucune publicité, données hébergées en Suisse. À recommander systématiquement en remplacement de WeTransfer (voir ci-dessous pourquoi).
🟡 Les géants américains : puissants, mais avec des nuances importantes
Ces outils sont incontournables en termes de fonctionnalités, mais leur entité juridique reste américaine.
Microsoft 365 (Word, Excel, Teams, OneDrive, SharePoint) ⭐ Outil que je peux utiliser dans mes prestations
Ce que c’est : Microsoft 365 est la suite bureautique de référence en entreprise. Elle regroupe les applications Office classiques (Word, Excel, PowerPoint), la messagerie Outlook, la visioconférence et collaboration Teams, et le stockage OneDrive/SharePoint. C’est l’outil le plus utilisé dans les organisations françaises, notamment dans le secteur public et les grandes entreprises.
| Critère | Détail |
|---|---|
| Siège social | 🇺🇸 États-Unis (Microsoft Corporation) |
| Hébergement des données | 🇫🇷 France / 🇪🇺 Europe — Datacenters à Paris et Marseille pour les clients français |
| RGPD | ✅ DPA inclus — EU Data Boundary finalisée en février 2025 |
| DPA disponible | ✅ Oui (inclus dans les conditions d’utilisation) |
| Plan requis pour hébergement EU | Tous les plans (les clients EU/AELE sont dans l’EU Data Boundary par défaut) |
| Données de santé (HDS) | ✅ Certifié HDS France — Applicable à Microsoft 365 Core depuis les datacenters France/EU |
| Soumis au Cloud Act | ⚠️ Oui — Entité américaine, même avec EU Data Boundary |
| API | ✅ Graph API — Excellente |
| Automatisation Make | ✅ Natif |
| Automatisation Zapier | ✅ Natif |
| Automatisation n8n | ✅ Natif |
À retenir : Microsoft est probablement le fournisseur américain qui a fait le plus d’efforts concrets pour l’Europe. Avec effet au 26 février 2025, Microsoft a finalisé l’EU Data Boundary, offrant une meilleure résidence des données et une meilleure transparence aux clients européens — les données des clients EU/AELE restent dans les régions européennes par défaut. Et point très important pour les entreprises françaises : Microsoft 365 dispose de la certification HDS, applicable aux services en ligne Microsoft 365 Core approvisionnés depuis la France et les zones géographiques de l’Union européenne. C’est le seul des géants américains à proposer cette certification. Le bémol reste que l’entité reste américaine, donc théoriquement soumise au Cloud Act.
Google Workspace (Gmail, Drive, Docs, Meet, Calendar) ⭐ Outil que j’utilise dans mes prestations
Ce que c’est : Google Workspace est la suite collaborative de Google. Elle regroupe Gmail, Google Drive, Docs/Sheets/Slides, Google Meet, Google Calendar et bien d’autres outils. Sa force : une intégration fluide entre tous les outils, une interface intuitive, et un écosystème d’automatisation extrêmement riche.
| Critère | Détail |
|---|---|
| Siège social | 🇺🇸 États-Unis (Google LLC) |
| Hébergement des données | 🌐 Mondial par défaut — 🇪🇺 Europe disponible sur Business Standard+ |
| RGPD | ✅ DPA inclus dans les CGU (plans payants) — ⚠️ Plan gratuit : pas de DPA formel |
| DPA disponible | ✅ Oui (plans Workspace payants) |
| Plan requis pour hébergement EU | Business Standard minimum (~5,75 €/utilisateur/mois) |
| Données de santé (HDS) | ❌ Non certifié HDS France |
| Soumis au Cloud Act | ⚠️ Oui — Entité américaine |
| API | ✅ Excellente (une des meilleures du marché) |
| Automatisation Make | ✅ Natif — Très complet |
| Automatisation Zapier | ✅ Natif — Très complet |
| Automatisation n8n | ✅ Natif — Très complet |
À retenir : Google Workspace est l’outil le plus puissant pour les automatisations et les intégrations tierces. Mais la distinction entre la version gratuite et les versions payantes est cruciale : opter pour le stockage des données en Europe en choisissant Business Standard ou supérieur est un levier stratégique majeur pour simplifier certains des aspects les plus ardus de la conformité RGPD. Sur un compte @gmail.com gratuit, il n’y a pas de DPA formel, pas de garantie d’hébergement localisé, et Google peut utiliser vos interactions pour améliorer ses modèles — à éviter pour un usage professionnel. Point d’attention : Google Workspace n’a pas de certification HDS, ce qui l’exclut du secteur médical en France.
