La protection des données personnelles et le respect de la vie privée sont des enjeux de mieux en mieux compris du grand public. Il faut dire que les scandales et les affaires relatifs aux données personnelles explosent et sont de plus en plus médiatisés. Les outils et services censés nous y aider se multiplient. Parmi eux, un large panel d’entreprises met en avant la localisation géographique comme un argument majeur en faveur du respect de la privée.
Pour appuyer cet article et les réflexions qui gravitent autour du sujet de la vie privée, nous avons contacté plusieurs acteurs du numérique suisses. Vous trouverez leurs réactions au fil de votre lecture et nous viendrons ajouter d'éventuelles réponses par la suite.
Ce qu'il faut retenir :
- La Suisse compte parmi les pays les plus protecteurs en matière de droit des individus et au respect de la vie privée et est l’un des rares pays à avoir intégré une réglementation sur le traitement des données personnelles à sa Constitution.
- Non-signataire des accords de surveillance internationaux (Five Eyes, Nine Eyes, Fourteen Eyes), la Suisse échappe à l’emprise des services de renseignement.
- Jugée par l’UE comme offrant un niveau de protection des données adéquat, la Suisse a mis du temps à moderniser sa législation, au point de voir cette décision d’adéquation remise en cause par la Commission européenne. Elle est aujourd’hui en passe de faire entrer en vigueur une version révisée de sa loi de 1992 sur la protection des données. Celle-ci offrira un cadre similaire au RGPD, quoique moins exigeant sur certains points.
- Partager des données personnelles est une infraction au regard de l’article 271 du Code pénal suisse. Seule une ordonnance d’un tribunal suisse peut sommer une entreprise de laisser l’accès aux données qu’elle détient.
Considérée comme un bastion du droit des individus, la Suisse vient en première position des pays dans lesquelles nos données personnelles seraient plus en sécurité qu’ailleurs. Cette affirmation est-elle seulement vraie, et si oui : pourquoi ?
Des services qui misent sur la confidentialité
Threema, ProtonMail, Infomaniak, Tresorit, SecureSafe, Silent Circle, pCloud … sont autant de sociétés dont vous avez sans doute entendu parler ces dernières années. Leurs points communs ? Proposer des services et outils numériques, aussi bien auprès des entreprises qu’auprès des particuliers, en mettant l’accent sur la confidentialité et en offrant des garanties en matière de protection de la vie privée. Qu’il s’agisse de services mails, d’hébergement et stockage cloud, ou encore de messagerie instantanée, ces entreprises communiquent beaucoup autour de ce qu’offre le droit suisse. Le pays est souvent mentionné comme étant l’un des plus protecteurs en matière de vie privée.
Dans un contexte où l’emprise des GAFAM semble toujours s’intensifier malgré les scandales et les révélations, à l’heure des lanceurs d’alertes et des mobilisations citoyennes de grande envergure face aux dispositifs de surveillance des gouvernements, avoir recours à des services basés en Suisse change-t-il vraiment quelque chose à l’équation ?
Sphère privée et secret bancaire
Avant de parler des potentiels atouts des outils numériques helvètes, il convient d’évoquer certains faits qui font de la Suisse une destination prisée. Avant d’être considérée comme une valeur sûre pour nos données personnelles, la Suisse a d’abord été un paradis fiscal en raison du secret bancaire.
Un véritable bras de fer diplomatique s’est joué et a débouché sur certains accords entre pays dans le but de faire tomber ce secret bancaire. Si bien que la Suisse s’apparente aujourd’hui plus à un « refuge » fiscal qu’à un paradis pour les contribuables français (entre autres). Les Helvètes se sont en effet longtemps reposés sur le droit civil et la protection de la sphère privée, protégés par la Constitution fédérale, pour faire de leur pays une destination prisée dont l’économie est largement portée par les activités bancaires.
Ce droit au respect de la vie privée n’est d’ailleurs pas le seul atout suisse en matière bancaire, comme d’hébergement de données. L’image de discrétion et de fiabilité à l’internationale dont jouit le pays le distingue, tout autant que sa stabilité économique et politique, sa neutralité, et la solidité de son système judiciaire.
Voilà pour le contexte, bien connu, de ce pays dont les spécialités sont loin de s’arrêter à la charcuterie et au fromage. Dirigeons-nous toutefois vers ce qui nous intéresse, à savoir les lois qui s’appliquent en matière de protection des données pour les entreprises basées en Suisse.
