Les 25 autorités de protection des données européennes viennent de lancer un audit coordonné des services en ligne
L'EDPB a formellement lancé son action 2026 sur la transparence RGPD le 19 mars. Les outils de fichiers en ligne qui collectent des données sont directement dans le viseur.
VaultTools · 20 mars 2026
Photo de Philipp Katzenberger sur Unsplash
Table des matières
- Ce qui a été lancé hier
- Ce qu’exigent réellement les articles 12 à 14 du RGPD
- Pourquoi les outils de fichiers en ligne sont dans le viseur
- Comment le traitement en navigateur change la donne
- Ce que les opérateurs devraient faire maintenant
- Sources
Ce Qui a Été Lancé Hier
Le 19 mars 2026, le Comité européen de la protection des données (CEPD) a formellement lancé son action dans le cadre du Coordinated Enforcement Framework (CEF) pour 2026. Vingt-cinq autorités nationales de protection des données (APD) à travers l’UE mènent désormais une campagne d’audit synchronisée sur un seul sujet : les obligations de transparence et d’information du RGPD, en vertu des articles 12, 13 et 14.
Le thème avait été annoncé en octobre 2025. La phase d’application active a débuté hier.
Les APD participantes contacteront des organisations de différents secteurs à l’aide de questionnaires standardisés pour évaluer leur conformité. Les résultats seront agrégés au niveau européen, avec des actions de suivi ciblées aux niveaux national et européen. Les campagnes CEF précédentes ont conduit directement à des amendes et des mesures correctives.
Ce Qu’exigent Réellement Les Articles 12 à 14 du RGPD
Les articles 12, 13 et 14 du RGPD définissent ce que les organisations doivent communiquer aux personnes lorsqu’elles traitent leurs données personnelles. Les règles portent sur quatre questions fondamentales auxquelles toute notice de confidentialité doit répondre clairement :
- Quelles données personnelles sont collectées
- Pourquoi elles sont collectées (base légale et finalité)
- Combien de temps elles sont conservées
- À qui elles sont communiquées ou transférées
L’information doit être fournie au moment de la collecte (article 13) ou dans un délai d’un mois lorsque les données sont obtenues indirectement (article 14). L’article 12 fixe le standard de présentation : concise, transparente, compréhensible et en langage clair.
Les régulateurs ne cherchent pas des mentions en petits caractères. Ils cherchent des notices claires et accessibles qu’une personne ordinaire peut comprendre.
Pourquoi Les Outils de Fichiers en Ligne Sont Dans le Viseur
Un convertisseur PDF en ligne, un compresseur d’images ou un éditeur de documents qui reçoit des fichiers sur un serveur traite des données personnelles. La plupart des documents que les utilisateurs convertissent ou compressent contiennent des informations personnelles : noms, adresses, signatures, données financières, dossiers médicaux. Selon le RGPD, une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
Lorsqu’un outil de fichiers en cloud reçoit un document, il devient responsable du traitement ou sous-traitant pour cette activité. Il doit informer les utilisateurs des données collectées depuis le fichier, de la durée de conservation du fichier sur ses serveurs et de l’éventuel partage du fichier ou des métadonnées extraites avec des tiers.
De nombreux outils enfouissent ces informations dans des politiques de confidentialité de plusieurs pages rédigées en langage juridique. Cette approche est désormais une cible principale d’application. La campagne CEF 2026 du CEPD évaluera si les notices sont réellement accessibles, et pas seulement techniquement présentes.
Comment Le Traitement en Navigateur Change la Donne
Un outil qui traite les fichiers entièrement dans le navigateur de l’utilisateur via WebAssembly ne reçoit jamais le fichier sur aucun serveur. Le fichier ne quitte pas l’appareil de l’utilisateur. Aucun contenu de document n’est traité par l’infrastructure de l’outil.
Lorsqu’aucune donnée personnelle n’est collectée lors du traitement du fichier en tant que tel, les obligations de transparence des articles 13 et 14 ne s’appliquent pas à cette activité de traitement. Il n’y a aucun événement de collecte de données à déclarer, aucune durée de conservation à indiquer et aucun transfert à des tiers à décrire.
Ce n’est pas un raccourci de conformité. C’est une conséquence structurelle du lieu où s’effectue le traitement. Les outils de fichiers en navigateur éliminent par conception toute une catégorie d’exposition au RGPD. Ils peuvent toujours être soumis à des obligations de transparence pour d’autres données collectées (analytics, formulaires de contact, création de compte), mais le traitement du fichier lui-même reste hors périmètre.
Ce Que Les Opérateurs Devraient Faire Maintenant
Pour les opérateurs d’outils de fichiers en cloud avec des utilisateurs européens, l’action CEF 2026 est un signal pour auditer immédiatement leurs notices de confidentialité. Le CEPD a publié des lignes directrices sur les articles 12 à 14. Les questions concrètes à vérifier :
- La notice de confidentialité est-elle visible au moment où les utilisateurs téléversent des fichiers ?
- Indique-t-elle en langage clair ce qui arrive aux fichiers téléversés et pendant combien de temps ?
- Identifie-t-elle les sous-traitants ou sous-traitants ultérieurs qui traitent les données de fichiers ?
- Existe-t-il un point de contact clair pour les demandes des personnes concernées ?
Les APD peuvent prendre contact de manière proactive avec des questionnaires ou ouvrir des enquêtes formelles sur la base de plaintes. Les deux voies peuvent mener à des injonctions correctives et des amendes.
Pour les outils en navigateur : documentez et communiquez le fait que les fichiers sont traités localement. «Les fichiers ne quittent jamais votre appareil» n’est pas qu’un argument marketing. Dans le contexte de la vague d’application 2026, c’est une déclaration de conformité substantielle.
Sources
- CEF 2026 : l’EDPB lance une action de contrôle coordonnée sur la transparence (EDPB)
- Coordinated Enforcement Framework : l’EDPB sélectionne le thème 2026 (EDPB)
- Ce que la priorité 2026 de l’EDPB sur la transparence signifie pour les entreprises en ligne (iubenda)
- EDPB to Focus on Transparency in 2026 Enforcement (Inside Privacy)
- EDPB Selects Topic for 2026 Coordinated Enforcement Action (Hunton Andrews Kurth)
- Priorités d’audit RGPD 2026 : obligations de transparence dans le viseur des autorités (Ailance)
- Obligations de transparence RGPD : articles 12 à 14 (CMS Law Now)
- L’Europe inflige plus de 1,2 milliard d’euros d’amendes RGPD aux grandes entreprises technologiques en 2025 (Bitdefender)