Aller au contenu principal
GED

GED et RGPD : guide complet pour la conformite en 2026

Equipe 1Acces16 avril 2026

La Gestion Electronique des Documents (GED) est devenue un outil essentiel pour les PME qui veulent centraliser, securiser et retrouver rapidement leurs documents professionnels. Mais des lors que votre GED stocke des donnees personnelles (CV, contrats, factures clients, fiches de paie), elle tombe sous le coup du Reglement General sur la Protection des Donnees (RGPD).

En 2026, la CNIL continue de renforcer ses controles sur les outils de GED utilises par les entreprises francaises. Les sanctions peuvent atteindre 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros. Ce guide vous explique comment rendre votre GED conforme au RGPD et quels sont les criteres a verifier absolument.

Qu'est-ce qu'une GED et pourquoi le RGPD s'applique-t-il ?

Une GED est un logiciel qui permet de numeriser, stocker, organiser et rechercher les documents d'une entreprise : contrats, factures, bulletins de salaire, CV, correspondances clients. Elle remplace les armoires physiques par un stockage cloud securise et accessible de partout.

Le RGPD s'applique des qu'une GED traite des donnees permettant d'identifier directement ou indirectement une personne physique (client, salarie, prospect, fournisseur). Autrement dit : toute GED professionnelle est concernee.

Concretement, des documents comme un contrat de travail, une fiche de paie, une facture client nominative, un CV ou une simple carte de visite numerisee sont des traitements de donnees personnelles soumis au RGPD.

Les 6 obligations RGPD pour une GED conforme

1. Licite, loyale et transparente

Vous devez avoir une base legale pour collecter et stocker chaque type de document : execution d'un contrat, obligation legale (archivage comptable 10 ans), interet legitime ou consentement explicite de la personne concernee.

2. Finalites determinees

Chaque document stocke doit servir un but precis et declare. Vous ne pouvez pas collecter des documents sans raison definie, ni les reutiliser pour une finalite differente sans information prealable.

3. Minimisation des donnees

Ne conservez que les documents strictement necessaires. Une GED conforme RGPD doit permettre de masquer ou anonymiser les donnees superflues (par exemple, masquer le numero de securite sociale sur une fiche de paie consultee par un manager RH).

4. Exactitude et mise a jour

Les documents doivent etre a jour et inexacts supprimes. Votre GED doit permettre la correction ou la suppression d'un document errone sur demande de la personne concernee.

5. Limitation de la conservation

Chaque type de document a une duree de conservation reglementee. Exemples : fiches de paie 5 ans, bulletins de salaire 5 ans, contrats commerciaux 5 ans, dossier client 3 ans apres fin de relation, pieces comptables 10 ans. Votre GED doit purger automatiquement les documents a expiration.

6. Integrite et confidentialite

Les documents doivent etre proteges contre tout acces non autorise, alteration ou destruction accidentelle. Cela implique chiffrement, sauvegarde, controle d'acces et tracabilite.

Comment securiser une GED conformement au RGPD

Chiffrement au repos et en transit

Les documents doivent etre chiffres a la fois pendant le stockage (at rest) avec des algorithmes type AES-256, et pendant leur transfert (in transit) via HTTPS/TLS 1.2+. Une GED serieuse utilise egalement le chiffrement cote serveur avec des cles propres a chaque client.

Controle d'acces granulaire

Votre GED doit implementer du RBAC (Role-Based Access Control) : seuls les utilisateurs avec les bonnes permissions peuvent consulter ou modifier un document. Exemple : la fiche de paie d'un salarie ne doit etre visible que par lui-meme, son manager direct et le service RH.

Authentification forte (MFA)

L'authentification a deux facteurs (2FA/MFA) doit etre obligatoire pour tous les comptes, et non optionnelle. Les mots de passe seuls ne suffisent plus en 2026.

Tracabilite et audit logs

Chaque acces, lecture, modification, suppression ou telechargement doit etre trace avec horodatage, utilisateur, adresse IP et action effectuee. Les logs doivent etre conserves minimum 6 mois pour permettre d'enqueter en cas de fuite de donnees.

Localisation des donnees en UE

Le RGPD exige que les donnees personnelles des citoyens europeens soient stockees sur des serveurs situes dans l'Union europeenne, ou dans un pays dote d'un niveau de protection equivalent. Privilegiez une GED dont les datacenters sont en France ou en Allemagne.

Sauvegarde et redondance

Des sauvegardes quotidiennes chiffrees, avec retention sur plusieurs semaines, sur un datacenter distinct. Objectif : pouvoir restaurer vos documents meme en cas d'incident majeur (incendie, cyberattaque, erreur humaine).

Gerer les droits des personnes dans votre GED

Le RGPD donne plusieurs droits aux personnes dont les donnees sont stockees dans votre GED. Votre logiciel doit permettre de les exercer rapidement (delai legal : 1 mois maximum).

