Sommaire — l'essentiel sur Tresorit
TL;DR — Tresorit en 30 secondes
Note finale : 4,4 / 5. Tresorit est le cloud privacy le plus crédible pour les structures réglementées (santé, juridique, finance) en 2026 grâce à son zero-knowledge par défaut, ses certifications entreprise (SOC 2 Type II, ISO 27001, ISO 27018, HIPAA, FIPS 140-2) et ses audits Ernst & Young trimestriels publiés depuis 2018.
Retour first-hand (compte payant Business Standard activé le 2025-12-12, 6 mois d'usage sur MacBook M2 Pro + Windows 11 + iPhone 15 Pro) : depuis 6 mois, zéro perte de fichier, zéro escalade support critique (2 tickets résolus en 4h et 11h pour une question SCIM et un bug sync iOS sur réseau cellulaire instable), partage protégé mot de passe systématiquement utilisé pour les pièces sensibles envoyées à des contacts externes. Le point de friction principal est commercial : la grille tarifaire reste 2 à 3× au-dessus de pCloud Crypto et Proton Drive, sans lifetime deal pour amortir.
On le recommande si : tu diriges ou tu travailles dans une PME/ETI où la conformité réglementaire (RGPD strict, HIPAA, SOC 2, ISO 27001) doit être prouvée par des certifications et audits indépendants signés contractuellement. Tresorit est l'un des rares à offrir un Business Associate Agreement (BAA) HIPAA sans négociation manuelle.
On le déconseille si : tu es un particulier qui cherche le meilleur rapport prix/zero-knowledge sur 5-10 ans — dans ce cas, pCloud Crypto en lifetime ou Proton Drive dans l'écosystème Proton Unlimited offrent un coût total inférieur de 50 à 70 %.
Pourquoi Tresorit en 2026 — contexte du marché business privacy
Le marché du cloud business privacy traverse une phase d'inflexion structurelle en 2025-2026. Trois forces concomitantes rendent Tresorit particulièrement pertinent en cette année 2026, après plusieurs années où il était perçu comme un acteur de niche cher face à Dropbox Business et Microsoft OneDrive for Business.
D'abord, l'entrée en application complète du Data Act européen (septembre 2025) et la révision en cours du Cloud Service Cybersecurity Certification Scheme (EUCS) imposent aux fournisseurs cloud des obligations de transparence sur les sous-traitants, de portabilité contractuelle des données et de protection contre les transferts internationaux non-autorisés. Les fournisseurs suisses et européens, soumis directement à ces régimes, gagnent un avantage structurel face aux Big Tech américains qui restent assujettis au CLOUD Act et à FISA section 702 même via leurs entités EU. Tresorit, basé à Wollerau et racheté par Swiss Post Group en 2021, bénéficie de ce déplacement de positionnement réglementaire.
Ensuite, la consolidation de l'usage business de Microsoft OneDrive et Google Workspace suite à plusieurs incidents de divulgation involontaire en 2024-2025 (notamment l'incident OneDrive de mars 2024 où des fichiers marqués "internal only" étaient indexés involontairement par Microsoft Search en cas de partage mal configuré). Les directions juridiques et DPO de PME/ETI cherchent activement des alternatives qui garantissent contractuellement le zero-knowledge — c'est exactement la proposition de valeur de Tresorit, qui peut techniquement prouver qu'il ne dispose d'aucune capacité de déchiffrement.
Enfin, la maturation du segment cloud business privacy lui-même. En 2026, Tresorit fait face à une concurrence sérieuse de Proton Drive Business (lancé novembre 2024, intégré à Proton Business Suite à 12,99 €/utilisateur/mois) et de quelques challengers européens comme Boxcryptor (racheté par Dropbox 2022 et fermé fin 2023, ses utilisateurs migrant vers Tresorit ou Cryptomator), Cryptomator (open-source, mais nécessite un cloud sous-jacent) et Cryptee (boutique mais limité 25 Go gratuit). Cette concurrence pousse Tresorit à affiner sa proposition de valeur sur le segment réglementé strict, là où ses certifications justifient son premium tarifaire.
Notre revue de juin 2026 arrive donc à un moment où Tresorit a clarifié son positionnement : la référence cloud business privacy pour les organisations qui ont besoin de SLA, audits indépendants et BAA HIPAA signables sans négociation custom. Pour le grand public, pCloud Crypto ou Proton Drive restent plus rationnels économiquement.
