Skip to content
reader.me

RGPD et documents : ce que dit la loi sur le téléversement de PDF

Téléverser un PDF contenant des données personnelles vers un outil cloud peut déclencher des obligations RGPD. Ce qui compte comme traitement, qui est le sous-traitant, et pourquoi le local l'emporte.

AG Antonia González · 23 juin 2026 · 7 min de lecture

Vous glissez une facture dans un outil en ligne gratuit pour la réduire. Elle comporte le nom d’un client, une adresse, peut-être un numéro de TVA. Cinq secondes plus tard, vous avez un fichier plus léger et vous passez à autre chose. Est-ce que quelque chose de juridique vient de se produire ?

Au regard du RGPD, c’est fort possible. Et la plupart des gens n’y pensent jamais, parce que le document avait l’air anodin et l’outil avait l’air gratuit.

Ceci n’est pas un conseil juridique. Je ne suis pas votre avocate et chaque situation a ses propres subtilités. Mais il vaut la peine de comprendre la logique de ces règles, car elle change la façon dont vous devriez traiter des documents contenant les données d’autres personnes.

Ce que le RGPD appelle « traitement »

On suppose souvent que le RGPD concerne les bases de données et les fichiers marketing. La définition réelle est bien plus large. Un traitement, c’est à peu près tout ce que vous faites avec des données personnelles : les collecter, les conserver, les consulter, les modifier, les partager, les supprimer. Le règlement cite littéralement la « consultation » et l’« utilisation » comme des formes de traitement.

Donc, dès que votre PDF contient des données personnelles (un nom accompagné d’un numéro de téléphone suffit déjà) et que vous faites quelque chose avec ce fichier, vous traitez des données personnelles. Le compresser compte. Le fusionner compte. Le convertir compte.

Cela seul ne pose pas problème. Les entreprises traitent des données personnelles à longueur de journée. La question que pose le RGPD, c’est comment vous le faites, et qui d’autre touche aux données en chemin.

Pourquoi le téléversement fait entrer en jeu un « sous-traitant »

C’est là que l’aspect cloud entre en scène. Quand vous téléversez cette facture vers un service externe, le fichier échappe à votre contrôle et atterrit sur les serveurs de quelqu’un d’autre. Cette entreprise traite désormais les données personnelles pour votre compte. Le RGPD lui donne un nom : un sous-traitant. Et vous, qui avez décidé de faire cela, êtes le responsable du traitement.

Dès qu’un sous-traitant entre en jeu, le responsable du traitement contracte de vraies obligations. La principale, c’est l’article 28 : vous devez disposer d’un contrat écrit avec ce sous-traitant, souvent appelé accord de traitement des données (DPA). Il doit préciser ce qu’il peut faire des données, comment il les protège, quand il les supprime, et s’il peut les confier à quelqu’un d’autre.

Arrêtez-vous un instant et pensez à l’outil PDF gratuit que vous avez utilisé le mois dernier. Avez-vous signé un DPA avec eux ? Avez-vous vérifié où se trouvent leurs serveurs ? Avez-vous regardé qui sont leurs sous-traitants ultérieurs ? Presque certainement pas. Vous avez téléversé un fichier contenant les données personnelles d’autrui vers une entreprise avec laquelle vous n’avez aucun contrat. C’est là que se trouve la faille.

Le piège du transfert international

Cela se complique encore quand les serveurs se trouvent hors de l’UE. Envoyer des données personnelles vers un prestataire situé dans un autre pays constitue un transfert, et le RGPD les encadre. Il vous faut une base juridique valable, comme les clauses contractuelles types ou une décision d’adéquation pour ce pays.

La plupart des outils gratuits ne vous disent pas où ils tournent. Le fichier pourrait être traité dans un centre de données sur un autre continent, passé dans une file d’attente, mis en cache dans un espace de stockage, sans aucun moyen pour vous de le savoir. Pour une photo de vacances personnelle, aucun souci. Pour un contrat rempli de données clients, vous venez de réaliser discrètement un transfert international que vous ne pouvez pas documenter.

La minimisation, ce principe que tout le monde oublie

Le RGPD comporte un principe appelé minimisation des données. Vous ne devriez traiter que les données personnelles dont vous avez réellement besoin, de la manière la moins intrusive. Il existe aussi un principe cousin : pensez à la vie privée quand vous concevez un processus, pas après coup.

Appliquez cela à une tâche simple comme la compression d’un PDF. Avez-vous besoin d’envoyer le contrat d’un client vers un serveur tiers pour le rendre plus léger ? Non. La compression peut se faire sur votre propre machine. L’envoyer à l’extérieur ajoute un sous-traitant, un contrat que vous n’avez pas, et peut-être un transfert que vous ne pouvez pas justifier, le tout pour un simple changement de taille de fichier. C’est l’exact opposé de la minimisation.

Pourquoi le traitement local élimine l’essentiel du problème

Voici ce qui réduit considérablement l’ampleur du problème. Si le fichier ne quitte jamais votre appareil, aucun tiers ne le traite. Pas de sous-traitant, donc aucun contrat au titre de l’article 28 à courir après. Rien ne franchit de frontière, donc aucun transfert à justifier. Vous restez le responsable du traitement, vous devez toujours à la personne concernée le soin habituel, mais une grande partie de la paperasse ne s’applique tout simplement pas, parce que personne d’autre n’a touché aux données.

C’est l’idée qui sous-tend les outils qui s’exécutent entièrement dans votre navigateur. Le code fait le travail en local, dans la mémoire de votre ordinateur, et votre PDF reste sur place. C’est ainsi que nous avons conçu reader.me. Quand vous compressez un PDF, le fichier est traité dans votre navigateur et n’atteint jamais aucun de nos serveurs. Ouvrez les DevTools de votre navigateur, surveillez l’onglet Réseau, et vous pourrez confirmer que rien contenant votre document ne sort.

Étapes pratiques pour les entreprises et les indépendants

Quelques habitudes pour rester du bon côté des choses :

  • Traitez tout document comportant des noms, des numéros d’identification ou des coordonnées comme des données personnelles. Factures, contrats, CV et formulaires médicaux en font tous partie.
  • Avant de téléverser quoi que ce soit vers un outil cloud, demandez-vous qui est le sous-traitant. Pas de DPA, pas de réponse claire sur l’emplacement des serveurs ? N’y faites pas passer de données clients.
  • Par défaut, privilégiez les outils locaux pour les tâches courantes comme compresser, fusionner ou découper. Si ça peut tourner dans votre navigateur, il n’y a aucun sous-traitant à vérifier.
  • Tenez un bref registre des services qui touchent à des données personnelles. Le RGPD attend de toute façon des responsables du traitement qu’ils le sachent.
  • Quand vous avez réellement besoin d’un service cloud, choisissez-en un qui propose un vrai DPA et vous indique où vivent les données.

Les règles paraissent lourdes, mais la solution du quotidien est légère. La plupart des tâches PDF n’ont besoin d’aucun serveur. Gardez le fichier sur votre machine, et l’essentiel du poids juridique ne retombe jamais sur vous.