Votre comptable téléverse-t-il vos bulletins de paie sur n'importe quel site PDF ?
Votre cabinet comptable gère bulletins de paie, contrats et déclarations fiscales. S'il fusionne ou découpe ces PDF sur un site web quelconque, vos données ont quitté les lieux. Voici la solution.
Demandez-vous qui a manipulé votre bulletin de paie cette année. Vous, votre employeur, et presque certainement un comptable ou un service de paie. Pensez maintenant au moment où ce PDF a dû être combiné avec celui du mois précédent, ou découpé en pages séparées pour la banque. Où cela s’est-il passé ?
Pour beaucoup de professionnels, la réponse est un site web gratuit déniché en première page des résultats de recherche. On y glisse votre bulletin, on clique sur un bouton, on télécharge le résultat, et on passe à autre chose. Ça marche. Mais cela signifie aussi que votre salaire, vos coordonnées bancaires et votre numéro de sécurité sociale viennent de voyager vers un serveur dont vous n’avez jamais entendu parler.
C’est de cette partie-là qu’il vaut la peine de parler.
Les documents qui passent entre les mains des autres
Vous traitez rarement vous-même vos propres PDF sensibles. Ils transitent par des intermédiaires.
Les services de paie et les comptables voient passer bulletins de salaire, contrats, déclarations fiscales et attestations bancaires. Les services RH manipulent des copies de pièces d’identité, des numéros de sécurité sociale, des arrêts maladie et parfois des certificats médicaux. Les cabinets d’avocats traitent de tout, des actes de divorce aux documents de succession. Le secrétariat d’une clinique fusionne lettres d’orientation et résultats d’analyses en un seul fichier pour l’assureur.
Chacune de ces personnes a besoin, à un moment donné, de faire quelque chose de fastidieux avec un PDF. Combiner quatre fichiers en un seul. Extraire les pages 3 à 7 d’un scan de 40 pages. Réduire un fichier pour qu’il tienne dans un e-mail. Rien de glorieux là-dedans, et c’est exactement pour ça que ces tâches se font avec l’outil le plus rapide, pas avec le plus sûr.
« Supprimé au bout d’une heure » n’est pas une garantie
La plupart des outils PDF en ligne téléversent votre fichier sur leur serveur, y exécutent l’opération, puis vous renvoient le résultat. Le petit bandeau qui annonce « vos fichiers sont supprimés au bout d’une heure » est peut-être tout à fait sincère. Le problème, c’est que vous ne pouvez pas le vérifier, et le comptable qui s’en sert non plus.
Dès qu’un bulletin de paie se retrouve sur le serveur de quelqu’un d’autre, même brièvement, plusieurs choses échappent au contrôle de tout le monde. Les journaux et les sauvegardes peuvent conserver des copies au-delà du délai promis. Le serveur lui-même peut être piraté. L’outil tourne peut-être sur une infrastructure qui ne lui appartient pas, faisant transiter votre fichier par des espaces de stockage et des files de traitement que personne n’a mentionnés. Un document qui ne quitte jamais un ordinateur portable ne peut pas fuiter dans une faille qui se produit ailleurs.
Pour une photo de vacances, peu importe. Pour un fichier où figurent votre salaire et votre numéro de sécurité sociale, le calcul est différent.
Ce que le RGPD leur demande réellement
Voici la partie que les professionnels oublient parfois. Quand un comptable ou un service RH manipule vos données, le RGPD ne les considère pas comme leur bien personnel dont ils feraient ce qu’ils veulent. Ils traitent des données personnelles pour le compte d’autrui, et cela s’accompagne d’obligations.
Ils sont censés mettre en œuvre des mesures techniques appropriées pour assurer la sécurité de ces données (article 32). Ils sont censés savoir avec qui ils les partagent, et un site PDF quelconque qui reçoit un fichier téléversé est un tiers dans cette chaîne. S’ils transmettent vos données à un sous-traitant, un contrat est censé encadrer cette relation. Et si ce site web subit une fuite, ce sont les personnes dont les bulletins de paie ont été exposés qui en paient le prix, en stress et parfois bien pire.
Téléverser la déclaration fiscale d’un client vers un outil gratuit inconnu pour gagner trente secondes est difficile à concilier avec tout cela. La plupart des professionnels qui le font n’ont tout simplement jamais réfléchi à l’endroit où part le fichier. L’outil leur a fait l’effet d’une calculatrice, pas d’un transfert de données.
La solution : garder le fichier sur l’appareil
Il existe une catégorie d’outils PDF qui fonctionne autrement. Au lieu d’envoyer votre fichier vers un serveur, tout se passe à l’intérieur du navigateur. Le code se télécharge une fois sur l’appareil, votre PDF est ouvert et modifié dans la mémoire même du navigateur, et le fichier terminé est enregistré directement sur la même machine. Le document ne part jamais nulle part.
C’est ainsi que fonctionne reader.me, et c’est pour cela qu’il convient aux documents sensibles. Quand un service de paie utilise notre outil pour fusionner des PDF pour combiner une pile de bulletins, ces fichiers sont traités sur leur ordinateur, dans leur navigateur. Rien ne nous est téléversé, parce qu’il n’y a aucune étape serveur vers laquelle téléverser. Fermez l’onglet, et la mémoire de travail disparaît.
Et vous n’êtes pas obligé de nous croire sur parole. Ouvrez les DevTools du navigateur, allez dans l’onglet Réseau, lancez une fusion et observez : aucune requête ne fait sortir votre fichier. Si le fichier ne figure dans aucun corps de requête, c’est qu’il n’a été envoyé nulle part.
Que faire concrètement
Si vous êtes le professionnel, changez une seule habitude. Avant de déposer le bulletin de paie ou le contrat d’un client dans un outil web, demandez-vous s’il traite dans le navigateur ou sur un serveur. Si vous n’arrivez pas à le dire, faites une fois le test des DevTools et tranchez la question. Choisissez un outil côté client et faites-en votre outil par défaut. C’est de toute façon plus rapide, puisqu’il n’y a pas d’aller-retour de téléversement et de téléchargement, et ça continue de fonctionner quand le Wi-Fi du bureau lâche.
Si vous êtes le client, vous avez le droit de poser des questions. La prochaine fois que votre cabinet comptable ou votre service RH manipule vos documents, demandez-leur comment ils traitent vos PDF et si les fichiers quittent leur ordinateur. Une bonne réponse, c’est « tout reste sur notre machine ». Un haussement d’épaules est un signal qui mérite qu’on insiste. Ce sont votre salaire et votre pièce d’identité qui figurent sur ces pages, et demander où ils vont est une chose parfaitement raisonnable.
Le travail en lui-même est banal. Fusionner quelques fichiers prend quelques secondes. La seule question, c’est de savoir si ces secondes se déroulent sur votre appareil ou sur le serveur d’un inconnu. Et pour un bulletin de paie, c’est une question qui mérite qu’on y réponde correctement.