Protection des données : un droit fondamental inscrit dans la Constitution
La Suisse est l’un des rares pays qui intègrent le traitement des données personnelles à sa Constitution. Il s’agit plus précisément de l’article 13 de la Constitution, garantissant aux citoyens suisses que leurs données ne peuvent être exploitées sans leur consentement préalable.
Art. 13 Protection de la sphère privée
1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications.
2. Toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent.
Ce droit fondamental est concrétisé par plusieurs lois, à commencer par le Code civil suisse qui protège en cas d’atteinte illicite à la personnalité, ainsi que la Loi fédérale sur la protection des données de 1992 (LPD). Cette dernière oblige les entreprises à respecter un certain nombre de dispositions qui concernent cette fois-ci aussi bien les résidents suisses que les étrangers. Sa portée extraterritoriale s’étend également aux entreprises étrangères, qui se doivent de respecter ses dispositions lorsqu’elles traitent les données des résidents suisses.
Révisée et adoptée le 25 septembre 2020, la nouvelle version de ce texte accuse quelques lenteurs dans sa mise en place et devrait entrer en vigueur courant 2022. Elle reprend les fondements du Règlement Général sur la Protection des Données (RGPD) européen, dans l’objectif de conserver le niveau de protection adéquat stipulé au sein de la convention 108 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel édicté par le Conseil de l’Europe.
Un contexte loin d’être idyllique
Si les entreprises suisses sont tenues de respecter des lois qui offrent l'un des niveaux de protection parmi les plus élevés au monde, cela ne signifie pas pour autant que tout soit parfait. Les banques et les entreprises du numérique profitent de ce cadre juridique pour proposer des services avec un niveau de confidentialité supérieure ; pour autant le renforcement des droits des personnes et des obligations des entreprises avec la révision de la LPD s’est fait à pas de tortue. La LPD révisée se rapproche fortement des standards européens, notamment avec la prise en compte des concepts de Privacy by Design et Privacy by Default. Dans les faits, la LPD comble un écart colossal entre sa version de 1992 et sa version révisée, mais elle reste un peu plus laxiste que le RGPD sur plusieurs points.
En outre, la Suisse s’est récemment fait remarquer dans plusieurs dossiers. On pense notamment au fait que la justice suisse aurait utilisé un logiciel d’espionnage israélien dans le cadre de plusieurs affaires, selon une enquête menée par la RTS. La police fédérale n’a pas précisé s’il s’agissait ou non de Pegasus, mais elle a tenu à rassurer en précisant une utilisation uniquement ciblée dans le cadre d’infractions graves.
La problématique soulevée ici est toutefois celle de la souveraineté numérique du pays, des questions auxquelles les citoyens suisses semblent attachés, comme le montre la récente polémique autour du choix des fournisseurs cloud de la Confédération. En adjugeant le contrat à Alibaba, Microsoft, Oracle et Amazon, la Chancellerie fédérale a créé la surprise et suscité de nombreuses levées de boucliers.
La souveraineté numérique du pays est en jeu, les acteurs américains étant contraints par le Cloud Act là où la loi chinoise oblige les entreprises à communiquer sans restriction avec les services de renseignement nationaux dans le cas d'Alibaba. Les objectifs et la portée de ces contrats se sont précisés dans un communiqué récent, expliquant notamment que la Confédération "ne prévoit pas de transférer des données sensibles nécessitant un niveau de protection élevé dans des nuages publics" donnant en exemple les données fiscales et de santé.
L'avis de Thomas Jacobsen (Infomaniak) à propos de la souveraineté numérique :
La souveraineté numérique est importante pour des raisons économiques, politiques et de sécurité.
Sur le plan économique, confier ses données à des acteurs cloud extra-européens, c’est défavoriser la création d’emplois, le développement d’un savoir-faire et la maîtrise technologique au niveau local. Les géants du Web ont aussi une grande expertise en matière de défiscalisation : le principe consiste à faire remonter la plus grande partie de leur chiffre d’affaires vers leur siège en Irlande où l’imposition sur les sociétés est bien plus faible que dans les autres pays européens. En basculant sur des technologies propriétaires, il devient difficile et très coûteux de migrer ses services vers un autre fournisseur, ce qui crée un lien de dépendance manifeste avec ces fournisseurs qui peuvent modifier leurs tarifs sans réelle concurrence avec le temps.