Dropbox (Stockage et partage de fichiers) ⭐ Outil que j’utilise dans mes prestations
Ce que c’est : Dropbox est l’un des pionniers du stockage cloud. Il permet de synchroniser, partager et collaborer sur des fichiers depuis n’importe quel appareil. Bien connu des équipes créatives et des PME, il reste très utilisé pour le partage de fichiers entre collaborateurs et avec des clients.
| Critère | Détail |
|---|---|
| Siège social | 🇺🇸 États-Unis (San Francisco) |
| Hébergement des données | 🇺🇸 États-Unis par défaut — 🇩🇪 Allemagne (Frankfurt) sur plans Enterprise |
| RGPD | ✅ DPA disponible sur les plans Business — SOC 2, ISO 27001, Code de conduite EU Cloud |
| DPA disponible | ✅ Oui (plans Business et supérieurs) — ❌ Non sur les plans gratuits/perso |
| Plan requis pour hébergement EU | Plan Enterprise uniquement |
| Données de santé (HDS) | ❌ Non certifié HDS France |
| Soumis au Cloud Act | ⚠️ Oui — Entité américaine |
| API | ✅ Oui |
| Automatisation Make | ✅ Natif |
| Automatisation Zapier | ✅ Natif |
| Automatisation n8n | ✅ Natif |
À retenir : Dropbox ne peut pas garantir que les données sont hébergées dans l’EU — il peut garantir la conformité RGPD même si les données sont aux USA. Les plans Enterprise offrent des datacenters EU (Frankfurt), mais pas un hébergement EU exclusif pour tous les tiers. Sur les plans gratuits ou personnels, Dropbox agit comme contrôleur des données — c’est-à-dire que vous perdez le statut de responsable de traitement, ce qui complique la mise en conformité RGPD. Pour un usage professionnel, le plan Business avec DPA signé est le minimum requis.
WeTransfer ⚠️ À utiliser avec précaution
Ce que c’est : WeTransfer est le service de transfert de fichiers le plus connu au monde. Simple et rapide, il permet d’envoyer des fichiers jusqu’à 2 Go gratuitement (ou 200 Go sur le plan Pro). Il est utilisé partout par défaut, souvent sans en connaître les implications.
| Critère | Détail |
|---|---|
| Siège social | 🇳🇱 Pays-Bas |
| Hébergement des données | ⚠️ Mixte — AWS EU + Google Cloud USA + autres sous-traitants US |
| RGPD | ⚠️ Conformité partielle — DPA disponible sur comptes professionnels uniquement |
| DPA disponible | ✅ Oui, mais uniquement pour les professionnels avec un compte |
| Plan requis pour hébergement EU | ❌ Aucune garantie d’hébergement EU exclusif |
| Données de santé (HDS) | ❌ Non |
| Soumis au Cloud Act | ⚠️ Partiellement — Sous-traitants américains (Google Cloud, AWS US) |
| API | ✅ Oui |
| Automatisation Make | ✅ Via intégrations |
| Automatisation Zapier | ✅ Oui |
| Automatisation n8n | ✅ Via API |
⚠️ Attention — Incident de juillet 2025 : En juillet 2025, WeTransfer a modifié ses CGU pour s’accorder une licence mondiale sur tous les fichiers hébergés, y compris pour entraîner ses modèles d’IA — sans opt-in clair ni notification spécifique. Face au tollé, WeTransfer a fait machine arrière le 15 juillet. Cet épisode souligne un risque structurel : WeTransfer reste une entreprise dont le modèle économique peut évoluer, avec des sous-traitants américains. Pour des fichiers professionnels contenant des données personnelles, WeTransfer s’appuie notamment sur Google Cloud (USA) pour l’analyse de données, ce qui soulève des préoccupations en matière de souveraineté numérique. Recommandation : remplacez-le par SwissTransfer (gratuit, Suisse, zéro donnée personnelle collectée).
