RGPD22 avril 2026Moshe Achouz

RGPD et PDF : checklist de conformité pour vos documents en 2026

Comment rendre vos PDF conformes au RGPD : minimisation, durée de conservation, base légale, droits des personnes. La checklist pratique 2026.

Le RGPD (Règlement général sur la protection des données) s'applique à tout document contenant des données personnelles. Or les PDF — formulaires, contrats, fiches client, devis, mandats — en regorgent : nom, prénom, adresse, IBAN, numéro de sécurité sociale, copie de pièce d'identité. En 2026, la CNIL a multiplié les contrôles sur les flux documentaires des PME et indépendants. Voici la checklist concrète pour mettre vos PDF en conformité.

Pourquoi le PDF est un point sensible RGPD

Un PDF circule partout : email, USB, cloud, signature, archivage. Chaque copie est une exposition potentielle. Et contrairement à une base de données, le PDF est rarement audité, rarement chiffré au repos, rarement supprimé à terme. C'est le « data loss » silencieux des organisations.

Les sanctions RGPD vont jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, et pour les indépendants, des amendes de 5 000 à 50 000 € sont régulièrement prononcées pour des manquements simples (fuite de PDF, conservation excessive, défaut d'information).

RGPD a 7 ans : le bilan CNIL 2025 (record absolu)

Le RGPD est entré en application le 25 mai 2018. Sept ans plus tard, le bilan CNIL 2025 marque une rupture : 259 décisions correctrices dont 83 sanctions pour 486,8 millions d'euros, soit le montant annuel le plus élevé jamais prononcé en France (source : CNIL — bilan sanctions 2025, publié le 9 février 2026).

Sanctions records 2025 :

  • Google : 325 M € (cookies sans consentement valable et publicité ciblée non autorisée)
  • Acteur tech anonymisé : 150 M € (trackers déposés malgré refus utilisateur)
  • +107 % de sanctions vs 2024 (passage de 42 à 87 décisions)

Top 5 motifs sanctionnés en 2025 :

Motif Sanctions 2025 Montant typique
Cookies / trackers sans consentement 21 50 K à 325 M €
Vidéosurveillance excessive des salariés 16 5 K à 50 K €
Sécurité insuffisante (mots de passe faibles, comptes partagés) 14 10 K à 250 K €
Non-réponse aux demandes d'accès / effacement 14 5 K à 100 K €
Prospection commerciale illicite 10 5 K à 50 K €

Concrètement pour vos PDF : si vous ignorez une demande d'accès (art. 15) ou de portabilité (art. 20) sur un PDF contenant les données personnelles d'un client, vous tombez dans la 4e catégorie — sanctionnée 14 fois en 2025 sur des manquements isolés.

RGPD × AI Act : la nouvelle compétence CNIL depuis août 2025

Depuis le 2 août 2025, la CNIL est l'autorité française de régulation de l'AI Act européen (règlement UE 2024/1689). Conséquence directe pour vos PDF :

  • Si vous traitez des PDF par IA (extraction OCR avec LLM, anonymisation automatique, classification par apprentissage), vous tombez sous les deux régimes simultanément : RGPD + AI Act
  • Sanctions cumulables depuis 2026 : jusqu'à 35 millions d'euros ou 7 % du CA mondial pour violation AI Act, en plus des 20 M € / 4 % RGPD
  • Systèmes IA à haut risque (RH, biométrie, scoring crédit) : registre dédié obligatoire, analyse d'impact, supervision humaine documentée

Vérifiez systématiquement que votre prestataire OCR ou IA d'extraction PDF :

  1. Est conforme RGPD (sous-traitant art. 28, hébergement UE)
  2. Est conforme AI Act si le système est classé « haut risque » (CV, contrats RH, dossiers médicaux)
  3. Documente les modèles utilisés, données d'entraînement et garanties anti-biais

Checklist conformité en 10 points

1. Identifier la base légale de traitement

Pour chaque PDF contenant des données personnelles, demandez-vous : pourquoi puis-je collecter ces données ? Les bases légales possibles (article 6 RGPD) sont :

  • Consentement explicite (cocher une case, jamais pré-cochée)
  • Exécution d'un contrat (devis, bail, mandat)
  • Obligation légale (déclaration fiscale, comptabilité)
  • Intérêt légitime (à documenter par un test à 3 critères)
  • Mission d'intérêt public ou sauvegarde d'intérêts vitaux

2. Appliquer la minimisation

Ne collectez que ce qui est strictement nécessaire. Demandez-vous : ai-je vraiment besoin de la date de naissance complète, du numéro de sécurité sociale, ou d'une simple confirmation de majorité ?

Exemple : sur un mandat immobilier, le numéro de carte d'identité du vendeur n'est pas nécessaire — seul le numéro de propriété cadastrale et l'identité (nom, adresse) suffisent.

