FabriqueFabrique
Créer mon compte
Tous les articles

7 juillet 2026 · 8 min de lecture

RGPD et collecte de documents clients : ce qu'il faut savoir

Un cabinet qui collecte des documents auprès de ses clients — bulletins de salaire, pièces d'identité, relevés bancaires, avis d'imposition — traite des données personnelles au sens du RGPD, parfois sensibles. Cette collecte n'échappe à aucune des obligations qui pèsent sur tout traitement de données : base légale, minimisation, durée de conservation, sécurisation et respect des droits des personnes concernées.

Voici les principes RGPD à connaître pour sécuriser sa collecte de documents : la base légale du traitement, ce que signifie réellement minimiser sa demande, combien de temps conserver chaque type de pièce, comment les sécuriser, quels droits le client conserve, et pourquoi le prestataire qui héberge ces documents doit être considéré comme un sous-traitant à part entière.

La base légale : exécution du contrat ou obligation légale

Chaque document demandé à un client doit pouvoir se rattacher à une base légale précise. Dans la majorité des cas d'un cabinet de conseil, courtier ou expert-comptable, deux bases légales couvrent l'essentiel des situations : l'exécution du contrat qui lie le cabinet à son client (les pièces nécessaires pour réaliser la mission convenue) et le respect d'une obligation légale (les pièces que le cabinet doit lui-même conserver ou transmettre à l'administration, par exemple dans le cadre d'obligations comptables, fiscales ou de vigilance).

En pratique, cette base légale doit pouvoir être expliquée simplement au client si celui-ci s'interroge sur la raison d'une demande — un principe de transparence qui rejoint directement celui de minimisation.

Le principe de minimisation : ne demander que le nécessaire

Le RGPD impose de ne collecter que les données strictement nécessaires à la finalité poursuivie. Concrètement, cela signifie qu'un cabinet ne doit pas réclamer « par sécurité » une pièce qui ne sert à aucune étape identifiée de la mission — par exemple l'ensemble des relevés bancaires d'un compte personnel quand seuls ceux d'un compte professionnel sont utiles.

Ce principe protège autant le client que le cabinet : moins un cabinet détient de données sensibles sans usage direct, moins il porte de responsabilité en cas d'incident de sécurité.

La durée de conservation : variable selon la nature du document

Il n'existe pas de durée de conservation unique pour l'ensemble des documents clients : elle dépend de la nature de la pièce et des obligations légales qui s'y attachent. Les pièces comptables et fiscales, par exemple, relèvent généralement d'une durée de conservation de l'ordre de dix ans compte tenu des obligations du code de commerce et des délais de reprise administrative — un point à valider au cas par cas selon le type précis de document, la réglementation pouvant évoluer.

À l'inverse, des pièces sensibles comme une copie de pièce d'identité ne doivent pas être conservées indéfiniment une fois la mission ou l'obligation qui la justifiait terminée. Une bonne pratique consiste à définir, pour chaque catégorie de document, une durée de conservation explicite plutôt que de tout garder « au cas où ».

La sécurisation des documents collectés

Au-delà de la durée, le RGPD impose de sécuriser les données proportionnellement aux risques qu'elles représentent. Pour des documents clients, cela recouvre en particulier le chiffrement des données, un hébergement situé dans l'Union européenne pour limiter les transferts hors UE, et des accès restreints et tracés — seules les personnes qui en ont l'usage doivent pouvoir consulter un document, et chaque consultation doit pouvoir être retracée.

  • Chiffrement des données au repos et en transit
  • Hébergement dans l'Union européenne
  • Accès restreints par rôle, et journalisés
  • Suppression maîtrisée des documents en fin de durée de conservation

Les droits que le client conserve sur ses documents

Le client dont les documents sont collectés reste titulaire de plusieurs droits garantis par le RGPD : le droit d'accès (savoir quelles données sont détenues et à quelle fin), le droit de rectification (corriger une information inexacte) et le droit à l'effacement, qui s'exerce dans la limite des obligations légales de conservation propres au cabinet — un cabinet ne peut pas supprimer une pièce qu'il doit encore conserver au titre d'une obligation légale, mais doit pouvoir expliquer pourquoi.