Sur le plan politique, les géants de la tech mobilisent d’énormes budgets de lobbying qui se chiffrent en millions pour influencer les décideurs politiques de l'UE et sponsorisent activement des évènements culturels ainsi que des institutions publiques, comme des écoles. Les récents évènements montrent aussi que ces multinationales tendent à adopter la position de leur gouvernement sur le plan géopolitique, ce qui peut avoir un impact important sur les données des utilisateurs. En concentrant toutes les données des entreprises et des États dans quelques entreprises, ces dernières acquièrent de fait une position stratégique pour le bon fonctionnement de la société.
Sur le plan de la sécurité, les conditions générales des géants de la tech sont claires : les données peuvent être redondées à tout moment dans différents pays pour assurer la fiabilité du service, ce qui les expose de fait aux lois extraterritoriales comme le Cloud Act. De plus, les données sont traitées par des logiciels développés par des entreprises dont le for juridique n’est pas en Europe, ce qui rend facile l’accès aux données par ces pays. De part leur statut monopolistique, les GAFAM sont aussi des cibles de choix pour les personnes malveillantes. Il suffit de lancer une recherche avec « faille sécurité » pour s’en rendre compte. Les problèmes de sécurité sont beaucoup moins fréquents avec des technologies Open Source comme OpenStack.
Lorsqu’on parle de souveraineté des données, il est important de considérer au moins trois dimensions : où sont stockées les données, le for juridique de la société qui maîtrise les infrastructures et le développement des logiciels et comment se finance l’entreprise.
En ce qui concerne notre position sur la décision de la Suisse :
La Confédération précipite la Suisse dans un rapport de dépendance très préoccupant. Encourager ce déséquilibre entraînera un coût d’opportunité et un manque à gagner immense pour les acteurs locaux suisses ou même européens. Cette affaire souligne combien il est facile de succomber à l’appel d’économies immédiates au détriment de l’acquisition de compétences et de l’enjeu à long terme.
L’aveuglement de la Confédération dans ce dossier stratégique nous conforte dans la nécessité de construire une alternative technologique indépendante. Elle est aujourd’hui plus indispensable que jamais.
Suite à cette décision technique, le sujet a été en revanche mis sur l’agenda politique du Parlement et une initiative populaire a été amorcée.
Pourquoi les entreprises suisses offrent-elles le meilleur niveau de protection au monde ?
Hormis son arsenal pénal, que nous aborderons ensuite via l’affaire ProtonMail, la Suisse peut se vanter de n’être signataire d’aucun accord international de surveillance. Depuis les révélations de l’ancien analyste de la NSA, Edward Snowden, le monde ouvre les yeux sur ce qu’est et comment s’exerce la surveillance électronique de masse, une surveillance qui est loin d’être le seul fait du gouvernement américain.
En occident, de nombreux pays ne peuvent espionner directement leurs citoyens en raison du cadre légal qui s’y applique. En France, l’intimité de la vie privée et le secret des communications électroniques sont protégés par la loi. Cela pousse les pays à la coopération, notamment avec la signature d’accords de partage de renseignements, des alliances connues sous le nom de Five Eyes qui regroupe les cinq grands pays anglophones, Five Eyes Plus, qui y ajoute la France, l’Allemagne et le Japon, Nine Eyes, ou encore Fourteen Eyes. Dans certains cas, elles permettent aux pays qui en sont membres d’outrepasser leurs propres lois nationales. C’est du moins ce que révèle le témoignage de Snowden qui qualifie lui-même les Fives Eyes comme « une agence de renseignement supranationale qui ne répond pas aux lois de ses propres pays membres ».
Il serait toutefois mensonger d’exclure la Suisse de toute alliance internationale impliquant un partage d'informations, comme nous l'avons vu à propos du secret bancaire. Les Helvètes participent notamment à un forum des services de renseignement des 27 états de l’UE, une institution qui permet un échange volontariste sur les problèmes communs aux services de renseignement. Le Counter Terrorism Group (CTG) est une branche de ce forum, fondé après les attaques du 11 septembre 2001, il se concentre quant à lui uniquement sur les affaires de terrorisme.
