L'extraction de documents par IA
est-elle conforme au RGPD ? Guide pour les entreprises européennes
Si votre outil d'extraction de documents traite des factures contenant des noms, adresses ou coordonnées bancaires de résidents de l'UE, vous traitez des données personnelles au sens du RGPD — que votre entreprise soit à Berlin ou à Boston. Voici ce qu'exigent les articles 4(2), 28 et 17, et comment vérifier que votre fournisseur d'outils est conforme.
Points clés
- Vous pensez que la conformité RGPD des outils d'extraction de documents se résume à une case à cocher — survoler la politique de confidentialité, confirmer « nous sommes conformes au RGPD », et passer à autre chose.
- Mais l'article 4(2) fait de chaque téléchargement de document une opération de traitement dès qu'une facture contient le nom ou les coordonnées bancaires d'une personne physique. L'article 5(1)(b) interdit à votre fournisseur d'entraîner son IA sur vos documents sans consentement explicite — une clause absente de la plupart des conditions d'utilisation SaaS.
- Votre rôle passe de « trouver un outil qui fonctionne » à « trouver un fournisseur avec un traitement transitoire, pas d'entraînement de modèle, et un DPA couvrant l'extraction de documents ». Ces trois questions posées avant le téléchargement tranchent la conformité avant qu'un seul document ne soit traité.
Ce qu'exige le RGPD pour le traitement de documents
Le Règlement général sur la protection des données (règlement (UE) 2016/679) ne mentionne pas explicitement « l'extraction de documents ». Mais six articles régissent directement la manière dont vous pouvez utiliser un outil d'extraction pour traiter des factures, des fiches de paie ou des contrats contenant des données personnelles. Chacun crée une obligation spécifique — pour vous en tant que responsable du traitement, et pour le fournisseur de l'outil en tant que sous-traitant.
Article 4(2) : Télécharger un document est un « traitement »
Le règlement définit largement le traitement : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » (article 4, paragraphe 2, du RGPD). Si votre outil d'extraction touche ne serait-ce qu'une facture contenant un nom, une adresse, un numéro de compte bancaire ou un numéro d'identification fiscale appartenant à une personne physique, vous traitez des données personnelles au sens de l'article 4, paragraphe 2. Il en va de même pour les fiches de paie (nom du salarié + salaire), les contrats (nom du signataire + pièce d'identité) et les dossiers médicaux. L'ampleur de cette définition est intentionnelle — le téléchargement, la transmission, le stockage et la suppression sont tous des opérations de traitement.
Article 5(1)(b) : Limitation des finalités — Extraction uniquement, pas d'entraînement
L'article 5, paragraphe 1, point b), établit que les données à caractère personnel doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ». Pour l'extraction de documents, c'est la disposition qui sépare les outils conformes des outils non conformes. La finalité du téléchargement d'un document dans un outil d'extraction est d'en extraire des données structurées — cette finalité est légitime. Mais si le fournisseur utilise votre document téléchargé pour entraîner ses modèles d'IA, cela constitue un « traitement ultérieur » au sens de l'article 5, paragraphe 1, point b). À moins que vous n'ayez donné un consentement explicite à cette utilisation d'entraînement, elle est incompatible avec la finalité initiale. Un outil qui traite les documents de manière transitoire — les lit, renvoie les données extraites et supprime les originaux — satisfait naturellement à la limitation des finalités. Un outil qui conserve les documents pour améliorer ses modèles crée une exposition au titre de l'article 5, paragraphe 1, point b).
Article 28 : Vous avez besoin d’un contrat de traitement des données
L’article 28(3) exige que le traitement soit « régi par un contrat ou un autre acte juridique relevant du droit de l’Union ou d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement ». Il s’agit de votre contrat de traitement des données (DPA). Conformément à l’article 28(3)(a) à (h), le DPA doit préciser huit dispositions minimales : le sous-traitant agit uniquement sur instructions documentées (a) ; le personnel est tenu à la confidentialité (b) ; le sous-traitant met en œuvre les mesures de sécurité de l’article 32 (c) ; les sous-traitants ultérieurs nécessitent une autorisation (d) ; le sous-traitant vous aide à répondre aux droits des personnes concernées (e) ; le sous-traitant assiste dans les obligations de sécurité et de notification des violations (f) ; le sous-traitant supprime ou restitue les données à la fin du contrat (g) ; et le sous-traitant permet des audits (h). Si votre prestataire d’extraction ne peut pas produire un DPA contenant ces huit éléments, cela constitue à lui seul une lacune de conformité qui justifie de choisir un autre prestataire.
