Professionnelle en entreprise consultant une interface de transfert de fichiers sécurisé conforme au RGPD sur son ordinateur portable
Cybersécurité

SwissTransfer pour les entreprises : bonnes pratiques RGPD et confidentialité

Un collaborateur envoie un dossier client de plusieurs gigaoctets via SwissTransfer à un prestataire externe. Le fichier part en quelques minutes, sans inscription, chiffré de bout en bout. Côté pratique, rien à redire. Côté RGPD, la situation est plus délicate : qui contrôle réellement l’accès au lien ? Combien de temps le fichier reste-t-il disponible ? Et surtout, cette commodité suffit-elle à couvrir les obligations légales de l’entreprise ?

Sommaire
Chiffrement SwissTransfer et analyse de risque fournisseurHébergement en Suisse et conformité RGPD : ce que ça change vraimentBonnes pratiques RGPD pour le transfert de fichiers en entrepriseMinimiser avant d’envoyerConfigurer la durée de disponibilité au minimum nécessaireProtéger les transferts par mot de passeLimites de SwissTransfer pour une gouvernance données complète

SwissTransfer, développé par Infomaniak, séduit par son chiffrement côté client et son hébergement en Suisse. Pour un usage professionnel régulier, ces atouts techniques ne dispensent pas d’un cadrage interne rigoureux.

A découvrir également : Mafreebox-freebox-fr sur plusieurs appareils : bonnes pratiques de sécurité

Chiffrement SwissTransfer et analyse de risque fournisseur

Quand on évalue un outil de transfert pour des données professionnelles, le premier réflexe est de regarder le niveau de chiffrement. SwissTransfer utilise le chiffrement AES-GCM pendant le transit des fichiers. Le comparatif du Journal du Geek le positionne comme l’option la plus orientée sécurité parmi les solutions gratuites, notamment grâce au chiffrement côté client.

En pratique, cela signifie que les fichiers sont chiffrés avant même de quitter le navigateur de l’expéditeur. C’est un critère différenciant qu’on peut documenter dans une analyse de risque fournisseur interne.

A lire aussi : Sauvegarde de données : bonnes pratiques et conseils essentiels

Pour autant, le chiffrement ne couvre qu’une partie du problème. Une analyse de risque complète doit aussi examiner :

  • La politique de conservation des fichiers sur les serveurs d’Infomaniak (jusqu’à 30 jours selon la configuration choisie par l’expéditeur)
  • L’absence de traçabilité native des téléchargements dans la version gratuite, ce qui complique la preuve d’accès en cas de contrôle
  • Le statut juridique d’Infomaniak en tant que sous-traitant au sens du RGPD, et la nécessité de vérifier les clauses contractuelles applicables

Documenter ces éléments dans un registre des traitements n’a rien de facultatif. C’est une obligation dès lors que l’outil sert à transférer des données personnelles vers l’extérieur de l’organisation.

Équipe professionnelle en réunion discutant des bonnes pratiques de confidentialité des données et de conformité RGPD en entreprise

Hébergement en Suisse et conformité RGPD : ce que ça change vraiment

L’argument « serveurs en Suisse » revient systématiquement dans les comparatifs. Et il a du poids : la Suisse bénéficie d’une décision d’adéquation de la Commission européenne, ce qui facilite les transferts de données depuis l’Union européenne sans mécanisme supplémentaire type clauses contractuelles types.

On aurait tort d’en rester là. La localisation en Suisse ne suffit pas à conclure à une conformité RGPD automatique. Les obligations de l’entreprise qui utilise SwissTransfer restent entières : base légale du traitement, information des personnes concernées, gestion des droits d’accès et de suppression, encadrement contractuel de la sous-traitance.

Concrètement, si on envoie un dossier médical ou un contrat contenant des données sensibles via SwissTransfer, il faut pouvoir justifier pourquoi cet outil a été choisi plutôt qu’un autre, et démontrer que les mesures de protection sont proportionnées au risque. La localisation suisse est un bon point de départ, pas une conclusion.

Bonnes pratiques RGPD pour le transfert de fichiers en entreprise

Les recommandations de la CNIL sur les échanges externes insistent sur trois axes que SwissTransfer ne couvre pas seul : la minimisation des données, la maîtrise des accès et la vérification des destinataires. On doit bâtir des règles internes autour de l’outil, pas compter sur l’outil pour remplacer les règles.

Minimiser avant d’envoyer

Avant tout transfert, la question à se poser est simple : est-ce que tous les fichiers inclus sont strictement nécessaires ? On voit régulièrement des envois contenant des pièces annexes inutiles, des versions de travail avec des métadonnées sensibles, ou des dossiers entiers alors qu’un seul document suffirait.

Nettoyer et trier avant d’envoyer réduit le risque bien plus qu’un chiffrement renforcé. Un fichier qui n’est pas transmis ne peut pas fuiter.

Configurer la durée de disponibilité au minimum nécessaire

SwissTransfer permet de choisir la durée de disponibilité du lien de téléchargement. Par défaut, on peut aller jusqu’à 30 jours. Pour un usage professionnel encadré, on recommande de réduire cette durée au strict nécessaire : quelques jours suffisent dans la majorité des cas.

Un lien actif pendant un mois, c’est un mois pendant lequel une erreur de destinataire ou un transfert de lien non autorisé peut se produire. Réduire la durée du lien limite mécaniquement la fenêtre d’exposition.

Protéger les transferts par mot de passe

SwissTransfer propose l’ajout d’un mot de passe sur les liens de téléchargement. En contexte professionnel, cette option devrait être systématique dès que les fichiers contiennent des données personnelles ou confidentielles. Le mot de passe doit être communiqué par un canal séparé (téléphone, messagerie chiffrée) pour éviter qu’un seul point de compromission donne accès à tout.

Technicien informatique gérant un système de transfert de fichiers chiffré et sécurisé dans une salle de serveurs d'entreprise

Limites de SwissTransfer pour une gouvernance données complète

SwissTransfer répond bien à un besoin ponctuel : envoyer un fichier volumineux de manière sécurisée, sans créer de compte, gratuitement. Pour des flux réguliers impliquant des données sensibles, les retours varient sur la capacité de l’outil à couvrir tous les besoins de traçabilité et de gouvernance.

Plusieurs points méritent attention :

  • L’absence de journal d’audit détaillé dans la version standard complique la démonstration de conformité lors d’un contrôle CNIL
  • La révocation d’un lien après envoi n’est pas toujours possible, ce qui pose problème en cas d’erreur de destinataire
  • L’outil ne gère pas nativement les droits des personnes concernées (droit d’accès, droit à l’effacement) : c’est à l’entreprise de mettre en place ces processus en parallèle

SwissTransfer peut s’intégrer dans une politique de sécurité, mais il ne la remplace pas. Pour des échanges récurrents de données sensibles, une solution de transfert managé avec journalisation, contrôle d’accès granulaire et intégration au système d’information reste plus adaptée.

Le choix de l’outil dépend du volume, de la sensibilité des données et de la maturité RGPD de l’organisation. Pour des envois occasionnels bien encadrés, SwissTransfer avec mot de passe, durée courte et chiffrement côté client offre un niveau de protection solide. Pour des flux structurels, il faut aller chercher des fonctionnalités que la version gratuite ne propose pas, et formaliser l’ensemble dans une procédure interne documentée.

Les immanquables

Recherche

A ne pas manquer

Au coeur de l'actu

Lost your password?