Ces droits doivent pouvoir s'exercer simplement, sans que le client ait besoin de connaître le détail du règlement pour formuler sa demande.

Le prestataire de collecte, un sous-traitant au sens du RGPD

Dès lors qu'un cabinet utilise un outil ou une plateforme pour collecter les documents de ses clients, ce prestataire traite des données personnelles pour son compte : il est un sous-traitant au sens du RGPD, et non un simple fournisseur logiciel. Cela implique l'existence d'un accord de traitement des données (DPA, data processing agreement), qui encadre précisément ce que le prestataire peut faire des données, où elles sont hébergées, et dans quelles conditions elles sont supprimées.

Un cabinet qui confie sa collecte à un outil sans DPA en bonne et due forme reste responsable, en tant que responsable de traitement, d'un maillon qu'il ne maîtrise pas contractuellement — un point à vérifier avant de choisir un outil, au même titre que ses fonctionnalités.

Email contre portail sécurisé : deux niveaux de risque très différents

Comparé à un portail sécurisé, l'email présente des faiblesses structurelles du point de vue RGPD. Les pièces jointes s'accumulent dans des boîtes de réception non chiffrées, partagées par plusieurs collaborateurs, sans traçabilité de qui a consulté quoi ni depuis quand un document est conservé. Purger une pièce d'identité envoyée par email des années plus tôt suppose de la retrouver dans des dizaines de boîtes et de corbeilles — en pratique, c'est rarement fait, et la donnée traîne indéfiniment.

Un portail sécurisé, à l'inverse, centralise les pièces à un seul endroit, avec un accès tracé et une suppression qui s'applique réellement, en un geste, à l'ensemble du dossier. Ce n'est pas qu'une question de confort : c'est une réduction concrète de la surface de risque en cas de contrôle ou d'incident.

Sécuriser sa collecte sans réécrire ses process

Un cabinet n'a pas à devenir spécialiste du RGPD pour sécuriser sa collecte de documents : les principes de base — minimiser la demande, définir une durée de conservation par type de pièce, héberger en Europe, tracer les accès — peuvent s'appliquer sans bouleverser l'organisation existante.

C'est le sens du portail de collecte proposé par Fabrique : hébergement des documents dans l'Union européenne, accès par lien sécurisé plutôt que par pièce jointe qui circule, et suppression centralisée d'un dossier complet en un geste. Ce sont des garanties de fonctionnement, pas une certification en tant que telle — le RGPD reste avant tout une organisation et des choix que le cabinet doit porter lui-même, y compris dans le choix et le contrat de ses prestataires.

Questions fréquentes

Sur quelle base légale un cabinet peut-il demander des documents à un client ?
En général, deux bases légales couvrent l'essentiel des cas : l'exécution du contrat qui lie le cabinet à son client, pour les pièces nécessaires à la mission, et le respect d'une obligation légale, pour les pièces que le cabinet doit lui-même conserver ou transmettre à l'administration.
Combien de temps conserver les documents d'un client ?
Cela dépend du type de document : les pièces comptables et fiscales relèvent généralement d'une durée de conservation de l'ordre de dix ans, tandis que des pièces sensibles comme une copie de pièce d'identité ne doivent pas être conservées indéfiniment une fois leur usage terminé. À vérifier au cas par cas selon la nature exacte du document.
Un outil de collecte de documents est-il un sous-traitant RGPD ?
Oui, dès lors qu'il traite des données personnelles pour le compte du cabinet. Cela suppose un accord de traitement des données (DPA) qui encadre l'hébergement, l'usage et la suppression des données par ce prestataire.
Pourquoi un portail sécurisé est-il préférable à l'email pour collecter des documents ?
Parce qu'il centralise l'accès (tracé et restreint), permet une suppression réelle et complète d'un dossier, et limite la dispersion des pièces dans des boîtes de réception non chiffrées où elles s'accumulent sans contrôle.

Pour aller plus loin

Votre prochain dossier peut être complet sans un seul email.