RGPD et gestion documentaire : guide de conformité
Guide pratique pour mettre en conformité RGPD votre gestion documentaire : durées de conservation, droits des personnes, AIPD et mesures techniques.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLa gestion documentaire est au coeur de la conformité RGPD. Chaque document collecté par une entreprise -- pièce d'identité, bulletin de salaire, contrat, justificatif de domicile -- contient des données personnelles dont le traitement est encadré par le Règlement européen 2016/679 et la loi Informatique et Libertés (loi n° 78-17 modifiée). En 2025, la CNIL a prononcé plus de 40 sanctions pour des manquements liés à la conservation excessive de documents ou à l'absence de mesures de sécurité adéquates. Ce guide détaille les principes, les durées de conservation, les droits des personnes et les mesures concrètes à mettre en oeuvre pour une gestion documentaire conforme.
Les 7 principes du RGPD appliqués à la gestion documentaire
Le RGPD repose sur sept principes fondamentaux qui s'appliquent directement à la collecte, au traitement et à la conservation des documents. Comprendre leur traduction concrète dans un contexte de gestion documentaire est indispensable avant toute mise en conformité.
| Principe RGPD | Article | Application à la gestion documentaire |
|---|---|---|
| Licéité, loyauté, transparence | Art. 5.1.a | Chaque collecte de document repose sur une base légale identifiée (obligation légale, contrat, intérêt légitime) et la personne est informée |
| Limitation des finalités | Art. 5.1.b | Un bulletin de salaire collecté pour la paie ne peut pas être réutilisé pour du marketing interne |
| Minimisation des données | Art. 5.1.c | Ne collecter que les documents strictement nécessaires : un RIB suffit pour un virement, pas une copie de carte bancaire |
| Exactitude | Art. 5.1.d | Les documents périmés (pièce d'identité expirée, Kbis de plus de 3 mois) doivent être mis à jour ou supprimés |
| Limitation de la conservation | Art. 5.1.e | Chaque type de document a une durée de conservation maximale, au-delà de laquelle il doit être purgé |
| Intégrité et confidentialité | Art. 5.1.f | Les documents sont chiffrés, l'accès est restreint aux personnes habilitées, les transferts sont sécurisés |
| Responsabilité (accountability) | Art. 5.2 | L'entreprise doit pouvoir démontrer sa conformité : registre des traitements, politique de conservation, traces d'audit |
La CNIL rappelle régulièrement que le non-respect de ces principes constitue le fondement de la majorité des sanctions prononcées. Le principe de minimisation est celui qui pose le plus de difficultés pratiques aux entreprises, notamment dans les processus KYC où la tentation de "tout collecter par précaution" est forte.
Pour une application spécifique aux documents d'identité, consultez notre guide RGPD et documents d'identité.
Durées de conservation par type de document
La définition des durées de conservation est l'une des obligations les plus concrètes du RGPD. La CNIL a publié des référentiels de durée de conservation qui servent de référence aux entreprises françaises. Au-delà de la durée active, les documents peuvent être archivés en base intermédiaire pour répondre à des obligations légales, avant suppression définitive.
| Type de document | Base légale | Durée de conservation recommandée | Réglementation applicable |
|---|---|---|---|
| Pièce d'identité (copie) | Obligation légale (KYC) ou intérêt légitime | 5 ans maximum après la fin de la relation commerciale | Art. L561-12 CMF, recommandation CNIL |
| Bulletin de salaire | Obligation légale (employeur) | 5 ans (base active) puis archivage 50 ans (contentieux) | Art. L3243-4 Code du travail |
| Contrat de travail | Exécution du contrat | 5 ans après la fin du contrat | Art. 2224 Code civil |
| Contrat commercial | Exécution du contrat | 10 ans à compter de la clôture de l'exercice | Art. L123-22 Code de commerce |
| Justificatif de domicile | Intérêt légitime | Durée de la relation + 1 an maximum | Recommandation CNIL |
| Factures | Obligation légale (comptabilité) | 10 ans à compter de la clôture de l'exercice | Art. L123-22 Code de commerce |
| Documents bancaires (RIB) | Exécution du contrat | Durée de la relation + 5 ans (prescription) | Art. L561-12 CMF |
| Dossier médical d'entreprise | Obligation légale | 50 ans après la dernière visite | Art. R4624-45-4 Code du travail |
La règle des trois bases de conservation
La CNIL distingue trois phases de conservation. La base active correspond à la durée pendant laquelle le document est nécessaire au traitement courant. La base intermédiaire couvre la période où le document n'est plus utilisé mais doit être conservé pour des raisons légales (prescription, contrôle fiscal). La base d'archivage définitif ne concerne que les documents à valeur historique ou scientifique.