  • Droit d'acces : permettre a un client ou un salarie d'obtenir une copie de tous les documents le concernant
  • Droit de rectification : corriger un document errone (adresse, nom, date)
  • Droit a l'effacement (droit a l'oubli) : supprimer definitivement les documents d'une personne qui n'a plus de relation contractuelle avec vous
  • Droit a la portabilite : exporter les documents dans un format structure et lisible (PDF, XML, JSON) pour transfert vers un autre systeme
  • Droit d'opposition : ne plus traiter certaines donnees pour une finalite specifique (marketing, par exemple)
  • Droit a la limitation : geler temporairement le traitement pendant une verification

Classement automatique et indexation conforme

Un des defis majeurs d'une GED conforme RGPD est de pouvoir retrouver rapidement tous les documents concernant une personne pour exercer ses droits. Cela passe par un classement automatique et une indexation intelligente.

Les GED modernes utilisent l'OCR (Reconnaissance Optique de Caracteres) pour extraire automatiquement les informations cles d'un document numerise : nom, prenom, date, numero de contrat, montant. Ces metadonnees permettent ensuite de lister tous les documents d'une meme personne en quelques secondes.

Le classement se fait generalement en 3 niveaux : par type de document (contrat, facture, CV), par entite (client, salarie, fournisseur) et par date. Un bon systeme permet aussi des tags personnalises et une recherche pleine-texte sur le contenu des documents.

Audit de conformite RGPD : les 10 points a verifier

Avant de choisir ou d'auditer votre GED, verifiez ces 10 criteres essentiels :

  • Le prestataire signe-t-il un contrat de sous-traitance (DPA) conforme article 28 RGPD ?
  • Les donnees sont-elles hebergees en Union europeenne ?
  • Le chiffrement AES-256 est-il applique au repos et en transit ?
  • L'authentification forte (MFA) est-elle disponible et imposable ?
  • Les logs d'acces sont-ils conserves au moins 6 mois ?
  • La purge automatique des documents expires est-elle configurable ?
  • L'export des donnees d'une personne est-il possible en un clic ?
  • La suppression definitive avec tracabilite est-elle disponible ?
  • Le prestataire est-il certifie ISO 27001, HDS ou SecNumCloud ?
  • Un Delegue a la Protection des Donnees (DPO) est-il joignable chez le prestataire ?

Combien coute une GED conforme RGPD ?

Les tarifs d'une GED varient de 5 a 50 euros par utilisateur par mois selon les fonctionnalites. Les points a considerer dans le budget :

  • Nombre d'utilisateurs simultanes
  • Volume de stockage (en Go ou To)
  • Fonctionnalites RGPD natives vs add-ons payants
  • Integrations avec votre ERP, CRM, outils RH
  • Support technique et accompagnement conformite

Chez 1Acces, notre GED est incluse dans notre module Stockage Cloud & GED a 19 euros par mois et par utilisateur, avec chiffrement AES-256, hebergement France, authentification MFA, logs 12 mois et purge automatique. Un Delegue a la Protection des Donnees est joignable pour repondre a toutes les demandes RGPD.

La GED 1Acces : conformite RGPD by design

Notre module GED a ete concu des le depart avec le RGPD a l'esprit. Concretement, vous beneficiez de :

  • Hebergement dans des datacenters certifies HDS (Hebergement de Donnees de Sante) situes a Paris et Lyon
  • Chiffrement AES-256 au repos et TLS 1.3 en transit
  • Authentification multi-facteurs imposee par defaut pour les comptes administrateurs
  • Controle d'acces granulaire par role, equipe et projet
  • Logs d'acces detailles conserves 12 mois
  • Purge automatique configurable par type de document selon les durees legales
  • Export RGPD : toutes les donnees d'une personne exportables en PDF ou JSON en un clic
  • Contrat de sous-traitance (DPA) conforme article 28 RGPD fourni des la souscription
  • Delegue a la Protection des Donnees (DPO) externalise inclus

Conclusion : ne reportez pas la mise en conformite

La conformite RGPD de votre GED n'est pas une option mais une obligation legale. Les controles CNIL sont de plus en plus frequents et les sanctions s'alourdissent chaque annee. Une GED non conforme represente un risque juridique, financier et reputationnel majeur pour votre entreprise.

La bonne nouvelle : migrer vers une GED conforme est rapide (souvent moins de 2 semaines) et les couts sont accessibles pour les PME. Commencez par auditer votre situation actuelle avec les 10 points mentionnes plus haut, puis choisissez un prestataire serieux qui vous accompagne dans la mise en conformite.

Vous voulez en savoir plus sur notre solution GED conforme RGPD ? Prenez rendez-vous avec un expert 1Acces ou testez gratuitement notre plateforme pendant 14 jours.

Pret a moderniser votre telephonie ?

Testez gratuitement nos solutions VoIP pendant 14 jours, sans engagement.

Essai gratuitParler a un expert
Retour au blog