L'envoi de fichiers par email est-il conforme au RGPD dans l'UE ?
Published on 22 avril 2026
L'envoi de fichiers par email est-il conforme au RGPD dans l'UE ?
L'envoi de fichiers par email n'est pas automatiquement non conforme au RGPD, mais pour les documents contenant des données personnelles sensibles, il est très difficile de répondre aux exigences de sécurité de l'article 32 du RGPD en utilisant uniquement l'email. Les pièces jointes par email manquent de contrôles d'accès, ne peuvent pas être révoquées après livraison, ne fournissent pas de piste de vérification de qui a ouvert le fichier, et dans de nombreuses configurations, transmettent des données via des serveurs en dehors de l'UE. Pour les documents non personnels à faible risque, l'email est généralement acceptable. Pour tout ce qui contient des données personnelles, une méthode de partage plus contrôlée est nécessaire.
Ce que dit le RGPD sur l'envoi de documents
Le RGPD ne bannit pas l'email en tant que mécanisme de partage. Cependant, l'article 32 exige que les organisations mettent en œuvre des mesures techniques et organisationnelles appropriées au risque des données traitées. Pour les documents contenant des données personnelles, ces mesures doivent aborder :
- Confidentialité — prévenir l'accès non autorisé
- Intégrité — garantir que les données ne sont pas altérées en transit
- Disponibilité — pouvoir restaurer l'accès si perdu
- Résilience — maintenir la sécurité dans des conditions défavorables
L'email standard — livraison SMTP non chiffrée sans contrôles d'accès — échoue à plusieurs de ces exigences lorsqu'il s'agit de données personnelles sensibles.
Les problèmes spécifiques avec les pièces jointes par email
Pas de contrôle d'accès après livraison
Une fois qu'un fichier est livré dans la boîte de réception d'un destinataire, vous n'avez aucun moyen de l'empêcher de l'ouvrir, de le transférer ou de le conserver indéfiniment. Si ce destinataire quitte ensuite l'organisation ou si son compte est compromis, votre document est exposé.
Pas de piste de vérification
Le principe de responsabilité du RGPD exige que vous démontriez votre conformité. L'email ne fournit aucun journal de qui a ouvert une pièce jointe, quand ou combien de fois. Vous ne pouvez pas répondre à la question d'un régulateur sur qui a eu accès à un document sensible si vous l'avez envoyé en tant que pièce jointe par email.
Pas de révocation
Si vous découvrez qu'un document a été envoyé à la mauvaise personne, vous ne pouvez pas rappeler une pièce jointe par email. Le document est en possession permanente de cette personne.
Routage via des serveurs tiers
L'email passe fréquemment par des serveurs en dehors de l'UE — y compris l'infrastructure Microsoft Exchange, Google Workspace ou Yahoo basée aux États-Unis. Sans configuration spécifique, cela constitue un transfert international de données non contrôlé en vertu du chapitre V du RGPD.
Pas de chiffrement au repos sur l'appareil du destinataire
Même si l'email est chiffré en transit, la pièce jointe est généralement stockée non chiffrée dans le client de messagerie du destinataire et sur le stockage de son appareil.
Quand les pièces jointes par email peuvent être acceptables selon le RGPD
Les pièces jointes par email peuvent être utilisées de manière conforme dans des scénarios à faible risque :
- Documents non personnels — matériels marketing, brochures de produits, informations disponibles publiquement
- Pièces jointes chiffrées — fichiers chiffrés avec AES-256 où seul le destinataire prévu détient la clé de déchiffrement, transmis séparément
- Au sein d'un environnement d'entreprise entièrement géré dans l'UE — où l'expéditeur et le destinataire utilisent un système de messagerie géré hébergé dans l'UE avec des contrôles de prévention des pertes de données
- Avec une base légale documentée et minimisation — où les données partagées sont réellement nécessaires et le partage est documenté
Pour la plupart des PME et des entreprises de services professionnels, atteindre toutes ces conditions simultanément pour chaque document sortant n'est pas pratique. C'est pourquoi des plateformes de partage de documents sécurisées spécialement conçues existent.
L'alternative conforme : Liens de documents sécurisés
Au lieu de joindre un fichier à un email, partagez un lien sécurisé qui :
- Exige que le destinataire s'authentifie avant d'accéder au document
- Garde le fichier sur votre serveur contrôlé, hébergé dans l'UE plutôt que de le livrer sur l'appareil du destinataire
- Enregistre chaque événement d'accès dans un journal d'audit complet
- Vous permet de révoquer l'accès à tout moment
- Applique un chiffrement AES-256 au repos sur le document
SendNow fonctionne exclusivement sur une infrastructure basée dans l'UE et fournit tous ces contrôles. Vous envoyez le lien par email — ce qui est acceptable — tout en maintenant un contrôle conforme au RGPD sur le document lui-même.
