Le RGPD (Règlement général sur la protection des données) s'applique à tout document contenant des données personnelles. Or les PDF — formulaires, contrats, fiches client, devis, mandats — en regorgent : nom, prénom, adresse, IBAN, numéro de sécurité sociale, copie de pièce d'identité. En 2026, la CNIL a multiplié les contrôles sur les flux documentaires des PME et indépendants. Voici la checklist concrète pour mettre vos PDF en conformité.
Pourquoi le PDF est un point sensible RGPD
Un PDF circule partout : email, USB, cloud, signature, archivage. Chaque copie est une exposition potentielle. Et contrairement à une base de données, le PDF est rarement audité, rarement chiffré au repos, rarement supprimé à terme. C'est le « data loss » silencieux des organisations.
Les sanctions RGPD vont jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, et pour les indépendants, des amendes de 5 000 à 50 000 € sont régulièrement prononcées pour des manquements simples (fuite de PDF, conservation excessive, défaut d'information).
RGPD a 7 ans : le bilan CNIL 2025 (record absolu)
Le RGPD est entré en application le 25 mai 2018. Sept ans plus tard, le bilan CNIL 2025 marque une rupture : 259 décisions correctrices dont 83 sanctions pour 486,8 millions d'euros, soit le montant annuel le plus élevé jamais prononcé en France (source : CNIL — bilan sanctions 2025, publié le 9 février 2026).
Sanctions records 2025 :
- Google : 325 M € (cookies sans consentement valable et publicité ciblée non autorisée)
- Acteur tech anonymisé : 150 M € (trackers déposés malgré refus utilisateur)
- +107 % de sanctions vs 2024 (passage de 42 à 87 décisions)
Top 5 motifs sanctionnés en 2025 :
| Motif | Sanctions 2025 | Montant typique |
|---|---|---|
| Cookies / trackers sans consentement | 21 | 50 K à 325 M € |
| Vidéosurveillance excessive des salariés | 16 | 5 K à 50 K € |
| Sécurité insuffisante (mots de passe faibles, comptes partagés) | 14 | 10 K à 250 K € |
| Non-réponse aux demandes d'accès / effacement | 14 | 5 K à 100 K € |
| Prospection commerciale illicite | 10 | 5 K à 50 K € |
Concrètement pour vos PDF : si vous ignorez une demande d'accès (art. 15) ou de portabilité (art. 20) sur un PDF contenant les données personnelles d'un client, vous tombez dans la 4e catégorie — sanctionnée 14 fois en 2025 sur des manquements isolés.
RGPD × AI Act : la nouvelle compétence CNIL depuis août 2025
Depuis le 2 août 2025, la CNIL est l'autorité française de régulation de l'AI Act européen (règlement UE 2024/1689). Conséquence directe pour vos PDF :
- Si vous traitez des PDF par IA (extraction OCR avec LLM, anonymisation automatique, classification par apprentissage), vous tombez sous les deux régimes simultanément : RGPD + AI Act
- Sanctions cumulables depuis 2026 : jusqu'à 35 millions d'euros ou 7 % du CA mondial pour violation AI Act, en plus des 20 M € / 4 % RGPD
- Systèmes IA à haut risque (RH, biométrie, scoring crédit) : registre dédié obligatoire, analyse d'impact, supervision humaine documentée
Vérifiez systématiquement que votre prestataire OCR ou IA d'extraction PDF :
- Est conforme RGPD (sous-traitant art. 28, hébergement UE)
- Est conforme AI Act si le système est classé « haut risque » (CV, contrats RH, dossiers médicaux)
- Documente les modèles utilisés, données d'entraînement et garanties anti-biais
Checklist conformité en 10 points
1. Identifier la base légale de traitement
Pour chaque PDF contenant des données personnelles, demandez-vous : pourquoi puis-je collecter ces données ? Les bases légales possibles (article 6 RGPD) sont :
- Consentement explicite (cocher une case, jamais pré-cochée)
- Exécution d'un contrat (devis, bail, mandat)
- Obligation légale (déclaration fiscale, comptabilité)
- Intérêt légitime (à documenter par un test à 3 critères)
- Mission d'intérêt public ou sauvegarde d'intérêts vitaux
2. Appliquer la minimisation
Ne collectez que ce qui est strictement nécessaire. Demandez-vous : ai-je vraiment besoin de la date de naissance complète, du numéro de sécurité sociale, ou d'une simple confirmation de majorité ?
Exemple : sur un mandat immobilier, le numéro de carte d'identité du vendeur n'est pas nécessaire — seul le numéro de propriété cadastrale et l'identité (nom, adresse) suffisent.