Article 17 : Le droit à l’effacement
L’article 17(1) accorde aux personnes concernées le droit d’obtenir l’effacement de leurs données à caractère personnel « sans retard excessif » lorsque des motifs s’appliquent — notamment lorsque les données « ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière » (article 17(1)(a)). Pour l’extraction de documents, cela signifie : une fois que vous avez extrait les données nécessaires, le document original et toutes ses copies doivent être supprimés selon un calendrier défini. L’article 17(3)(b) prévoit une exception lorsque le traitement est nécessaire au respect d’une obligation légale — si votre juridiction exige la conservation de copies de factures pour des audits fiscaux, cette conservation est autorisée mais uniquement pour la durée légale et uniquement lorsque les données ne sont pas traitées au-delà de ce qu’exige la loi. Votre outil d’extraction doit offrir une politique de suppression documentée. La meilleure pratique est une rétention nulle par défaut : documents traités de manière transitoire, originaux supprimés de l’infrastructure du prestataire en quelques minutes à quelques heures, pas en jours.
Article 32 : Sécurité du traitement
L'article 32(1) exige des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Pour l'extraction, ce socle inclut le chiffrement en transit (TLS 1.2+), le chiffrement au repos, les contrôles d'accès et des certifications auditées de manière indépendante (SOC 2 Type II, ISO 27001).
Résidence des données et transferts internationaux
Si votre outil d'extraction traite des documents sur des serveurs situés en dehors de l'Espace économique européen, le chapitre V (articles 44 à 49) s'applique. En vertu de l'article 45(1), les données peuvent être transférées vers un pays tiers pour lequel la Commission européenne a rendu une décision d'adéquation. Le Cadre de protection des données UE–États-Unis (DPF), adopté par la décision d'exécution 2023/1795 de la Commission le 10 juillet 2023, est la décision d'adéquation actuelle pour les organisations basées aux États-Unis qui s'auto-certifient. Le 3 septembre 2025, la Cour générale de l'UE a rejeté un recours juridique contre le DPF, confirmant sa validité. Si votre fournisseur traite des données aux États-Unis et détient la certification DPF, cela satisfait à l'article 45.
Pour les transferts vers des pays sans décision d'adéquation, l'article 46(2)(c) prévoit les Clauses contractuelles types (CCT) — des termes contractuels pré-approuvés par la décision d'exécution 2021/914 de la Commission (4 juin 2021). Cependant, l'arrêt Schrems II (CJUE, affaire C-311/18, 16 juillet 2020) a clairement établi que la simple signature des CCT ne suffit pas. Vous devez également réaliser une évaluation d'impact du transfert (EIT) pour déterminer si le cadre juridique du pays de destination compromet les protections des CCT, et mettre en œuvre des mesures supplémentaires le cas échéant. Si votre fournisseur traite des données en dehors de l'EEE, demandez : où sont vos serveurs ? Sur quel mécanisme de transfert vous appuyez-vous ? Pouvez-vous fournir une EIT ? S'il propose un hébergement dans l'UE/EEE, la question de la résidence des données est réglée — pas de transfert international, pas de CCT nécessaires, pas d'EIT requise.
L'article 5(1)(e) ajoute la limitation de conservation : les données à caractère personnel doivent être conservées « pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Une fois l'extraction terminée, la conservation doit suivre un calendrier documenté lié aux délais légaux — et non un stockage indéfini sur les serveurs du fournisseur.
Cet article couvre le règlement lui-même — ce que chaque article exige de vous et de votre fournisseur. Pour un guide complémentaire sur l'audit de vos workflows d'extraction internes par rapport à ces exigences, consultez l'article sur l'audit de sécurité GDPR Batch I-2. Les deux fonctionnent ensemble : comprendre les obligations légales précède l'audit de votre conformité à celles-ci.
