Actualités

📚 Mise à jour de CGU

Transferts de Données, Base légale | 18/07/2025

🚚📦 WeTransfer : quand une simple mise à jour des CGU soulève un tsunami RGPD

Le 15 juillet, WeTransfer a discrètement glissé dans ses nouvelles CGU la mention suivante :

« Nous pouvons utiliser votre contenu pour améliorer nos modèles de machine learning. »
⏱️ 24 h plus tard, face au tollé des créatifs, la phrase a été supprimée et la société a juré n’avoir jamais entraîné d’IA sur les fichiers de ses utilisateurs.

🤔 Pourquoi ça coince côté RGPD ?

  1. Changement de finalité
    – Passer du « simple transfert de fichiers » à l’entraînement de modèles IA implique une nouvelle finalité.
    – Cela requiert une information claire + un consentement explicite (art. 5 & 6).
  2. Licéité du traitement
    – Le texte laissait entendre une licence « mondiale, gratuite, irrévocable ». Pour un service B2B/B2C, difficile de soutenir la base « intérêt légitime » sans test de mise en balance solide.
  3. Transferts hors UE
    – WeTransfer revendique « des partenaires de confiance comme AWS » pour stocker les fichiers.
    – Si ces serveurs sont situés ou répliqués aux 🇺🇸, l’éditeur doit :
    1. s’appuyer sur le Data Privacy Framework ou des SCC + TIA à jour,
    2. chiffrer de bout en bout OU obtenir un consentement explicite.
  4. Principe de minimisation & rétention
    – Modifier les CGU sans revoir les durées de conservation, c’est risquer de garder des données au-delà du nécessaire (art. 5-1-e).
  5. Transparence & confiance
    – Chaque clause ambiguë fait fuir clients et la confiance se joue d’abord dans les petites lignes.

⚠️ Risques concrets

  • Violation de l’obligation de transparence → art. 12 ; amendes jusqu’à 2 % CA mondial.
  • Traitement sans base légale → art. 6 ; jusqu’à 4 % CA mondial.
  • Transfert illicite hors UE (Schrems II) → suspension + sanctions administratives.
  • Atteinte à la propriété intellectuelle → actions civiles des créateurs si leurs œuvres alimentent une IA sans autorisation.

À faire côté entreprises / DPO

  1. Relire les CGU (et l’historique des versions).
  2. Vérifier les sous-traitants : où sont stockées les données ? quelles garanties cryptographiques ?
  3. Exiger une option de chiffrement E2E ou utiliser un service EU-only si vos fichiers sont sensibles.
  4. Mettre à jour l’analyse de risques transfert (TIA) si vous restez sur WeTransfer.
  5. Informer vos équipes : un upload professionnel = un transfert international potentiellement non conforme.
Retour vers la liste des actualités

Découvrez toutes nos expertises :

Gouvernance et Stratégie Qualité des données MDM / PIM Conformité
]]>