Cela nous amène à évoquer le cadre pénal qu’offre la Suisse. Les entreprises suisses sont contraintes par la loi à ne pas transmettre d’information concernant leurs utilisateurs à d’autres gouvernement ou entités (article 271 du Code pénal suisse). Seules les autorités suisses peuvent contraindre une entreprise à fournir des données personnelles, sous certaines conditions puisque les demandes étrangères se doivent d’être instruites et validées par un tribunal suisse. Alors comment cela se passe lorsque c’est le cas ? La récente affaire impliquant ProtonMail dans l’arrestation d’un activiste du climat en France a justement apporté pas mal d’éclaircissements sur ces questions.
L'affaire ProtonMail
En septembre 2021, Proton Technologies AG, la société qui édite ProtonMail, a été pointée pour avoir fourni les moyens qui ont menés à l’arrestation d’activistes français appartenant au collectif Youth for Climate. Si l’entreprise a été sous le feu des critiques, c’est surtout en raison des promesses initiales de ProtonMail qui indiquait "ne pas journaliser les adresses IP par défaut".
Si l’on peut reprocher un manque de clarté dans la communication de ProtonMail, il faut toutefois souligner que l’entreprise n’a fait que répondre à la requête des autorités suisses elles-mêmes. C’est sans doute ce qu’il fallait comprendre : ProtonMail ne journalise pas les adresses IP et fingerprints par défaut, mais peut le faire lorsqu’une réquisition judiciaire émanant d'un tribunal suisse, lui ordonne. C’est exactement ce qu’il s’est passé dans cette affaire.
L’Union européenne dispose en effet d’un cadre pour la coopération entre pays en matière pénale : la Convention européenne d’entraide judiciaire (CEEJ), transposée dans le droit suisse avec la loi fédérale sur l’entraide internationale en matière pénale (EIMP). C’est ainsi que les autorités suisses ont jugé recevable la demande du gouvernement français reçue par le biais d’Europol. Reste à savoir si la liste des infractions susceptibles de justifier une surveillance (régie par le Code de procédure pénale suisse – CPP) est trop vaste pour en venir à valider un trop grand nombre de demandes étrangères.
Le CPP implique d’autres dispositions, notamment l’obligation d’informer la personne des motifs, du mode et de la durée de la surveillance, « au plus tard lors de la clôture de la procédure préliminaire ». C’est cependant la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) qui fixe les obligations des fournisseurs de télécommunications dans le cas d’une surveillance. ProtonMail appartenant à la catégorie des fournisseurs de services de communication dérivés, l’entreprise n’est tenue qu’à une collecte de données minimales par rapport à un fournisseur de télécommunication qui se doit de conserver ses données et de les rendre accessibles.
C’est bien l'appartenance à cette catégorie qui protège ProtonMail, et les autres services d’hébergement, de mails ou de messagerie instantanée. Le Service de surveillance de la poste et des télécommunications (SSPT) a d’ailleurs tenté de faire passer ProtonMail (et ProtonVPN) dans la catégorie des fournisseurs de télécommunications. La société Proton AG a toutefois remporté son recours en appel devant un tribunal administratif fédéral, confirmant le statut de l’entreprise et les exigences en matière de conservation des données.
Le droit à la vie privée représente-t-il un danger ?
Les commentaires vont bon train sur les technologies et le cadre légal qui permettent de se protéger des atteintes à la vie privée. Il convient en premier lieu de se rappeler que le droit au respect de la vie privée
a été affirmé par la Déclaration universelle des droits de l'homme des Nations unies en 1948.
La problématique qui revient le plus souvent sur le devant de la scène est de savoir comment débusquer ceux qui utilisent ces services pour de mauvaises raisons. Comme nous l’avons vu, même un pays considéré comme une enclave pour la sécurité des données disposent d’un cadre complet pour l’entraide internationale.
On peut finalement faire le parallèle entre le secret bancaire et le droit à la sphère privée : le secret bancaire suisse a longtemps agacé (le mot est faible) les gouvernements en favorisant l’arrivée de capitaux étrangers. La Suisse a peu à peu allégé ses dispositifs de protection jusqu’à la signature d'accord dans le cadre d’une coopération avec certains États.
Si l’attractivité du système bancaire nationale est en baisse, il s’agit néanmoins de trouver un équilibre dans le champ d’application du secret bancaire aux étrangers. Bien que régulièrement remis en cause, cet équilibre semble déjà plus mature et harmonieux en ce qui concerne les communications, la collecte des données et la protection de la vie privée. Certes, il n’est sans doute pas parfait. Il permet malgré tout d’apporter une plus forte protection aux étrangers qui ont recours à certains services numériques suisses.