Checklist pratique de conformité : 7 étapes pour vérifier votre outil d’extraction
Chaque étape ci-dessous correspond à des articles précis du RGPD, vous permettant de documenter la conformité avec des références réglementaires exactes.
Classifiez les données de vos documents
Identifiez les champs des documents que vous traitez qui constituent des données personnelles au sens de l'article 4, paragraphe 1. Les noms, adresses, numéros de compte bancaire, identifiants fiscaux, identifiants employés et signatures en font partie. Si vos documents en contiennent, le RGPD s'applique au traitement.
Vérifiez que le prestataire n'utilise pas vos données pour l'entraînement
Selon l'article 5, paragraphe 1, point b), si le prestataire entraîne des modèles d'IA sur vos documents téléchargés, il s'agit d'un « traitement ultérieur » incompatible avec la finalité d'extraction, sauf consentement explicite. Obtenez un engagement écrit que vos données ne sont pas utilisées pour l'entraînement — de préférence dans le DPA.
Signez un DPA incluant les huit dispositions de l'article 28, paragraphe 3
Non négociable. Vérifiez que le DPA couvre le scénario de traitement de documents (pas seulement les services SaaS génériques) et inclut les dispositions (a) à (h) spécifiées à l'article 28, paragraphe 3. Si le prestataire ne peut pas fournir de DPA, votre écart de conformité est déjà trop important pour continuer.
Confirmez la localisation du serveur et le mécanisme de transfert
Hébergement dans l'EEE = pas de problème de transfert. Hébergement aux États-Unis = vérifiez la certification DPF sur la liste officielle. Tout autre pays tiers = exigez des CCT et une TIA documentée conformément aux articles 45 et 46.
Vérifiez les certifications de sécurité
Conformément à l'article 32, paragraphe 1, vérifiez le chiffrement en transit (TLS 1.2+), le chiffrement au repos et les certifications auditées de manière indépendante (SOC 2 Type II, ISO 27001). Documentez les certifications de votre prestataire et leur date de dernier audit.
Établissez un calendrier de conservation et de suppression
Conformément à l'article 5, paragraphe 1, point e) et à l'article 17, paragraphe 1, point a), définissez la durée de conservation des téléchargements par le prestataire (quelques minutes à heures, pas des mois) et la durée de conservation des données extraites (conformément aux délais légaux, puis suppression ou anonymisation).
Documenter un processus de demande d'effacement
Si une personne concernée demande l'effacement en vertu de l'article 17(1), vous devez identifier les documents contenant ses données dans votre historique d'extraction, supprimer ou anonymiser ces enregistrements, et confirmer la fin de l'opération dans le délai d'un mois prévu à l'article 12(3). Si vous changez de prestataire, l'ancien prestataire doit supprimer vos documents conformément à l'article 28(3)(g).
Comment l’extraction par IA s’intègre dans un workflow conforme
L’extraction par IA n’est ni conforme ni non conforme en soi — tout dépend de l’architecture de l’outil et des engagements du fournisseur.
Minimisation des données dès la conception
L’article 5(1)(c) exige que les données soient « adéquates, pertinentes et limitées à ce qui est nécessaire ». L’extraction personnalisée par colonne — où vous définissez exactement les champs à extraire (numéro de facture, date, total, nom du fournisseur) et l’IA ne traite que ceux-ci — répond naturellement à ce principe. Les champs jamais demandés ne sont jamais traités, donc jamais stockés. C’est l’inverse de l’approche « tout extraire et filtrer ensuite » qui crée une exposition inutile des données.
Traitement transitoire
Les outils conçus pour un traitement transitoire — documents téléchargés, l’IA les lit, les données sont renvoyées, les originaux supprimés en quelques minutes — satisfont simultanément l’article 5(1)(b) (limitation des finalités), l’article 5(1)(e) (limitation de la conservation) et l’article 17 (droit à l’effacement). Lors de l’évaluation d’outils, l’architecture du fournisseur n’est pas qu’une décision technique : c’est une décision de conformité aux implications réglementaires.
