Démonstration
Pour traiter votre demande, nous devons traiter vos données personnelles. Plus d’informations sur le traitement de vos données personnelles ici.

On a déjà tous été dans cette situation : on s’apprête à envoyer un e-mail avec une pièce jointe, et bim — ce message familier : « Votre fichier est trop volumineux. » 

Alors on fait comme d’habitude : on ouvre WeTransfer, on entre l’adresse de notre contact, la nôtre, un petit objet, on glisse nos fichiers ou dossiers… et c’est envoyé. Simple, rapide, efficace. 

Mais début juillet 2025, une mise à jour discrète des CGU a semé le doute. Notamment du côté de l’autorité néerlandaise de protection des données : en passant par WeTransfer, nos fichiers sont-ils encore protégés ? 

Une mise à jour discrète, un flou inquiétant

Dans sa nouvelle version des CGU, WeTransfer expliquait que certains fichiers transférés pourraient être utilisés pour “améliorer ses services via l’IA”.

Problème : l’information était peu visible, et les modalités, floues. 

  • Quels fichiers sont concernés ? 
  • À quel moment sont-ils utilisés ?
  • Comment refuser cet usage (opt-out) ?

Le RGPD est pourtant clair : le consentement ne se devine pas. Il doit être libre, éclairé et spécifique. Modifier les CGU en douce pour y glisser des traitements IA, ce n’est pas conforme.

Les entreprises utilisatrices aussi en première ligne

L’enquête cible WeTransfer, mais les entreprises clientes ne sont pas couvertes pour autant.
Quand vous transférez des données personnelles, vous restez responsable de leur traitement. Et si votre prestataire agit en dehors du cadre légal, c’est aussi vous que cela engage.

Résultat : perte sèche pour WeTransfer, avantage pour ses concurrents

La polémique a déjà fait du bruit. Résultat : des utilisateurs partent, des entreprises cherchent des alternatives plus claires et plus conformes.

Encore une fois, c’est la démonstration concrète que le RGPD n’est pas un frein — c’est un avantage concurrentiel.

Une affaire qui rappelle l’une des règles fondamentales du RGPD

L’affaire WeTransfer le montre bien : auditer régulièrement ses prestataires n’est pas un luxe, c’est une nécessité. Surtout quand ils traitent des données personnelles — les vôtres ou celles de vos clients. 

Le RGPD l’exige clairement : en tant que responsable de traitement, vous devez vérifier que vos sous-traitants respectent leurs obligations, et pouvoir le prouver.

Voici les bonnes pratiques à mettre en place

Mettre en place un droit d’audit dans vos contrats : il doit permettre un contrôle annuel a minima, ou à tout moment en cas de doute ou d’incident.
Demander des preuves à jour : politique de sécurité, documentation RGPD, journal d’incidents, etc.
Documenter le suivi : échanges, vérifications, actions correctrices… tout doit être tracé.

Chez Dipeeo, on constate que ce suivi devient vite difficile à gérer quand plusieurs prestataires sont en jeu. C’est pourquoi une solution d’audit automatisé des prestataires.

Concrètement : vous n’avez rien à gérer. On s’occupe de tout, pour vous garantir un suivi rigoureux et documenté de tous vos sous-traitants.

Anaïs Guilloton
Anaïs Guilloton

Marketing Manager - Expert RGPD, prendre rendez-vous avec moi : en cliquant ici