Interrogé par nos soins à ce sujet, le fondateur de ProtonMail Andy Yen expliquait en 2013 :
Que cela plaise ou non, les terroristes utiliseront ces outils comme n'importe qui d'autre. Ce n'est pas parce que les terroristes utilisent le métro que l'on va fermer ce dernier. Si l'on considère la situation de manière rationnelle, les apports du chiffrement pour protéger sa vie privée sont plus importants que le risque qu'un terroriste fasse usage de ProtonMail.
Les terroristes ont utilisé des moyens de communication secrets bien avant l'existence de ProtonMail. Nous n'avons rien changé. En revanche ce que nous avons fait, c'est donner à des millions de gens à travers le monde une manière simple et pratique pour retrouver leur vie privée.
Comment choisir les services les plus respectueux de la vie privée ?
La Suisse n’est pas le seul pays à proposer un cadre supérieur à la moyenne en matière de protection de la vie privée. Le Panama, emplacement choisi par NordVPN notamment, est un bon exemple de localisation où les obligations légales en matière de conservation de données sont légères, sans oublier le fait que ce pays n’est également pas signataire d’accords internationaux de type Five Eyes.
La juridiction à laquelle dépendent les services fait partie des premiers critères à observer si l’on s’attache à la sécurité et à la confidentialité. Mais cela ne fait pas tout. Certaines entreprises vendent par exemple des services apparemment basés en Suisse, alors que seul leur siège social l’est vraiment. On pense notamment à pCloud qui met en avant une « protection des données comme en Suisse » alors que ses serveurs sont situés soit au Luxembourg, soit aux États-Unis, à Dallas. Dès lors les données qui y transitent ne sont pas sous le coup de la juridiction suisse, mais bel et bien des pays qui les abritent.
Bien sûr cela ne signifie pas qu’un service installé dans un pays comme les États-Unis soit forcément mauvais, le cas le plus parlant est sans doute celui de l’application de messagerie instantanée Signal. Le fonctionnement même de l’application, qui s’appuie sur un protocole de chiffrement de bout en bout et open source, garantit qu’un tiers ne puisse consulter les messages échangés. À cela s’ajoute un stockage local sur l'appareil de l'utilisateur lui assurant de fait un meilleur niveau de sécurité. Cela ne signifie pas non plus l’absence de métadonnées, ces informations associées aux messages impliquent un grand nombre de données parfois aussi sensibles, voire plus, que le contenu des communications. Dans le cas de Signal, les métadonnées ne sont que temporaires, logiquement requises lors de la transmission du message. Signal reste également assujettie au Cloud Act et ne peut être utilisée de manière réellement anonyme puisqu'il est nécessaire de fournir un numéro de téléphone ou une adresse email pour utiliser la messagerie. Deux faiblesses qu'on ne retrouve pas avec l'application Suisse Threema qui demande en revanche l'achat d'une clé de licence moyennant quelques euros.
Sur son site internet, l'entreprise Threema affirme : "La sécurité et la confidentialité sont profondément enracinées dans l’ADN de Threema.
Depuis 2012, nous nous engageons fermement à assurer la sécurité et la confidentialité des communications de nos utilisateurs. À l’avenir, la sécurité de nos utilisateurs et la protection de leurs données resteront au cœur de notre stratégie d’entreprise et du développement de notre logiciel."
Interrogée par nos soins, l'équipe nous laisse toutefois sur notre faim et n'a pas souhaité que nous publiions ses réponses. Un porte-parole modère cet "engagement ferme" et déclare : "Nous ne sommes pas des avocats ou des politiciens, mais des développeurs de logiciels. Veuillez comprendre que, dans ce contexte, nous ne pouvons pas commenter publiquement des questions juridiques ou de politique publique."