3. Définir une durée de conservation
Chaque type de PDF doit avoir une durée de conservation explicite. Quelques repères CNIL :
- Devis non signé : 3 ans après émission
- Contrat client : 5 ans après fin du contrat
- Bail d'habitation : 5 ans après résiliation
- Documents comptables : 10 ans
- Fiches de paie : 5 ans (employeur), 50 ans (salarié)
Au-delà, suppression ou archivage anonymisé obligatoire.
4. Informer la personne concernée
Tout PDF contenant des données personnelles doit être collecté avec une mention d'information précisant : finalité, base légale, destinataires, durée, droits (accès, rectification, effacement, portabilité, opposition), coordonnées du DPO ou responsable de traitement.
Idéalement, mettez un lien vers votre politique de confidentialité dans le footer du PDF.
5. Sécuriser le stockage
Les PDF stockés doivent être :
- Chiffrés au repos (AES-256 minimum)
- Stockés sur des serveurs UE ou avec garanties Schrems II (clauses contractuelles types + analyse d'impact transferts)
- Accessibles uniquement aux personnes autorisées (gestion des droits d'accès par rôle)
- Supprimés via un processus traçable (logs de suppression conservés)
6. Sécuriser la transmission
N'envoyez jamais un PDF contenant des données sensibles par email simple. Utilisez :
- Email chiffré S/MIME ou PGP
- Plateforme sécurisée avec authentification (espaces clients, signature électronique)
- Lien temporaire avec expiration plutôt qu'attachement direct
Pour les transferts massifs, privilégiez SFTP ou WebDAV chiffré.
7. Signer électroniquement (eIDAS)
La signature électronique avancée ou qualifiée garantit :
- L'identité du signataire (vérifiée)
- L'intégrité du document (toute modification détectée)
- La non-répudiation (le signataire ne peut nier)
Cela renforce considérablement la valeur probante du PDF en cas de litige RGPD.
8. Tracer les accès et modifications
Chaque PDF stocké doit avoir un journal d'accès : qui a consulté, quand, depuis quelle IP. En cas de fuite, ce journal permet de remonter à la source. Conservez les logs au minimum 6 mois (recommandation CNIL pour la traçabilité de sécurité).
9. Anticiper les droits des personnes
Le RGPD donne 5 droits aux personnes concernées :
- Accès (article 15) : fournir une copie des données dans un délai d'un mois
- Rectification (article 16) : corriger une erreur
- Effacement (article 17) : supprimer (« droit à l'oubli »)
- Portabilité (article 20) : remettre les données dans un format réutilisable
- Opposition (article 21) : s'opposer à un traitement
Votre organisation doit avoir un processus documenté pour traiter ces demandes en moins d'un mois.
10. Tenir un registre des traitements
Si vous traitez régulièrement des données (et c'est le cas dès que vous gérez des contrats clients), vous devez tenir un registre des activités de traitement (article 30 RGPD) listant : finalités, catégories de données, destinataires, durées, mesures de sécurité.
Pour les PME et indépendants, un simple tableur suffit. La CNIL fournit un modèle de registre simplifié RGPD gratuit, ainsi qu'une check-list RGPD pour TPE/PME en 4 pages.
Cas particulier : les PDF avec photo d'identité ou IBAN
Ces PDF contiennent des données « à risque accru ». Recommandations :
- Floutage automatique des numéros de carte (chiffrement partiel) si non strictement nécessaires
- Conservation séparée de la copie d'identité (dans un coffre-fort numérique chiffré, jamais dans le dossier client courant)
- Suppression rapide dès la fin de la finalité (KYC validé → supprimer la copie d'identité brute, ne garder que le hash de vérification)
Comment iFillPDF facilite la conformité
iFillPDF est conçu conformité RGPD by design :
- Hébergement UE (Cloudflare Workers + Supabase EU)
- Chiffrement AES-256 au repos et en transit (TLS 1.3)
- Suppression automatique des fichiers temporaires après 24h
- Journal d'accès consultable
- Signature électronique eIDAS niveau avancé incluse
- Conformité Schrems II (sous-traitants UE uniquement)
- Modèles de mention d'information pré-rédigés pour vos PDF
En résumé
La conformité RGPD pour vos PDF n'est pas un luxe : c'est une obligation légale et une protection contre des sanctions lourdes. Les 10 points de cette checklist couvrent l'essentiel : base légale, minimisation, durée, information, sécurité, signature, traçabilité, droits des personnes, registre. Documentez vos processus, formez votre équipe, et choisissez des outils conçus dès le départ pour la conformité.