Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Dropbox

Que fait Dropbox ?

Dropbox est un service de stockage de fichiers cloud, partage et collaboration édité par Dropbox Inc. (San Francisco). Sur un site web, il apparaît sous deux formes principales : comme sous traitant de stockage backend pour des fichiers uploadés (via l'API Dropbox ou un connecteur tiers), ou comme composant embarqué (Dropbox Chooser, Saver, Embedder) permettant au visiteur d'interagir avec Dropbox depuis la page de l'opérateur. Les composants embarqués chargent du JavaScript et des cookies depuis dropbox.com, ce qui déclenche des exigences de consentement sous ePrivacy.

Qu''est-ce que Dropbox ?

Dropbox est l''un des services historiques de stockage et de synchronisation cloud, exploité par Dropbox Inc. (San Francisco), coté au NASDAQ. Sur un site web, Dropbox apparaît comme sous traitant de stockage backend (l''opérateur stocke des fichiers via l''API Dropbox ou un connecteur tiers) ou comme composant embarqué (Dropbox Chooser pour choisir un fichier dans le Dropbox du visiteur, Dropbox Saver pour l''y sauvegarder, Dropbox Embedder pour prévisualiser un fichier partagé). Les composants embarqués sont des widgets JavaScript chargés depuis www.dropbox.com.

Flux de données par cas d''usage

Pour le stockage backend, le serveur de l''opérateur uploade les fichiers dans un dossier Dropbox via l''API. Contenu et métadonnées résident dans l''infrastructure Dropbox. Pour les composants embarqués, le navigateur du visiteur charge directement le JavaScript depuis dropbox.com et s''authentifie sur le propre compte Dropbox du visiteur. Dropbox voit alors l''IP, le user agent, l''URL référente de la page opérateur et l''identité du compte Dropbox. Dropbox dépose quelques cookies (lid, gvc, t, hp_session) sur dropbox.com.

Implications RGPD et ePrivacy

Pour le stockage backend, le RGPD s''applique et Dropbox agit comme sous traitant au titre de son Business Agreement et de son DPA. L''art. 5(3) ePrivacy ne s''applique pas si aucun cookie n''est déposé sur l''appareil du visiteur. Pour les composants embarqués, les deux s''appliquent : les cookies sur dropbox.com nécessitent un consentement, et les données personnelles partagées avec Dropbox (IP, identité, referrer) relèvent du RGPD. Les opérateurs doivent traiter les composants embarqués comme des widgets tiers à gater avec un consentement granulaire (fonctionnel ou marketing selon l''usage).

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Résidence et CLOUD Act US

Les plans Dropbox Business Advanced et Enterprise incluent la résidence UE : le contenu des fichiers est stocké dans des datacenters Dropbox à Francfort (Allemagne). Les métadonnées de compte, les journaux de partage et la gestion d''équipe restent sur l''infrastructure US. Dropbox Inc. est américaine et exposée au CLOUD Act US, signalé par les superviseurs européens (BfDI, DSK, CNIL) comme risque de transfert résiduel. Dropbox s''auto certifie sous le EU US Data Privacy Framework et fournit des CCT. Pour les entités HIPAA, Dropbox propose un addendum séparé.

Chiffrement et gestion des clés

Dropbox chiffre les fichiers au repos en AES 256 et en transit en TLS 1.2+. La gestion des clés est assurée par le fournisseur en standard. Les opérateurs aux besoins élevés peuvent utiliser des outils de chiffrement client comme Cryptomator avant l''upload, ce qui supprime la capacité de Dropbox à lire le contenu mais casse l''aperçu et la recherche. Les plans Enterprise proposent des contrôles additionnels (watermarking, journaux d''audit avancés, contrôles admin granulaires).