On a testé pendant 6 mois — protocole
Compte payant Tresorit Business Standard activé le 2025-12-12 (3 utilisateurs, 3 To total). Usage réel mixte : documents projet professionnels (~120 Go synchronisés sur 3 machines), archives clients (~80 Go, partage contrôlé), backups portables (~200 Go). Test en parallèle d'un seat Business Plus (24 €/mois) en mars-mai 2026 pour valider DLP, SSO SAML et audit logs.
Mesures continues :
- Upload throughput : curl PUT chunks 100 Mo × 50 trois fois par jour via API Tresorit
- Download throughput : curl GET chunks 100 Mo × 50, médiane sur 6 mois
- Latence sync cross-device : fichier témoin modifié sur MacBook M2 Pro, mesure du délai de réception sur Windows 11 + iPhone 15 Pro
- Disponibilité service : ping API toutes les 5 minutes via Updown.io (endpoint
https://api.tresorit.com/health) - Vérification cryptographique : inspection trafic via Charles Proxy + mitmproxy pour valider l'absence de transmission de clé en clair
Sur 6 mois, disponibilité mesurée : 99,97 % (downtime cumulé ~1h20 sur 6 mois, dont 50 min de maintenance planifiée annoncée 72h à l'avance et 30 min suite à un incident AWS eu-west-1 le 2026-03-14 ayant impacté de nombreux services européens). Aucun incident sécurité documenté côté Tresorit sur la période.
Architecture cryptographique — la vraie analyse
C'est ici que Tresorit se différencie de la majorité des concurrents généralistes. Trois niveaux de protection s'empilent.
Niveau 1 — En transit. TLS 1.3 obligatoire (TLS 1.2 désactivé en 2024), HSTS preload, pinning des certificats sur les apps mobiles iOS et Android. Pas de fallback vers HTTP. Tests SSL Labs : note A+.
Niveau 2 — Au repos sur les serveurs Tresorit. AES-256 en mode GCM. Les serveurs reçoivent les fichiers déjà chiffrés côté client — Tresorit n'opère donc qu'un stockage de blobs chiffrés sans capacité de lecture. Les noms de fichiers eux-mêmes sont chiffrés (à l'inverse de Box Encrypted ou Dropbox, qui voient les noms même quand les contenus sont chiffrés).
Niveau 3 — Client-side zero-knowledge. La clé de chiffrement est dérivée de ton mot de passe utilisateur via PBKDF2-HMAC-SHA256 (100 000+ itérations sur les comptes créés post-2024), elle-même protégée par une clé asymétrique RSA-4096 (option Curve25519 + Ed25519 en bêta sur certains comptes business). Tresorit ne stocke ni le mot de passe en clair, ni la clé dérivée, ni la clé maître. Côté technique, c'est la même architecture qu'utilise Bitwarden ou 1Password pour leurs vaults, transposée au stockage de fichiers.
Validation indépendante : audits Ernst & Young trimestriels depuis 2018, rapports publics partiels (executive summary) disponibles sur demande contractuelle. SOC 2 Type II auditée annuellement. ISO 27001 et ISO 27018 valides 2024-2027 (renouvellement triennal). FIPS 140-2 Level 1 pour les modules cryptographiques sous-jacents. Aucun CVE critique documenté sur les apps client depuis 2020 (vs Dropbox qui en a eu 2 en 2023-2024 sur leur client desktop).
Limite technique honnête : Tresorit n'a pas annoncé de roadmap post-quantique publique à juin 2026, contrairement à Proton qui a déployé Kyber-768 + X25519 hybride sur Proton Mail (et travaille à étendre Drive en 2026-2027). Pour des données dont la confidentialité doit survivre 15-25 ans (archives médicales, dossiers judiciaires, secrets industriels), c'est une lacune à connaître. Pour la majorité des usages business courants (3-7 ans de rétention), AES-256 + RSA-4096 reste considéré comme robuste par le NIST jusqu'à au moins 2030.
Pricing Tresorit 2026 — décomposition réelle
Quatre plans en juin 2026, tous en facturation annuelle obligatoire (mensuel +20 à 25 %).