La mise en oeuvre pratique de ces durées nécessite un système de gestion documentaire capable de déclencher automatiquement la purge ou l'archivage à l'échéance. Une solution de validation documentaire automatisée permet d'horodater chaque collecte et de programmer les suppressions.
Droits des personnes concernées en gestion documentaire
Le RGPD confère aux personnes dont les données sont traitées un ensemble de droits que l'entreprise doit pouvoir satisfaire dans un délai d'un mois. Dans le contexte de la gestion documentaire, ces droits ont des implications pratiques spécifiques.
Droit d'accès (article 15)
Toute personne peut demander à l'entreprise de lui communiquer l'ensemble des documents la concernant. L'entreprise doit être en mesure d'identifier et d'extraire tous les documents associés à un individu, quelle que soit leur localisation (GED, boîtes mail, archives physiques). La CNIL considère que l'absence de capacité technique à satisfaire ce droit constitue un manquement à l'obligation de sécurité.
Droit à l'effacement (article 17)
La personne peut demander la suppression de ses documents, sauf lorsqu'une obligation légale impose leur conservation. En pratique, si un client demande la suppression de sa copie de carte d'identité collectée dans le cadre d'un KYC bancaire, l'entreprise peut refuser pendant la durée de conservation légale (5 ans), mais doit supprimer le document dès l'expiration de ce délai.
Droit à la portabilité (article 20)
Ce droit permet à la personne de récupérer ses documents dans un format structuré et lisible par machine. Pour les documents scannés, cela implique de fournir les fichiers dans un format standard (PDF, JPEG) accompagnés des métadonnées associées.
L'automatisation de ces processus est indispensable à l'échelle. Découvrez comment structurer votre conformité documentaire globale.
Analyse d'impact (AIPD) pour la vérification documentaire
L'analyse d'impact relative à la protection des données (AIPD) est obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste des traitements nécessitant une AIPD, qui inclut explicitement les traitements de vérification d'identité à grande échelle.
Quand une AIPD est-elle requise
Une AIPD est requise dès lors que le traitement documentaire présente au moins deux des critères suivants : traitement à grande échelle, données sensibles (biométrie, pièces d'identité), surveillance systématique, croisement de données, personnes vulnérables. En pratique, toute entreprise qui vérifie l'identité de plus de quelques centaines de personnes par an doit conduire une AIPD.
Méthodologie en quatre étapes
La méthodologie recommandée par la CNIL se décompose en quatre étapes. Premièrement, la description du traitement : quels documents sont collectés, par qui, pour quelle finalité, avec quels outils. Deuxièmement, l'évaluation de la nécessité et de la proportionnalité : les documents collectés sont-ils tous indispensables, les durées de conservation sont-elles justifiées. Troisièmement, l'évaluation des risques : quelles sont les menaces (fuite de données, accès non autorisé, perte) et leurs impacts sur les personnes. Quatrièmement, les mesures d'atténuation : chiffrement, pseudonymisation, contrôle d'accès, formation des équipes.
Le DPO (délégué à la protection des données) doit être consulté systématiquement lors de la réalisation de l'AIPD. Si le risque résiduel reste élevé après la mise en place des mesures, l'entreprise doit consulter la CNIL avant de mettre en oeuvre le traitement.
Mesures techniques et organisationnelles
Le RGPD exige la mise en place de mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles contenues dans les documents. Ces mesures doivent être proportionnées au risque et documentées dans le registre des traitements.
Chiffrement et contrôle d'accès
Le chiffrement des documents au repos (AES-256) et en transit (TLS 1.3) constitue le socle technique minimal. Découvrez notre approche de la sécurité pour en savoir plus sur les standards que nous appliquons. Le contrôle d'accès basé sur les rôles (RBAC) garantit que seules les personnes habilitées accèdent aux documents : un gestionnaire RH accède aux bulletins de salaire, mais pas aux dossiers KYC du service conformité.
