Évaluation des facteurs relatifs à la vie privée (EFVP)

Service évalué : Proton Mail et Proton Drive
Organisation : Sébastien Trinh, psychologue
Date : 7 mars 2026
Responsable de la protection des renseignements personnels : Sébastien Trinh | strinh.psy@gmail.com | 418 210-3696

1. Description du projet

L’organisation souhaite utiliser :

  • Proton Mail pour les communications électroniques (courriels)

  • Proton Drive pour le stockage et le partage de fichiers

Ces services sont fournis par Proton AG, une entreprise basée en Suisse qui offre des services numériques chiffrés axés sur la protection de la vie privée.

Les données seront stockées dans l’infrastructure cloud de Proton et accessibles via interface web ou applications.

2. Catégories de renseignements personnels traités

Les renseignements personnels potentiellement traités incluent :

  • Par Proton Mail

    • nom

    • adresse courriel

    • contenu des courriels

    • pièces jointes

    • métadonnées (expéditeur, destinataire, date)

  • Par Proton Drive

    • fichiers contenant :

      • documents administratifs

      • informations clients

      • contrats

      • dossiers internes

    • métadonnées des fichiers

3. Finalité du traitement

Les renseignements personnels sont utilisés pour :

  • communications professionnelles

  • gestion de dossiers

  • partage sécurisé de documents

  • archivage interne

La collecte se limite aux informations nécessaires aux activités de l’organisation.

4. Localisation des données et transferts internationaux

Les données sont hébergées dans des centres de données situés notamment :

  • Suisse

  • Allemagne

  • Norvège

Ces centres sont exploités directement par Proton et situés dans des juridictions disposant de lois de protection des données reconnues comme fortes.

Ainsi, l’utilisation de Proton implique un transfert de renseignements personnels hors Québec et hors Canada.

5. Mesures de sécurité techniques

Les mesures de sécurité offertes par Proton incluent :

  • Chiffrement

    • chiffrement de bout en bout pour les communications entre utilisateurs Proton

    • chiffrement côté client pour les fichiers

    • architecture « zero-access » empêchant Proton d’accéder aux données

Les courriels et fichiers sont chiffrés avant d’être stockés sur les serveurs et seuls les utilisateurs possèdent les clés de déchiffrement.

  • Protection des données stockées

    • chiffrement des données au repos

    • disques durs chiffrés

    • contrôle strict d’accès aux infrastructures

Les données sont toujours stockées sous forme chiffrée sur les serveurs de Proton.

  • Sécurité physique

    • centres de données sécurisés

    • accès biométrique

    • infrastructures contrôlées par Proton

Ces installations sont conçues pour limiter l’accès non autorisé aux serveurs.

6. Accès par des autorités publiques

Proton est soumis au droit suisse.

Dans certaines circonstances, Proton peut être contraint de répondre à des demandes légales des autorités suisses.

Toutefois :

  • le contenu des emails chiffrés ne peut pas être remis car Proton ne possède pas les clés de déchiffrement.

Certaines métadonnées ou informations de compte pourraient néanmoins être accessibles selon les obligations légales.

7. Analyse des risques pour la vie privée

8. Conclusion de l’EFVP

L’utilisation de Proton Mail et Proton Drive présente un niveau de protection élevé grâce à :

  • chiffrement de bout en bout

  • architecture zero-access

  • hébergement dans des juridictions avec des lois fortes sur la vie privée

Cependant :

  • un transfert international de données existe

  • certaines métadonnées pourraient être accessibles aux autorités selon le droit suisse.

Sous réserve de l’implantation des mesures organisationnelles recommandées, le risque pour la vie privée est jugé acceptable.