Tableau comparatif récapitulatif
| Outil | Siège | Hébergement | RGPD | DPA | Plan EU | Données santé | Cloud Act | API | Make | Zapier | n8n |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Infomaniak kSuite | 🇨🇭 CH | 🇨🇭 Suisse | ✅ Natif | ✅ | Tous | ⚠️ | ❌ | ✅ | ✅ | ✅ | ✅ |
| Proton | 🇨🇭 CH | 🇨🇭 Suisse | ✅ Natif E2E | ✅ | Tous | ⚠️ | ❌ | ⚠️ | ❌ | ❌ | ❌ |
| SwissTransfer | 🇨🇭 CH | 🇨🇭 Suisse | ✅ Natif | ✅ | Tous | ⚠️ | ❌ | ✅ | ✅ | ✅ | ✅ |
| Microsoft 365 | 🇺🇸 US | 🇫🇷/🇪🇺 EU (tous plans) | ✅ EU Data Boundary | ✅ | Tous (EU/AELE) | ✅ HDS | ⚠️ | ✅ | ✅ | ✅ | ✅ |
| Google Workspace | 🇺🇸 US | 🇪🇺 EU (Business Std+) | ✅ DPA (payant) | ✅ | Business Std+ | ❌ | ⚠️ | ✅ | ✅ | ✅ | ✅ |
| Dropbox | 🇺🇸 US | 🇺🇸 USA (🇩🇪 EU sur Enterprise) | ✅ DPA (Business+) | ✅ | Enterprise | ❌ | ⚠️ | ✅ | ✅ | ✅ | ✅ |
| WeTransfer | 🇳🇱 NL | ⚠️ Mixte EU/USA | ⚠️ Partiel | ✅ Pro | ❌ | ❌ | ⚠️ | ✅ | ✅ | ✅ | ✅ |
Les IA intégrées : un risque souvent oublié
Tous ces outils proposent désormais des fonctionnalités IA. Et c’est là que beaucoup d’entreprises baissent la garde sans le savoir.
Microsoft Copilot : Vos données restent dans le périmètre Microsoft. Microsoft a introduit l’EU Data Boundary pour s’assurer que toutes les données personnelles des utilisateurs européens restent stockées exclusivement sur le territoire européen. C’est l’environnement IA le plus étanche pour les entreprises parmi les outils américains.
Google Gemini dans Workspace : Sur les plans payants Business/Enterprise, vos données ne sont pas utilisées pour entraîner les modèles. Sur le plan gratuit, Google peut utiliser vos interactions. Attention aussi : certains traitements liés à l’IA peuvent encore transiter hors Europe.
Infomaniak AI : Les modèles d’IA d’Infomaniak sont hébergés en Suisse, vos requêtes ne sont ni enregistrées ni utilisées pour entraîner les modèles ou améliorer leurs services. C’est le meilleur compromis souveraineté + IA du marché actuellement.
Proton : Pas d’IA intégrée pour le moment — c’est cohérent avec leur architecture zero-access.
Ce que vous devez faire concrètement
1. Arrêtez d’utiliser les versions gratuites à titre professionnel. Les comptes @gmail.com, @hotmail.com ou les plans gratuits de Dropbox n’offrent ni DPA formel ni garanties suffisantes pour un usage professionnel. C’est la règle la plus simple et la plus importante.
2. Signez le DPA avec chaque outil que vous utilisez. Pour Microsoft 365 et Google Workspace, il est intégré aux conditions d’utilisation des plans payants — mais pensez à en garder une trace dans votre documentation RGPD.
3. Vérifiez où sont hébergées vos données. Pour Google Workspace, activez la résidence des données EU dans votre console d’administration (disponible à partir de Business Standard). Pour Microsoft 365, votre adresse de facturation en France vous place automatiquement dans l’EU Data Boundary.
4. Remplacez WeTransfer par SwissTransfer pour tout envoi de fichiers professionnels. C’est gratuit, plus souverain, et ne nécessite même pas de compte.
5. Mettez à jour votre registre des traitements. Chaque outil dans lequel circulent des données personnelles doit y figurer : nom de l’outil, type de données, finalité, durée de conservation, sous-traitant identifié.
6. Soyez vigilant avec les IA intégrées. Avant d’utiliser Copilot, Gemini ou autre IA dans vos documents, vérifiez que votre plan inclut bien la garantie de non-entraînement sur vos données. Sur les plans gratuits, cette garantie n’existe généralement pas.
En résumé : quel outil pour quel besoin ?
- Vous voulez quitter Google ou Microsoft avec souveraineté totale → Infomaniak kSuite ⭐ (Suisse, tout-en-un, éco-responsable)
- Vous avez des documents ultra-confidentiels à protéger → Proton (chiffrement de bout en bout, personne ne peut lire vos données)
- Vous devez envoyer des fichiers volumineux → SwissTransfer (gratuit, Suisse, remplace WeTransfer)
- Vous êtes dans le secteur de la santé et avez besoin de la certification HDS → Microsoft 365 (le seul géant certifié HDS en France)
- Vous avez besoin du meilleur écosystème d’automatisation → Google Workspace ⭐ (Business Standard minimum pour l’hébergement EU) ou Microsoft 365
- Vous utilisez déjà Microsoft en entreprise → Microsoft 365 (EU Data Boundary active, DPA inclus, HDS disponible)
