PDFly
Retour au blog

PDF et RGPD : ce que vos outils américains ne disent pas (vraiment)

Le Cloud Act, les Standard Contractual Clauses, le Schrems II : pourquoi un PDF traité par un service US n'est jamais 100 % conforme RGPD, expliqué simplement.

06 mai 20264 min de lecturePar PDFly

Si vous gérez des PDF qui contiennent des données personnelles — contrats salariés, dossiers clients, factures avec numéros de SIRET, devis avec coordonnées bancaires — la question de la conformité RGPD n'est pas optionnelle.

Et la réponse est plus complexe que le badge "RGPD compliant" affiché par tous les services en ligne. Voilà ce que les outils américains ne mentionnent généralement pas dans leur communication.

Le RGPD ne s'applique pas où sont vos données — il s'applique à qui les traite

Premier point souvent mal compris : le RGPD s'applique à toute entreprise qui traite des données de citoyens européens, peu importe où l'entreprise est située. iLovePDF, SmallPDF et Adobe sont tous tenus de respecter le RGPD pour leurs utilisateurs européens.

Donc oui, ils sont "conformes RGPD". Ce n'est pas faux — c'est juste insuffisant dès qu'il y a un transfert de données vers les États-Unis.

Schrems II : la décision qui a tout changé en 2020

En juillet 2020, la Cour de Justice de l'Union Européenne a invalidé le Privacy Shield, l'accord qui encadrait les transferts de données entre l'UE et les États-Unis. La raison ? Les programmes de surveillance américains (FISA 702, Executive Order 12333) permettent aux agences de renseignement US d'accéder aux données européennes hébergées sur le sol américain, sans recours juridique pour les Européens concernés.

Concrètement, Schrems II signifie qu'un transfert de données personnelles vers les États-Unis n'est légal que si :

  1. Le destinataire offre des garanties supplémentaires (chiffrement de bout en bout, anonymisation préalable, etc.)
  2. Le contrôleur européen a évalué les risques au cas par cas
  3. Les autorités US ne peuvent pas accéder aux données

Aucun service PDF SaaS américain ne remplit ces conditions à 100 %. Ils utilisent les Standard Contractual Clauses (SCC), qui sont une béquille juridique fragile déjà mise à mal par plusieurs autorités de contrôle européennes (CNIL, DSB autrichienne, etc.).

Le CLOUD Act : la cerise sur le gâteau

Voté en 2018, le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) permet à n'importe quelle agence fédérale américaine de demander à toute entreprise sous juridiction US — y compris ses filiales européennes — de fournir des données stockées n'importe où dans le monde, sans information de l'utilisateur.

Quelles entreprises sont concernées ?

  • iLovePDF (siège : Barcelone, mais infrastructure AWS/CloudFront US)
  • Adobe (siège : San Jose, Californie)
  • SmallPDF (siège : Zurich, mais propriété d'AnyDesk depuis 2024 — situation à vérifier régulièrement)
  • Tous les services qui s'appuient sur AWS, Google Cloud, Azure pour leur infrastructure

Pour un PDF anodin, ce n'est pas un risque concret. Pour un dossier RH, un contrat commercial, ou un document juridique, vous transmettez à une juridiction étrangère sans le savoir.

Que dit la CNIL ?

La CNIL française publie depuis 2022 des recommandations sur les transferts de données vers les États-Unis. Elle invite explicitement les organismes publics et les entreprises sensibles (santé, finance, juridique) à privilégier des solutions européennes lorsque c'est possible.

"Pour les transferts à risque, la souveraineté numérique européenne doit primer sur la facilité d'usage." — CNIL, 2023

Comment savoir si un service est vraiment souverain ?

Cinq questions à poser à votre outil PDF actuel :

  1. Où sont physiquement hébergées les données ? (pays + ville si possible)
  2. L'entreprise mère est-elle sous juridiction US, UK ou autre pays tiers ?
  3. Quel est le sous-traitant cloud ? AWS, GCP, Azure, OVH, Scaleway, Hetzner ?
  4. Y a-t-il un DPO européen joignable et identifiable ?
  5. Quelle est la durée de rétention exacte des fichiers uploadés ?

Pour PDFly, les réponses sont :

  1. Belgique et Pays-Bas (serveurs Hostinger en UE)
  2. Belgique uniquement (entreprise mère ReDesign)
  3. Pas de cloud US — VPS dédié hébergé sur Hostinger NL/BE
  4. Oui — contact direct via info@redesignapp.be
  5. 0 secondes pour les outils gratuits (rien n'est uploadé), immédiat après traitement pour les fonctions Premium

L'argument "navigateur" change la donne

Une grande partie des outils PDF de PDFly fonctionne entièrement dans votre navigateur, grâce aux librairies modernes (pdf-lib, WebAssembly). Vos fichiers ne quittent jamais votre machine.

Cela règle élégamment toute la question RGPD pour ces opérations : il n'y a pas de transfert de données à protéger, donc ni Cloud Act, ni Schrems II, ni SCC à invoquer. Vous conservez la totalité de la chaîne de traitement.

C'est d'ailleurs le modèle que la Commission européenne pousse via son projet Gaia-X : la souveraineté commence par la décentralisation.

En pratique, comment migrer ?

Si vous utilisez aujourd'hui un service PDF US et que vous voulez tester l'alternative :

  1. Identifiez vos opérations sensibles : quelles tâches PDF traitent des données personnelles ou confidentielles ?
  2. Testez l'outil européen pour ces tâches d'abord (fusion, compression, signature)
  3. Conservez le service US pour le non-sensible si nécessaire (comme un document marketing public)
  4. Documentez le changement dans votre registre des traitements RGPD

PDFly couvre 90 % des besoins courants gratuitement, et les conversions Office / OCR / PDF/A en Premium à 4,99 €/mois — soit moins cher que le service US que vous remplacez, sans engagement, sans Cloud Act, sans transfer extra-européen.

Comparer PDFly aux concurrents en détail ou tester les outils gratuits maintenant.

Outils mentionnés