RGPD et collecte de documents clients : ce que vous risquez vraiment en passant par Gmail

Il y a une scène qui se reproduit dans presque tous les cabinets comptables de France, plusieurs fois par semaine.

Vous envoyez un email à un client. Vous lui demandez ses trois derniers bulletins de salaire, son avis d'imposition, et une copie de sa pièce d'identité. Il vous répond avec les fichiers en pièce jointe. Vous téléchargez tout, vous rangez ça dans un dossier, et vous passez à la suite.

Ça fonctionne. Ça a toujours fonctionné. Et c'est exactement le problème.

Ce qui se passe réellement quand vous envoyez cet email

Concrètement, voilà ce qui se produit dans ce scénario banal : des données personnelles sensibles au sens du RGPD circulent entre deux boîtes mail, sans chiffrement de bout en bout, sans contrat de traitement de données signé, sans consentement formalisé de votre client sur la manière dont vous allez stocker et traiter ses informations.

Les bulletins de salaire, les avis d'imposition, les pièces d'identité, ce sont exactement les catégories de données que le RGPD qualifie de sensibles, et qui appellent un niveau de protection supérieur. Pas parce que la loi est tatillonne. Parce que ce sont des données qui, si elles tombent entre de mauvaises mains, causent des dommages réels à des personnes réelles.

Or l'email, par défaut, n'est pas chiffré de bout en bout. Un message Gmail en transit n'est pas protégé de la même façon qu'un coffre-fort numérique. Et les pièces jointes restent dans les boîtes des deux côtés, indéfiniment, sans aucune politique de rétention.

Ce que dit le RGPD, sans jargon inutile

Trois articles suffisent à comprendre pourquoi cette pratique pose problème.

L'article 5 pose le principe de base : les données personnelles doivent être traitées de façon licite, loyale et transparente. Utiliser Gmail comme canal de transmission de documents sensibles clients, sans cadre contractuel ni information claire, ne satisfait pas à ce principe.

L'article 28 est celui que la plupart des cabinets ignorent complètement. Il impose que tout sous-traitant qui traite des données pour votre compte fasse l'objet d'un contrat de traitement de données. Google Workspace for Business a un tel contrat (un DPA) disponible et signable. Gmail en version personnelle, non. Si votre client vous envoie ses documents sur votre adresse Gmail personnelle, ou si vous en avez une à usage professionnel non encadrée contractuellement, vous êtes hors conformité sur ce point précis.

L'article 32 exige des mesures de sécurité techniques et organisationnelles appropriées au risque. L'email non chiffré ne constitue pas une mesure de sécurité appropriée pour transmettre une pièce d'identité ou un bulletin de salaire.

Ce n'est pas une interprétation agressive du texte. C'est la lecture standard.

L'échelle des risques réels

Bon, parlons de ce qui arrive vraiment en pratique.

Le risque le plus probable n'est pas une descente de la CNIL dans votre cabinet. C'est un client mécontent qui dépose une plainte. Il n'a pas besoin de prouver qu'il a subi un préjudice. Il lui suffit de signaler une pratique qui lui semble non conforme. La CNIL a l'obligation de traiter les plaintes.

À partir de là, la séquence est connue : instruction du dossier, puis, si la violation est avérée, une mise en demeure formelle. Vous avez alors un délai pour vous mettre en conformité. Si vous ne le faites pas, ou si la violation est jugée sérieuse, la CNIL peut prononcer une sanction publique, une amende, ou les deux.

Les montants maximum, 20 millions d'euros ou 4 % du chiffre d'affaires mondial, sont conçus pour les grands groupes. Pour un cabinet de taille humaine, ils ne s'appliquent pas à cette échelle. La CNIL module ses sanctions. Mais elle a déjà sanctionné des structures de petite taille pour des violations de ce type : des médecins, des professionnels libéraux, des PME françaises qui transmettaient des données personnelles sans encadrement ni sécurité adéquate.

Ce qui tue un petit cabinet dans ce scénario, ce n'est pas l'amende. C'est la décision publique. Le communiqué sur le site de la CNIL. Le client qui cherche votre nom en ligne et tombe dessus.

La réputation, dans ce métier, se construit sur des années et se détruit en une matinée.

Pourquoi "j'utilise Google Workspace" ne règle pas tout

On croise souvent des professionnels qui pensent être couverts parce qu'ils ont souscrit à Google Workspace. C'est mieux que rien, effectivement, le DPA de Google pour les entreprises existe et couvre les données traitées dans le cadre de cette suite.

Mais ça ne règle pas le problème de fond. Vos clients, eux, vous envoient leurs documents depuis leurs boîtes personnelles. Les pièces jointes transitent par des serveurs que vous ne maîtrisez pas. Et surtout : votre client n'a signé aucun document expliquant comment vous traitez ses données, où elles sont stockées, combien de temps vous les conservez, et comment il peut en demander la suppression.

C'est cette absence de cadre, côté client, qui constitue la vraie faille.

Ce que l'alternative ressemble concrètement

La solution n'est pas de tout réinventer. C'est de remplacer l'email par un canal structuré, traçable, et conforme.

En pratique, ça veut dire : vous créez une demande listant exactement ce dont vous avez besoin, vous envoyez un lien sécurisé à votre client, et il dépose ses documents directement dans une interface dédiée, hébergée en Europe. Pas de pièce jointe qui traîne dans deux boîtes. Pas de transfert non chiffré. Une notice RGPD affichée avant le premier dépôt. Un historique de ce qui a été reçu, et quand.

C'est ce qu'on a construit avec BringIn : un portail de collecte documentaire pensé pour les professionnels français, hébergé en Europe, avec la conformité comme contrainte de départ et non comme option.

Ce que vous devriez faire cette semaine

Pas besoin d'un audit juridique complet pour commencer. Trois questions suffisent à évaluer votre exposition actuelle.

Est-ce que vous transmettez ou recevez des documents contenant des données personnelles sensibles par email non sécurisé ? Si oui, vous êtes exposé sur l'article 32.

Est-ce que vos clients ont signé quelque chose qui explique comment vous traitez leurs données ? Si non, vous avez une lacune sur l'article 5.

Est-ce que vous avez un contrat de traitement de données avec chaque outil tiers qui héberge ou traite des données client pour vous ? Si vous n'avez pas vérifié, la réponse est probablement non pour au moins un d'entre eux.

Ces questions ne sont pas là pour vous alarmer. Elles sont là parce que la plupart des cabinets qu'on croise n'ont jamais eu à y répondre formellement, et que la fenêtre pour se mettre en ordre avant qu'un problème arrive est encore ouverte.

Autant en profiter.