Choix du fournisseur : une décision de conformité
Deux réglementations connexes impactent votre workflow d’extraction. Les obligations de facturation électronique imposent des formats XML structurés — votre outil d’extraction doit coexister avec eux, pas les remplacer. Pour un plan de préparation par étapes, consultez le guide de conformité à la facturation électronique. Les durées légales de conservation définissent combien de temps vous devez conserver les données extraites — voir le guide des obligations de conservation documentaire. Ces trois réglementations — protection des données, facturation électronique et conservation légale — forment le triangle de conformité pour le traitement documentaire en 2026.
Questions fréquentes
Le RGPD s'applique-t-il si je dirige une petite entreprise de moins de 10 salariés ?
Oui. Le RGPD ne prévoit aucune exemption pour les petites entreprises. L'article 3(1) s'applique à tout traitement effectué dans le cadre des activités d'un établissement dans l'UE, quelle que soit sa taille. L'article 30(5) dispense les entreprises de moins de 250 salariés de tenir un registre complet des traitements, mais toutes les obligations substantielles — définitions de l'article 4, principes de l'article 5, exigences de l'article 28 concernant le sous-traitant, droit à l'effacement de l'article 17, sécurité de l'article 32 — s'appliquent à toute entreprise qui traite des données personnelles.
Mes factures ne contiennent que des données d'entreprise, pas de données personnelles. Le RGPD s'applique-t-il quand même ?
Il s'applique très probablement. Une facture d'un travailleur indépendant contient le nom et l'adresse de la personne — des données personnelles au sens de l'article 4(1). Une facture d'une SARL qui mentionne le nom ou l'email direct d'un contact contient également des données personnelles. Un bulletin de paie avec le nom et le salaire d'un employé est par définition une donnée personnelle. Même un bon de commande faisant référence à la signature d'un approbateur entre dans cette catégorie. En pratique, très peu de documents professionnels sont totalement exempts de données personnelles. Si une personne apparaît quelque part — en tant que contact fournisseur, employé, approbateur, signataire — le RGPD s'applique.
Puis-je éviter le RGPD en anonymisant les documents avant l'extraction ?
Le considérant 26 précise que les principes de protection des données ne s'appliquent pas aux informations véritablement anonymes. Cependant, l'étape d'anonymisation elle-même — suppression des noms, masquage des adresses — constitue un traitement au sens de l'article 4(2), et le RGPD s'attache à cette étape. L'anonymisation est une stratégie valable de réduction des risques, mais elle n'élimine pas les obligations qu'elle crée. La plupart des entreprises trouvent plus pratique de recourir à un fournisseur conforme que de construire leur propre pipeline d'anonymisation.
Qu'advient-il de mes données si je change de fournisseur ?
Conformément à l'article 28(3)(g), votre fournisseur actuel doit supprimer ou restituer toutes les données personnelles à la fin du contrat. Demandez une exportation documentée et une confirmation de suppression. L'article 17(1) soutient votre droit à l'effacement de toute donnée encore détenue après la transition. Conservez la confirmation pour vos registres de conformité.
Mon prestataire doit-il me laisser l'auditer ?
L'article 28(3)(h) exige que le sous-traitant « permette et contribue aux audits ». En pratique, peu de fournisseurs SaaS autorisent des audits sur site pour les formules standard. La plupart fournissent des rapports SOC 2 Type II ou des certificats ISO 27001 en remplacement. Vérifiez que la documentation d'audit de votre prestataire couvre vos scénarios de traitement spécifiques — cela satisfait généralement à l'obligation de l'article 28(3)(h).
La conformité RGPD pour l'extraction de documents ne dépend pas de la capacité de l'IA à être conforme — elle dépend de la mise en place par votre fournisseur des bonnes garanties contractuelles, de sécurité et architecturales. L'article 4(2) fait de chaque téléchargement de document une opération de traitement. L'article 28 exige un DPA avec huit dispositions spécifiques. L'article 5(1)(b) interdit l'entraînement de modèle sans base légale. L'article 17 accorde aux personnes concernées un droit à l'effacement. Et le chapitre V régit les transferts transfrontaliers. Chacun de ces points est vérifiable avant votre inscription. La question de la conformité a une réponse avant que vous ne traitiez un seul document — pas après.
Vérifiez votre conformité RGPDGratuit, sans inscription. Documents traités de manière transitoire et non conservés.