Mise en pratique

Signer le Business Agreement et le DPA Dropbox. Pour la résidence UE du contenu, souscrire Business Advanced ou Enterprise et activer l''option de stockage UE. Inscrire Dropbox au registre des traitements avec catégories de données, localisation, durée et mécanisme de transfert US. Pour les composants embarqués sur des pages publiques, les gater dans la CMP (fonctionnel ou marketing) et lister les cookies dropbox.com dans la politique cookies. Conduire une analyse d''impact des transferts pour tout stockage de données personnelles, avec mitigations (résidence UE, chiffrement, accès admin limité).

Categorie de consentement RGPD

Preferences

Les sites web utilisant Dropbox doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleDepends on use case. Contract necessity (GDPR Art. 6(1)(b)) for storing user uploaded files as part of a service. Consent (Art. 6(1)(a)) for Dropbox Embedder previews, share buttons or sign in flows loaded on public pages with cookies. Legitimate interest (Art. 6(1)(f)) for backend file storage of business records.

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive (for embedded components that load cookies), US CLOUD Act, German BfDI guidance on US cloud services, French CNIL guidance on hyperscalers, Schrems II case law

Considerations AIPD

Le traitement Dropbox varie selon le cas d'usage. Points clés AIPD : (1) en stockage backend, le contenu peut résider dans des datacenters allemands en Business Advanced ou Enterprise, mais les métadonnées de compte et journaux restent aux États-Unis ; (2) l'exposition au CLOUD Act US est le principal risque résiduel, Dropbox Inc. étant américaine ; (3) Chooser, Saver et Embedder chargent du JavaScript depuis dropbox.com qui dépose des cookies (lid, gvc, t, hp_session) et créent un point de suivi tiers exigeant consentement ; (4) si les fichiers contiennent des données sensibles (santé, identité, financier), l'AIPD doit refléter ce risque accru et l'opérateur doit évaluer les options de chiffrement ; (5) Dropbox propose son DPA et ses CCT, plus une option HIPAA pour la santé. Une AIPD est recommandée pour tout usage de données sensibles ou comme stockage principal de données personnelles.

Exemple de texte de consentement

Nous utilisons Dropbox de Dropbox Inc. comme plateforme de stockage et partage de fichiers cloud. Dans notre offre business, le contenu des fichiers est stocké dans les datacenters Dropbox en Allemagne, tandis que les métadonnées de compte et les journaux sont traités aux États-Unis. Dropbox Inc. étant exposée au CLOUD Act US, nous avons signé des CCT et nous appuyons sur le EU US Data Privacy Framework. Si vous voyez un aperçu ou un bouton Dropbox embarqué sur notre site, Dropbox dépose des cookies sur dropbox.com et vous pouvez refuser le consentement dans nos paramètres cookies.

Details techniques

Methode de suiviCloud file storage, sharing and collaboration service. Used as backend storage for user uploaded files, or to embed Dropbox file previews and document picker components into a website via the Dropbox Chooser and Embedder JavaScript SDKs. When the embedded components load on a public website, Dropbox sets first party and third party cookies on dropbox.com to identify the visitor and maintain sharing session state.

Localisation des serveursUnited States primary (Dropbox Inc., San Francisco) with EU residency option (Dropbox Business Advanced plus customers can opt into German data centres operated by Dropbox in Frankfurt for content storage). Account metadata and audit logs remain in the US even with EU content residency.

Donnees transferees hors UEDropbox Inc. is a US company headquartered in San Francisco. Default deployment processes both content and metadata on US AWS infrastructure. EU residency for file content is available on Dropbox Business Advanced and Dropbox Business Enterprise plans, with content stored in German data centres, but account metadata and audit logs remain in the US. Dropbox self certifies under the EU US Data Privacy Framework and offers Standard Contractual Clauses for transfers outside the DPF.