Lecture connexe : RGPD et partage de documents : Guide complet | Meilleurs outils de partage de fichiers conformes au RGPD pour les entreprises européennes (2026)
Évaluation des risques des pièces jointes par email selon le type de document
| Type de document | Risque de données personnelles | Convient pour une pièce jointe par email ? |
|---|---|---|
| Brochure marketing | Aucun | Oui |
| Spécification produit | Aucun | Oui |
| Contrat avec parties nommées | Élevé | Non — utiliser un lien sécurisé |
| Dossiers d'employés | Très élevé | Non — utiliser un lien sécurisé |
| Modèle financier avec coûts du personnel | Élevé | Non — utiliser un lien sécurisé |
| Facture avec nom du client | Moyen | Chiffrer ou utiliser un lien sécurisé |
| Tableau de capitalisation | Très élevé | Non — utiliser un lien sécurisé |
| Rapport de santé ou juridique | Très élevé | Non — utiliser un lien sécurisé |
Comment évaluer vos pratiques de partage d'email actuelles
Examinez les types de documents que votre organisation envoie régulièrement par email et demandez-vous :
- Le document contient-il des noms, des adresses email, des données financières ou toute autre information pouvant identifier une personne vivante ?
- Votre système de messagerie chiffre-t-il les données en transit et au repos tout au long de la chaîne de livraison ?
- Pouvez-vous produire un journal de qui a reçu et ouvert le document ?
- Pouvez-vous révoquer l'accès si le document a été envoyé incorrectement ?
- Tous les serveurs de la chaîne de livraison sont-ils situés dans l'UE/EEE ?
Si vous répondez « non » à l'une de ces questions pour un type de document contenant des données personnelles, passez immédiatement cette catégorie à une méthode de partage basée sur un lien sécurisé.
Lecture connexe : Établir une politique de partage de documents conforme au RGPD
Questions fréquemment posées
Est-il illégal d'envoyer des données personnelles par email dans l'UE ?
Ce n'est pas automatiquement illégal, mais cela peut violer l'article 32 du RGPD si les données sont sensibles et que des mesures de sécurité appropriées ne sont pas en place. Les autorités de contrôle ont infligé des amendes spécifiquement pour l'utilisation d'emails non sécurisés pour transmettre des données personnelles.
Le chiffrement d'une pièce jointe par email la rend-elle conforme au RGPD ?
Le chiffrement améliore considérablement la sécurité, mais vous manquez toujours d'une piste de vérification, de la capacité de révocation et du contrôle sur la conservation après livraison. Le chiffrement est nécessaire mais pas suffisant pour des documents à haut risque.
Quelles données personnelles se trouvent le plus souvent dans les documents commerciaux ?
Noms et coordonnées dans les contrats, informations financières dans les factures et rapports, données des employés dans les documents RH, et détails d'identité dans la correspondance légale.
Puis-je utiliser Gmail ou Outlook pour envoyer des documents conformes au RGPD ?
Les versions grand public de Gmail et Outlook stockent des données sur des serveurs basés aux États-Unis et fournissent une journalisation d'audit limitée. Les versions professionnelles avec résidence des données dans l'UE activée sont plus conformes pour des documents à faible risque, mais elles ne fournissent pas les contrôles d'accès nécessaires pour des données personnelles très sensibles.
Comment dire aux destinataires de s'attendre à un lien sécurisé plutôt qu'à une pièce jointe ?
Une brève note fonctionne bien : « J'ai partagé ce document via un lien sécurisé plutôt qu'une pièce jointe pour garantir la conformité au RGPD. Cliquez sur le lien pour y accéder en toute sécurité. » La plupart des destinataires professionnels apprécient la transparence.
Le RGPD s'applique-t-il si j'envoie un document à une autre entreprise de l'UE ?
Oui. Le RGPD s'applique à vous en tant que responsable du traitement des données, peu importe si le destinataire est également basé dans l'UE. Vous êtes responsable de vous assurer que le transfert est légal et sécurisé.
Quelle amende l'ICO ou d'autres régulateurs de l'UE ont-ils imposée pour le partage d'emails non sécurisé ?
L'ICO britannique et les autorités de protection des données de l'UE ont infligé des amendes et des réprimandes pour la transmission non sécurisée par email de données personnelles sensibles, y compris des dossiers de santé, des documents juridiques et des informations financières. Les montants varient en fonction de l'ampleur de la violation et du chiffre d'affaires de l'organisation.
Quelle est la manière la plus sûre de partager un document sensible avec une partie externe ?
Utilisez une plateforme de partage de documents sécurisée qui fournit des liens par destinataire, un chiffrement AES-256, une résidence des données dans l'UE, une piste d'audit complète et la capacité de révoquer l'accès. SendNow fournit toutes ces fonctionnalités sur sendnow.live.
Ready to share documents smarter?
Start tracking who reads your documents, page by page. Free trial, no credit card required.
Get Started for Free →