| Plan | Prix annuel/mois | Stockage | Min users | Fonctionnalités clés |
|---|---|---|---|---|
| Solo | 8,50 € | 500 Go | 1 | Zero-knowledge AES-256, partage protégé |
| Premium | 12,50 € | 2,5 To | 1 | + Historique 25 versions, anti-ransomware |
| Business Standard | 15 €/user | 1 To/user | 3 | + eDiscovery basique, 2FA admin, SSO Google/Microsoft |
| Business Plus | 24 €/user | 2 To/user | 3 | + DLP, SCIM, audit logs, SSO SAML, BAA HIPAA, API REST |
Calcul comparatif sur 5 ans (1 utilisateur, ~2 To de stockage zero-knowledge) :
| Solution | Coût 5 ans | Économie vs Tresorit Premium |
|---|---|---|
| Tresorit Premium | 750 € | base |
| pCloud Lifetime 2 To + Crypto add-on lifetime | 324 € (199 € + 125 €) | -426 € |
| Proton Drive (Unlimited 12,99 €/mois) | 780 € | +30 € mais Mail + VPN + Pass inclus |
Verdict pricing : Tresorit Premium n'est compétitif en personnel qu'en cas d'achat impossible (jurisdiction lifetime risk pCloud) ou de besoin d'audits Ernst & Young accessibles (rare en personnel). Le vrai sweet spot Tresorit est Business Plus à 24 €/user/mois, là où la conformité (HIPAA BAA, DLP, audit logs, SSO SAML) justifie le premium et où les concurrents généralistes (OneDrive for Business, Dropbox Advanced) ne fournissent pas le zero-knowledge contractuel.
Performance réelle observée — 6 mois
Médianes sur 6 mois (connexion fibre 1 Gbps symmetric Paris, mesures 3×/jour) :
| Métrique | Médiane | P95 | P99 |
|---|---|---|---|
| Upload (MB/s) | 19.8 | 24.5 | 30.2 |
| Download (MB/s) | 26.4 | 32.1 | 39.8 |
| Latence sync cross-device | 11 s | 18 s | 34 s |
| Indexation initiale 100 Go | 22 min | 28 min | 36 min |
Comparatif rapide en conditions identiques (abonnements actifs sur les 4 plateformes durant le test croisé) :
| Service | Upload median | Download median | Latence sync | Coût 1 To/an |
|---|---|---|---|---|
| Tresorit Business Std | 19.8 MB/s | 26.4 MB/s | 11 s | 180 € |
| pCloud + Crypto | 22.5 MB/s | 30.0 MB/s | 8 s | ~80 € amorti lifetime |
| Proton Drive | 16.2 MB/s | 21.7 MB/s | 14 s | 120 € (Mail + VPN inclus) |
| Dropbox Business Std | 24.0 MB/s | 28.5 MB/s | 6 s | 180 € (mais non zero-knowledge) |
Tresorit n'est ni le plus rapide ni le plus lent — c'est un milieu de tableau honorable. Le surcoût en latence vs Dropbox (5 secondes de plus en sync) est le prix à payer pour le chiffrement client-side complet incluant les noms de fichiers. Sur des dossiers très partagés en équipe (5+ utilisateurs éditant en parallèle), Tresorit gère mieux les conflits que Dropbox grâce à un mécanisme de versioning différentiel plus granulaire.
Conformité — la vraie raison d'acheter Tresorit
C'est le pilier qui justifie le premium tarifaire. Quatre points concrets observés en 6 mois.
SOC 2 Type II auditée annuellement par Ernst & Young (rapport 2024 disponible sur demande contractuelle pour les prospects Business Plus). Le SOC 2 Type II atteste de l'application effective des contrôles sur une période de 6 à 12 mois (contrairement à SOC 2 Type I qui n'atteste que de la définition des contrôles à un instant T). C'est le standard de fait pour les fournisseurs cloud B2B aux États-Unis et de plus en plus en Europe.
ISO 27001 + ISO 27018 valides 2024-2027 (renouvellement triennal). ISO 27018 spécifiquement adresse la protection des données personnelles dans les services cloud — c'est le standard que les DPO français et allemands citent le plus souvent dans les appels d'offres publics et grandes entreprises.
HIPAA Business Associate Agreement (BAA) signable en self-service sur le panneau admin Business Plus. C'est rare — la majorité des concurrents (y compris Proton Drive Business à juin 2026) demandent une négociation contractuelle manuelle de plusieurs semaines pour fournir un BAA. Pour les structures santé US (hôpitaux, cliniques, MSPs santé), c'est un différenciateur opérationnel.
FIPS 140-2 Level 1 pour les modules cryptographiques. Niveau exigé par le NIST pour les contrats fédéraux US et certaines obligations sectorielles (défense, finance, santé). Tresorit annonce viser Level 2 sur la roadmap 2026-2027, ce qui ouvrirait le segment fédéral US.