Domaines tiers contactes

dropbox.comwww.dropbox.comcfl.dropboxstatic.comapi.dropboxapi.comcontent.dropboxapi.com

Cookies deposes

Nom	Type	Duree	Finalite
lid	Functional / Marketing	11 months	Set by Dropbox on dropbox.com. Persistent identifier used to recognise the visitor across visits to Dropbox properties and embedded components.
gvc	Functional	11 months	Set by Dropbox on dropbox.com. Stores a Google verification challenge value used during Dropbox sign in flows that involve Google accounts.
t	Strictly Necessary / Functional	Session	Set by Dropbox on dropbox.com. CSRF protection token used to validate requests during interactive flows (sign in, file sharing, Chooser, Saver).
hp_session	Functional	Session	Set by Dropbox on dropbox.com. Session identifier used by the Dropbox home page and embedded components to maintain the visitor's session state across navigation.
bjar	Marketing	13 months	Set by Dropbox on dropbox.com. Used for advertising attribution and audience building across Dropbox campaigns.

Dropbox utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Dropbox dépose-t-il ?

Dropbox en lui-même ne dépose pas de cookies sur le domaine de l'opérateur en stockage backend. Lorsque Chooser, Saver ou Embedder est chargé sur une page publique, Dropbox dépose des cookies sur le domaine dropbox.com (lid, gvc, t, hp_session, et d'autres selon que le visiteur est connecté à un compte Dropbox).

Le consentement est-il requis pour Dropbox ?

Pour le stockage backend, le consentement dépend de la finalité sous jacente, pas de Dropbox lui-même. Pour les composants embarqués sur des pages publiques, les cookies dropbox.com ne sont pas strictement nécessaires et l'art. 5(3) ePrivacy exige un consentement préalable.

Quelle base légale pour le traitement Dropbox ?

Le stockage backend repose typiquement sur la nécessité contractuelle (art. 6(1)(b)) lorsqu'on stocke des fichiers pour un service souscrit, ou sur l'intérêt légitime (art. 6(1)(f)) pour du stockage documentaire interne. Les composants embarqués nécessitent un consentement (art. 6(1)(a)).

Dropbox transfère-t-il des données vers les États-Unis ?

Oui par défaut. La résidence UE du contenu est disponible en Business Advanced et Enterprise, avec stockage en Allemagne, mais les métadonnées de compte et journaux restent aux États-Unis. Dropbox s'auto certifie sous le EU US Data Privacy Framework et propose des CCT. L'exposition au CLOUD Act US doit être évaluée.

Faut-il une AIPD pour Dropbox ?

Une AIPD est recommandée pour les données sensibles (santé, identité, financier) ou comme stockage backend principal à grande échelle. Pour un usage ponctuel de composants embarqués ou un stockage limité, le seuil AIPD peut ne pas être atteint, mais l'inscription au registre des traitements reste requise.

Comment implémenter Dropbox en conformité ?

Signer le Business Agreement et le DPA Dropbox. Souscrire Business Advanced ou Enterprise et activer la résidence UE du contenu. Pour les composants embarqués sur pages publiques, les gater dans une CMP avec consentement explicite. Inscrire Dropbox au registre des traitements avec catégories, localisation, durée et mécanisme de transfert US. Envisager le chiffrement côté client pour les contenus très sensibles.

Quelles alternatives à Dropbox ?

Alternatives souveraines : Tresorit (Suisse, chiffrement bout en bout), pCloud (Suisse), Sync.com (Canada, zero knowledge), Nextcloud (Allemagne, auto hébergé) et OVH Object Storage (France). Alternatives US : Box, Google Drive, Microsoft OneDrive et Amazon S3, toutes avec considérations CLOUD Act similaires.

Comment mettre à jour la politique cookies ou de confidentialité ?

Lister Dropbox comme sous traitant dans la politique de confidentialité, avec catégories de données, statut de résidence UE et mécanisme de transfert US. Si Chooser, Saver ou Embedder est utilisé sur des pages publiques, lister les cookies dropbox.com (lid, gvc, t, hp_session) dans la politique cookies sous fonctionnel ou marketing selon le cas.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min