Après les considérations liées à la localisation, viennent donc inéluctablement s’ajouter celles de la technologie. Le chiffrement de bout en bout signifie que les données transmises ne sont accessibles qu’à l’utilisateur du service, et bien sûr à la personne qui dispose de la clé pour déchiffrer les contenus ou le message, par exemple dans le cas d’un échange d’emails chiffrés. C’est pour cette raison, dans le cas de Signal ou de ProtonMail par exemple, que ces deux entreprises ne peuvent fournir le contenu des messages échangés quand bien même les autorités l’exigent. Pour en revenir à l’affaire ProtonMail, celle-ci n’aurait pas eu lieu si la personne en cause avait utilisé la version oignon du site, accessible comme son nom l’indique via le réseau Tor. Il y a forcément un écart assez important entre le fait d’utiliser un service qui dispose de forts atouts en matière de confidentialité et un usage « anonymisé » comme Tor le permet (bien qu’il ne soit pas infaillible non plus).
- storage1 Go de stockage
- securityChiffrement natif par défaut
- alternate_emailPas de domaine personnalisé
- smartphoneApplications iOS, Android
- push_pinJurisdiction Suisse
Les services de stockage cloud basés en Suisse
Voici les principaux services de stockage disponibles chez nos amis helvètes.
pCloud
- mood10 Go d'espace gratuit
- storage500 Go d'espace en option
- uploadPas de limite d'envoi
- home_pinJuridiction suisse
Le service de stockage en ligne et de synchronisation pCloud a beaucoup d'atouts à faire valoir. Basé en Suisse, c'est l'un des rares hébergeurs à garantir une sécurité et confidentialité sans faille. Stable et performant, il offre les meilleures technologies de synchronisation (par blocs, LAN…) ainsi que la sauvegarde sélective avec des fonctions de back-up automatisés. Outre des forfaits dotés d'un excellent rapport qualité/prix, il propose des formules « Lifetime » uniques qui en font le meilleur stockage en ligne du marché. On regrette tout de même le manque de transparence sur la sécurisation de son infrastructure.
- Sécurité de bout en bout (en option)
- Vitesses de téléchargement
- Synchronisation sélective
- Versionnage des fichiers (180 jours)
- Offres "Lifetime"
- Pas d'intégration d'applications tierces
- Manque de transparence sur la sécurité
Présentation de pCloud
Lancé en 2013, le service de stockage en ligne pCloud a séduit plus de 16 millions d'utilisateurs. Populaire aux Etats-Unis mais également en Asie, il est notamment apprécié pour son excellente expérience utilisateur, son haut niveau de sécurité ainsi que ses tarifs, plutôt abordables. Au niveau des fonctionnalités, pCloud propose notamment une solution de backup sur ordinateur, des options de restauration de fichiers et de quoi facilement collaborer avec d'autres utilisateurs.
En plus de son interface web, pCloud permet à ses abonnés de synchroniser leurs données sur toutes sortes de dispositifs (ordinateurs Windows, Mac ou Linux, appareils sous système iOS ou Android). Des extensions sont également disponibles sur les navigateurs Chrome, Firefox Edge et Opera. Il existe aussi un module pour Adobe Lightroom CC.
Ce service dispose d'une offre gratuite plutôt complète, qui comprend un espace de stockage de 4 Go extensibles. Il existe également des formules payantes à l'année, démarrant à 49,99 €. pCloud propose notamment des plans Famille et Business. Des offres "à vie" sont aussi disponibles !
pCloud : les mesures de sécurité
Comme beaucoup de services concurrents (Dropbox et iCloud, notamment), pCloud utilise le protocole AES-256 pour protéger les fichiers qui lui sont confiés. Il chiffre également les clés privées en RSA 4096-bits, un standard qui va au delà des préconisations de l'Agence nationale de la sécurité des systèmes d'information. Pour plus de sécurité, pCloud sauvegarde les données de ses utilisateurs sur 3 serveurs différents. Cette méthode a déjà montré ses preuves en cas de panne.
Parmi les autres mesures de sécurité, on peut noter que la société a mis en place l'authentification à deux facteurs, et ce, depuis plusieurs années. En plus d'un mot de passe, les utilisateurs peuvent donc confirmer leur identité au moyen d'un code envoyé par SMS ou avec une notification. Lorsque vous configurez l'authentification à deux facteurs, vous recevez 10 codes de récupération. Ces 10 codes de récupérations peuvent être utilisés si vous n'arrivez pas à accéder à votre compte pCloud.
Cette solution en ligne propose également à ses utilisateurs de définir des appareils de confiance sur une période de 30 jours. Un coffre-fort virtuel est aussi disponible, mais seulement en option.