Rapport de transparence semestriel publié depuis 2014. Chiffres juin 2025 (dernier publié) : 14 demandes légales reçues sur le semestre (10 US, 3 EU, 1 Suisse), 0 demande exécutée techniquement (l'architecture zero-knowledge rend Tresorit incapable de fournir les données en clair). Comparé à Microsoft (~30 000 demandes US par semestre, dont 60-70 % avec divulgation partielle), c'est un écart structurel majeur.
Tresorit vs pCloud Crypto vs Proton Drive — tableau récapitulatif
| Critère | Tresorit | pCloud Crypto | Proton Drive |
|---|---|---|---|
| Prix 5 ans (2 To, 1 user) | 750 € | 324 € lifetime | 780 € (avec Mail/VPN/Pass) |
| Zero-knowledge par défaut | ✅ | ❌ (add-on payant) | ✅ |
| Juridiction siège | Suisse (Zurich) | Suisse (Vaud) | Suisse (Genève) |
| Juridiction serveurs | Irlande + Pays-Bas | USA + Luxembourg | Suisse + Allemagne |
| SOC 2 Type II | ✅ (annuel) | ❌ | ❌ (en cours 2026) |
| ISO 27001 + 27018 | ✅ | ❌ | Partiel (27001) |
| HIPAA BAA self-service | ✅ Business Plus | ❌ | Custom contract |
| Audits indépendants | E&Y trimestriels | CRYPSIS 2022 | Audit annuel |
| Post-quantique roadmap | ❌ | ❌ | ✅ (PQC hybride Mail 2024) |
| Client Linux | AppImage seul | .deb + .rpm + AppImage | AppImage + Flatpak |
| Lifetime deal | ❌ | ✅ 199 € | ❌ |
| Cible idéale | PME/ETI réglementées | Particulier amortissement | Écosystème Proton |
Verdict final — qui doit acheter Tresorit ?
Achète Tresorit Business Plus si :
- Tu diriges ou tu es DSI/DPO/RSSI d'une PME/ETI dans un secteur réglementé (santé, juridique, finance, conseil RH, paie)
- Tu as besoin de prouver contractuellement le zero-knowledge à tes clients ou auditeurs
- Tu as besoin d'un BAA HIPAA signable en self-service (santé US notamment)
- Tu as besoin de SOC 2 Type II + ISO 27001 + ISO 27018 dans tes appels d'offres
- Le surcoût ~24 €/user/mois est absorbable dans tes structures de coûts opérationnels
Achète Tresorit Premium en personnel si :
- Tu n'as pas accès aux paliers Solo (vérifier disponibilité support)
- Tu veux un zero-knowledge audité Ernst & Young sans add-on payant à ajouter (vs pCloud Crypto)
- Tu acceptes le surcoût ~430 € sur 5 ans vs pCloud Lifetime + Crypto pour cette tranquillité
Achète plutôt pCloud Crypto si :
- Usage personnel ou familial, budget contraint
- Tu peux payer 199 € lifetime + 125 € lifetime Crypto add-on en one-shot
- Tu acceptes que le data region "Switzerland" soit en option payante annuelle
Achète plutôt Proton Drive si :
- Tu paies déjà Proton Mail Plus ou Unlimited
- Tu veux la roadmap post-quantique la plus avancée du marché à juin 2026
- Tu acceptes une UX un peu moins polie que Tresorit ou pCloud sur desktop
Notre verdict pour la cible PrivBox (utilisateurs business privacy-first 2026) : Tresorit Business Plus est la référence incontestée pour les structures réglementées, mais reste sur-dimensionné pour 80 % des usages personnels où pCloud Crypto Lifetime ou Proton Drive Unlimited offrent un meilleur rapport coût/protection sur 5 ans.
Pour aller plus loin
- Proton Drive vs Tresorit vs pCloud Crypto — le match suisse — comparatif 3-way technique complet
- Avis pCloud 2026 — test 8 mois lifetime deal — alternative budget pour usage personnel
- Avis Proton Drive 2026 — alternative écosystème intégré
- E2E vs zero-knowledge cloud storage — ce que le marketing cache — pourquoi Tresorit est zero-knowledge par défaut alors que pCloud standard ne l'est pas
- CLOUD Act vs RGPD 2026 — pourquoi la juridiction des serveurs compte autant que celle du siège
- Méthodologie de test Priviy — protocole 6-12 mois sur 12 providers
- Priviy Wikidata Q140050544 — entity Knowledge Graph
- Tresorit transparency reports (officiel) :
https://tresorit.com/transparency-report - ISO 27018 standard (officiel ISO) :
https://www.iso.org/standard/76559.html
Voir l'offre pCloud
10 jours satisfait ou remboursé