L'authentification multifacteur (MFA) est recommandée pour l'accès aux systèmes de gestion documentaire contenant des données sensibles. La CNIL considère que l'absence de MFA pour des traitements à risque élevé constitue un manquement à l'article 32 du RGPD.
Pistes d'audit et traçabilité
Chaque accès, modification ou suppression de document doit être tracé dans un journal d'audit horodaté et infalsifiable. Ces traces permettent de démontrer la conformité en cas de contrôle et de détecter les accès non autorisés. Le journal d'audit doit inclure l'identité de l'utilisateur, l'action réalisée, l'horodatage et le document concerné.
Anonymisation et pseudonymisation
Lorsque les documents ne sont plus nécessaires dans leur forme complète, la pseudonymisation (remplacement des identifiants directs par des codes) ou l'anonymisation (suppression irréversible de tout élément identifiant) permettent de conserver les données à des fins statistiques ou analytiques tout en respectant le principe de minimisation.
Pour les entreprises du secteur financier, ces mesures s'inscrivent dans un cadre plus large de conformité. Découvrez nos solutions pour le financement et le leasing.
Formation et sensibilisation
Les mesures techniques sont inutiles sans une culture de la protection des données au sein de l'organisation. La formation des collaborateurs manipulant des documents personnels doit couvrir les principes du RGPD, les procédures internes de conservation et de destruction, et les réflexes en cas de violation de données (notification à la CNIL sous 72 heures).
Questions fréquentes
Faut-il nommer un DPO pour gérer des documents contenant des données personnelles
La désignation d'un DPO est obligatoire pour les organismes publics et les entreprises dont l'activité de base consiste en un suivi régulier et systématique des personnes à grande échelle, ou en un traitement à grande échelle de données sensibles. En pratique, toute entreprise qui traite régulièrement des pièces d'identité dans le cadre de ses activités KYC ou RH devrait disposer d'un DPO, même si la désignation n'est pas juridiquement obligatoire.
Combien de temps peut-on conserver une copie de carte d'identité
La CNIL recommande une durée maximale de 5 ans après la fin de la relation commerciale pour les copies de pièces d'identité collectées dans le cadre d'obligations légales (KYC, LCB-FT). En l'absence d'obligation légale spécifique, la durée doit être limitée au strict nécessaire et ne peut excéder la durée de la relation contractuelle augmentée du délai de prescription applicable.
Que faire en cas de fuite de documents contenant des données personnelles
En cas de violation de données, le responsable de traitement doit notifier la CNIL dans un délai de 72 heures à compter de la découverte de l'incident. Si la violation est susceptible d'engendrer un risque élevé pour les personnes concernées, celles-ci doivent également être informées sans délai injustifié. L'entreprise doit documenter l'incident, ses conséquences et les mesures correctives dans un registre des violations.
Le RGPD s'applique-t-il aux documents papier
Le RGPD s'applique à tout traitement de données personnelles, y compris les fichiers papier structurés (dossiers classés par nom, par numéro de client). Les archives papier sont soumises aux mêmes règles de conservation, d'accès et de destruction que les documents numériques. La destruction doit être réalisée par broyage (coupe croisée, norme DIN 66399 niveau P-4 minimum).
Comment automatiser la purge des documents périmés
Un système de gestion documentaire conforme doit intégrer un moteur de règles de conservation qui associe chaque type de document à une durée de conservation. À l'échéance, le système déclenche une suppression automatique ou alerte le responsable pour validation. Cette automatisation est la seule manière fiable de garantir le respect du principe de limitation de la conservation à l'échelle.
Structurer sa conformité documentaire
La mise en conformité RGPD de la gestion documentaire n'est pas un projet ponctuel mais un processus continu. Commencez par auditer vos traitements documentaires existants, définissez vos durées de conservation en vous appuyant sur les référentiels CNIL, et mettez en place les mesures techniques proportionnées aux risques identifiés.
Pour une vision complète de la conformité documentaire au-delà du RGPD, consultez notre guide complet de conformité documentaire. Si vous avez des questions spécifiques sur la mise en conformité de vos processus, n'hésitez pas à nous contacter pour un échange avec nos équipes. Retrouvez également l'ensemble de nos articles sur la conformité et la protection des données sur notre blog.