Proton Drive
Proton Drive est un service de stockage cloud prometteur et qui évolue dans le bon sens, notamment grâce à l'arrivée de son application pour Windows et macOS en 2023, mais qui manque encore de fonctionnalités essentielles. Si sa sécurité est irréprochable, difficile de le recommander à tous les utilisateurs pour le moment, tant on ne retrouve pas encore le confort d'utilisation auquel nous ont habitué ses concurrents. Mais, dans quelques mois, nul doute que Proton Drive arrivera à s'imposer parmi les plus grands.
- Politique de confidentialité irréprochable de Proton
- Chiffrement de bout en bout
- Interface simple
- Pas de limite d'envoi
- Accès à tout l'écosystème Proton avec le forfait Proton Unlimited
- Seulement 5 Go pour le forfait gratuit
- Manque de fonctionnalités essentielles
- Coût nettement plus élevé que la concurrence
Présentation de Proton Drive
Basée à Genève, la société Proton a été créée en 2014 par d'anciens ingénieurs du CERN. Ayant pour objectif de proposer une alternative au géants du web américains, l'entreprise a dépassé cette année les 100 millions d'utilisateurs. Proposant à l'origine une solution de messagerie ainsi qu'un VPN, Proton a mis au point la solution de stockage en ligne Proton Drive, déclinée en version web, Android, iOS et Windows. Des apps Linux et MacOS seront prochainement disponibles.
Proton Drive dispose d'une offre gratuite limitée qui comprend 1 Go d'espace de stockage. Il existe également trois formules payantes : "Plus" à 2,99 € par mois, "Unlimited" à 12,99 € par mois et "Family" à 29,99 € par mois. Les fonctionnalités proposées au sein de ce service sont assez classiques : synchronisation de fichiers depuis un dossier dédié, versioning, backup, partage de fichiers ou de dossier via un lien de téléchargement, upload automatique des images depuis un smartphone, etc.
Proton Drive : les mesures de sécurité
La grande force de Proton Drive est sa sécurisation. Le service utilise, en effet, le chiffrement de bout en bout ainsi que le cryptage zéro accès. Grâce à ces protections, personne, pas même Proton, ne peut accéder aux données de l'utilisateur qui est le seul à avoir la main sur ses fichiers. Ce dernier possède, pour cela, une clé privée.
Proton Drive chiffre le contenu de tous les fichiers mais aussi les multiples éléments qui y sont liés (nom, métadonnées, taille, date d'upload, etc.). Le chiffrement E2EE est également appliqué aux liens de téléchargement. La double authentification est aussi proposée par le service (avec une app ou une clé physique).
Autre élément en faveur de Proton : l'entreprise est propriétaire de ses serveurs et a mis en place des accès biométriques. Elle ne consulte et ne revend aucune des données qui lui sont confiées.
kDrive - Infomaniak
kDrive d'Infomaniak se démarque de la concurrence avec des tarifs très agressifs, deux fois moins cher que Google Drive, Dropbox ou pCloud. On regrette l'absence de certaines fonctionnalités : chiffrement de bout en bout en local, synchronisation différentielle, compression des données pour les transferts. Si l'interface web s'avère assez simple et intuitive à utiliser au quotidien, les clients bureau et mobiles mériteraient quelques ajustements.
Hormis cela, kDrive tire son épingle du jeu grâce à des performances remarquables et un véritable respect de la vie privée. On apprécie également le versionnage des fichiers, le large éventail de fonctionnalités de partage et de collaboration, et les outils kSuite, issus d'un partenariat avec OnlyOffice et 100 % compatibles avec Microsoft Office.
- Tarifs très compétitifs
- Solides garanties de confidentialité
- Vitesse de transfert rapide
- Options de partage et de collaboration avancées
- Suite bureautique intégrée
- Interface et ergonomie perfectibles des clients
- Fonctionnalités limitées avec la formule gratuite
- 15 Go ou 2 To, pas d'offre intermédiaire (!)
- Pas de chiffrement de bout en bout en local
Présentation de kDrive
Créée en 1994 à Genève, la société Infomaniak est reconnue pour son respect de l'environnement et son éthique (elle a d'ailleurs récemment reçu le Prix Suisse de l'éthique 2023). Elle dispose d'une large offre de services dans laquelle on trouve notamment la solution de stockage cloud kDrive. Intégré dans la suite bureautique en ligne kSuite, cet outil se base sur des serveurs éco-friendly. On peut y accéder en version web mais aussi l'installer sur ordinateur (Windows, Mac, Linux) ou appareil mobile (iOS, Android).