3. Définir une durée de conservation

Chaque type de PDF doit avoir une durée de conservation explicite. Quelques repères CNIL :

  • Devis non signé : 3 ans après émission
  • Contrat client : 5 ans après fin du contrat
  • Bail d'habitation : 5 ans après résiliation
  • Documents comptables : 10 ans
  • Fiches de paie : 5 ans (employeur), 50 ans (salarié)

Au-delà, suppression ou archivage anonymisé obligatoire.

4. Informer la personne concernée

Tout PDF contenant des données personnelles doit être collecté avec une mention d'information précisant : finalité, base légale, destinataires, durée, droits (accès, rectification, effacement, portabilité, opposition), coordonnées du DPO ou responsable de traitement.

Idéalement, mettez un lien vers votre politique de confidentialité dans le footer du PDF.

5. Sécuriser le stockage

Les PDF stockés doivent être :

  • Chiffrés au repos (AES-256 minimum)
  • Stockés sur des serveurs UE ou avec garanties Schrems II (clauses contractuelles types + analyse d'impact transferts)
  • Accessibles uniquement aux personnes autorisées (gestion des droits d'accès par rôle)
  • Supprimés via un processus traçable (logs de suppression conservés)

6. Sécuriser la transmission

N'envoyez jamais un PDF contenant des données sensibles par email simple. Utilisez :

  • Email chiffré S/MIME ou PGP
  • Plateforme sécurisée avec authentification (espaces clients, signature électronique)
  • Lien temporaire avec expiration plutôt qu'attachement direct

Pour les transferts massifs, privilégiez SFTP ou WebDAV chiffré.

7. Signer électroniquement (eIDAS)

La signature électronique avancée ou qualifiée garantit :

  • L'identité du signataire (vérifiée)
  • L'intégrité du document (toute modification détectée)
  • La non-répudiation (le signataire ne peut nier)

Cela renforce considérablement la valeur probante du PDF en cas de litige RGPD.

8. Tracer les accès et modifications

Chaque PDF stocké doit avoir un journal d'accès : qui a consulté, quand, depuis quelle IP. En cas de fuite, ce journal permet de remonter à la source. Conservez les logs au minimum 6 mois (recommandation CNIL pour la traçabilité de sécurité).

9. Anticiper les droits des personnes

Le RGPD donne 5 droits aux personnes concernées :

  • Accès (article 15) : fournir une copie des données dans un délai d'un mois
  • Rectification (article 16) : corriger une erreur
  • Effacement (article 17) : supprimer (« droit à l'oubli »)
  • Portabilité (article 20) : remettre les données dans un format réutilisable
  • Opposition (article 21) : s'opposer à un traitement

Votre organisation doit avoir un processus documenté pour traiter ces demandes en moins d'un mois.

10. Tenir un registre des traitements

Si vous traitez régulièrement des données (et c'est le cas dès que vous gérez des contrats clients), vous devez tenir un registre des activités de traitement (article 30 RGPD) listant : finalités, catégories de données, destinataires, durées, mesures de sécurité.

Pour les PME et indépendants, un simple tableur suffit. La CNIL fournit un modèle de registre simplifié RGPD gratuit, ainsi qu'une check-list RGPD pour TPE/PME en 4 pages.

Cas particulier : les PDF avec photo d'identité ou IBAN

Ces PDF contiennent des données « à risque accru ». Recommandations :

  • Floutage automatique des numéros de carte (chiffrement partiel) si non strictement nécessaires
  • Conservation séparée de la copie d'identité (dans un coffre-fort numérique chiffré, jamais dans le dossier client courant)
  • Suppression rapide dès la fin de la finalité (KYC validé → supprimer la copie d'identité brute, ne garder que le hash de vérification)

Comment iFillPDF facilite la conformité

iFillPDF est conçu conformité RGPD by design :

  • Hébergement UE (Cloudflare Workers + Supabase EU)
  • Chiffrement AES-256 au repos et en transit (TLS 1.3)
  • Suppression automatique des fichiers temporaires après 24h
  • Journal d'accès consultable
  • Signature électronique eIDAS niveau avancé incluse
  • Conformité Schrems II (sous-traitants UE uniquement)
  • Modèles de mention d'information pré-rédigés pour vos PDF

En résumé

La conformité RGPD pour vos PDF n'est pas un luxe : c'est une obligation légale et une protection contre des sanctions lourdes. Les 10 points de cette checklist couvrent l'essentiel : base légale, minimisation, durée, information, sécurité, signature, traçabilité, droits des personnes, registre. Documentez vos processus, formez votre équipe, et choisissez des outils conçus dès le départ pour la conformité.

Sources officielles

À lire ensuite
Une question sur cet article ? Écrivez-nous
RGPD et PDF : checklist de conformité pour vos documents en 2026 — iFillPDF