Pensé aussi bien pour les particuliers que les professionnels, kDrive ne manque pas de fonctionnalités: import de fichiers, liens de partage, création et édition de documents en ligne, boîte de dépôt, gestion des droits et des versions, synchronisation, upload automatique de photos depuis un mobile, etc. Ce service dispose d'une offre gratuite généreuse (15 Go) qui permet de tester les options avancées du service durant 30 jours. 3 formules payantes existent : Solo (4,99 € par mois), Pro (6,66 € par mois et utilisateur) et Team (10 € par mois). Il est possible de choisir sa durée d'engagement.
kDrive : les mesures de sécurité
Infomaniak est propriétaire de datacenters classés TIER 3+. Cette société n'analyse et ne revend aucune donnée et propose la double authentification pour tous ses outils, dont kDrive. Les fichiers sont chiffrés grâce au standard AES-128 bits.
De plus, les transferts de données sont protégés avec le protocole SSL/TLS. Un chiffrement AES 128-bits est également appliqué lors de ces transmissions.
Pour plus de sécurité, kDrive sauvegarde les fichiers qui lui sont confiés au sein de trois serveurs différents. En cas de panne, il n'y a donc pas à craindre que ces derniers soient perdus. Notons que les serveurs sont régulièrement audités par des experts tiers.
Tresorit
Si Tresorit a de nombreux atouts pour séduire les entreprises, il est plus compliqué de le recommander à un public plus large. Mais pour ceux qui souhaitent avant tout pouvoir stocker leurs documents en toute sécurité, le service a plusieurs arguments en sa faveur : sécurité exemplaire, applications faciles d'utilisation, système de synchronisation intuitif et partage par lien sécurisé. Mais tout cela a un prix, et il peut paraître assez élevé lorsque l'on le compare à d'autres services, notamment lorsque l'on prend en compte les limitations imposées sur la taille des fichiers, le nombre d'appareils utilisables et les liens de partage. Il reste un bon choix pour ceux qui cherchent principalement un stockage cloud sécurisé qui a fait ses preuves, mais n'est pas idéal pour la majorité des utilisateurs.
- Confidentialité irréprochable et chiffrement de bout en bout
- Applications bien conçues et simples d'utilisation
- Applications natives pour Windows, macOS, Linux, Android et iOS
- Extensions pour Gmail et Outlook
- Plus coûteux que la concurrence
- Pas de visionnage des vidéos
- Offre gratuite limitée
Présentation de Tresorit
Tresorit est un service de stockage en ligne lancé en 2014 (la version française date, quant à elle, de 2016). Créé par des développeurs hongrois, il a, au départ été conçu pour les professionnels. Sa simplicité d'utilisation lui permet toutefois d'être également utilisé par des particuliers.
Tresorit est un service accessible sur le web mais également sur une grande variété d'appareils (ordinateurs Windows, Linux et Mac, appareils sous système iOS ou Android). Des plugins Outlook et Gmail sont disponibles pour chiffrer des pièces jointes.
Les tarifs de Tresorit sont les suivants :
- Pour les particuliers, on trouve une formule "Personal" à 9,99 € par mois et une formule "Professional" à 23,99€ par mois.
- Pour les professionnels, il y a une formule "Business Standard" à 12 € par mois et par utilisateur, une formule "Business Plus" à 16 € par mois et une formule "Custom" sur devis.
La formule gratuite donne accès à un espace de stockage cloud de 3 Go, accessible depuis 2 appareils.
Tresorit : les mesures de sécurité
La solution Tresorit a mis en place le protocole AES 256 pour sécuriser les fichiers qui lui sont confiés, avant de les envoyer sur ses serveurs. Toutes les données sont chiffrées de bout en bout. De plus, une technologie Zero-Knowledge est également utilisée : ainsi, seul l'utilisateur peut consulter le contenu de ses documents.
Si la société est localisée en Europe, ses datacenters sont, eux, basés dans le monde entier. En effet, Tresorit n'est pas propriétaire de ses serveurs : l'entreprise utilise les centres Microsoft Azure. Il est, cependant, possible pour les entreprises abonnées à ses services de choisir l'emplacement où elles souhaitent que leurs données soient stockées.