Passer au contenu principal
Solutions

Conforme au RGPD
Gestion de documents

Plus qu'une simple case à cocher. Chaque décision architecturale — l'emplacement des données, le traitement par l'IA, le fonctionnement du chiffrement — a été prise en tenant compte du droit de l'UE. Parce que nous sommes une entreprise de l'UE et que c'est la seule façon dont nous concevons les choses.

Dernière mise à jour : avril 2026

Avez-vous réellement besoin d'un DMS conforme au RGPD ?

  • Si votre entreprise stocke des documents contenant des données à caractère personnel — noms, adresses, détails financiers, dossiers d'emploi — le RGPD s'applique à vous. Peu importe que vous ayez 5 clients ou 50 000. Les amendes ont atteint 1,145 milliard d'euros au cours de l'année 2025 seule, et les régulateurs ciblent de plus en plus les PME, pas seulement les géants de la tech.
  • Un système de gestion documentaire conforme au RGPD ne vous rend pas conforme par lui-même. Mais il lève les barrières techniques qui rendent la conformité impossible : savoir quelles données vous détenez, les trouver sur demande, contrôler qui y accède et les supprimer quand c'est nécessaire.
  • L'essentiel: Si vous stockez des documents contenant des données personnelles dans Google Drive, Dropbox ou un dossier NAS partagé, vous avez un problème de RGPD dont vous n'avez peut-être pas conscience. Un DMS dédié avec hébergement en UE, chiffrement et pistes d'audit vous donne la base technique exigée par la réglementation.

Les 7 principes du RGPD et ce qu'ils signifient pour la gestion documentaire

L'article 5 du RGPD définit sept principes qui régissent tout traitement de données à caractère personnel. Tout système de gestion documentaire que vous utilisez doit soutenir ces principes — sinon, vous bâtissez votre conformité sur des fondations fragiles. Voici ce que chaque principe signifie en pratique lors du stockage, de l'organisation et de la récupération de documents contenant des données personnelles.

Principe Article du RGPD Implication pour la gestion documentaire
Licéité, loyauté et transparence Art. 5(1)(a) Vous devez avoir une base légale pour stocker chaque document contenant des données personnelles. Votre DMS doit indiquer clairement quelles données sont stockées, pourquoi, et comment elles sont traitées — les pistes d'audit et les journaux d'activité répondent à cette exigence de transparence.
Limitation des finalités Art. 5(1)(b) Les documents collectés pour une finalité (ex: l'exécution d'un contrat) ne peuvent pas être réutilisés sans une nouvelle base légale. Votre DMS ne doit pas utiliser le contenu des documents à des fins non liées — comme l'entraînement de modèles d'IA sur vos données.
Minimisation des données Art. 5(1)(c) Ne stockez que les documents adéquats, pertinents et nécessaires. Un DMS doté d'une recherche plein texte et d'une classification par AI vous aide à identifier les documents redondants ou inutiles pour les supprimer — au lieu de tout conserver « au cas où ».
Exactitude Art. 5(1)(d) Les données à caractère personnel doivent être exactes et tenues à jour. Lorsqu'une personne concernée demande une rectification en vertu de l'Art. 16, vous devez localiser chaque document contenant ses informations obsolètes. La recherche plein texte dans vos archives rend cette tâche réalisable.
Limitation de la conservation Art. 5(1)(e) Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire. Cela nécessite des calendriers de conservation et la capacité de trouver et supprimer des documents par date, type et personne concernée. Sans DMS, appliquer ces règles sur des dossiers éparpillés est pratiquement impossible.
Intégrité et confidentialité Art. 5(1)(f) Les documents doivent être protégés contre tout accès non autorisé, perte accidentelle ou destruction. Cela implique un chiffrement au repos et en transit, des contrôles d'accès basés sur les rôles et une sécurité de l'infrastructure — pas seulement un mot de passe sur un dossier partagé.
Responsabilité (Accountability) Art. 5(2) Vous devez être en mesure de démontrer votre conformité, et non simplement l'affirmer. Des pistes d'audit (audit trails) enregistrant qui a accédé à quel document, quand, et quelle action a été effectuée sont essentielles. Si une autorité de contrôle demande des preuves, dire « nous suivons les bonnes pratiques » ne suffit pas.

Exigences techniques pour une gestion documentaire conforme au RGPD

Le RGPD ne prescrit pas de technologies spécifiques — l'article 32 exige des « mesures techniques et organisationnelles appropriées » basées sur l'état de l'art, le coût et le risque. En pratique, pour les systèmes de gestion documentaire traitant des données à caractère personnel, quatre capacités techniques sont devenues la base attendue par les autorités de contrôle. Le modèle de DPIA standardisé de l'EDPB de mars 2026 (v1.0) renforce cela en exigeant que les responsables de traitement documentent précisément ces mesures lors de l'évaluation des risques liés au traitement.

Chiffrement au repos et en transit

L'Article 32(1)(a) préconise le chiffrement comme mesure de sécurité appropriée. La norme de l'industrie est le chiffrement AES-256 au repos et TLS 1.2+ en transit. Veluvanto utilise le SSE-C (Server-Side Encryption with Customer-Provided Keys) pour les données au repos et TLS pour toutes les données en transit. Vos documents sont chiffrés du moment où ils quittent votre navigateur jusqu'à leur stockage — et les clés de chiffrement ne sont pas partagées avec le fournisseur d'infrastructure.

Contrôles d'accès et authentification

L'Article 32(1)(b) exige la capacité de garantir la confidentialité continue des systèmes de traitement. En pratique, cela signifie un contrôle d'accès basé sur les rôles (RBAC) : tout le monde dans votre organisation ne doit pas voir tous les documents. Veluvanto implémente des permissions au niveau de l'espace de travail avec des rôles Administrateur, Éditeur et Lecteur. Chaque utilisateur s'authentifie individuellement — pas de comptes partagés, pas d'accès anonyme. Chaque action est liée à une identité vérifiée.

Pistes d'audit et registres de traitement

L'Article 30 exige que les responsables de traitement tiennent un registre des activités de traitement. Pour la gestion documentaire, cela se traduit par un enregistrement automatique de qui a accédé à quel document, quand, et quelle action a été effectuée (consultation, édition, téléchargement, suppression). Veluvanto tient des journaux d'activité par espace de travail qui servent de base à vos registres de l'Art. 30. Ces journaux ne sont pas modifiables et ne peuvent pas être supprimés par les membres de l'espace de travail.

Accords de traitement des données et sous-traitants

L'Article 28 exige un accord de traitement des données (DPA) avec chaque sous-traitant manipulant des données personnelles pour votre compte. Cela inclut votre fournisseur de DMS, son fournisseur d'infrastructure cloud et tout service d'AI utilisé pour le traitement des documents. Le traitement par AI de Veluvanto utilise l'API Gemini Enterprise de Google dans le cadre d'un accord de traitement de données à zéro rétention — vos documents sont traités en mémoire et immédiatement supprimés. Ils ne sont jamais stockés sur les serveurs de Google et jamais utilisés pour l'entraînement de modèles.

Gérer les demandes des personnes concernées : un processus en 4 étapes

En vertu du RGPD, les individus ont le droit d'accéder à leurs données (Art. 15), de demander une rectification (Art. 16), d'exiger l'effacement (Art. 17) et d'obtenir leurs données dans un format portable (Art. 20). Vous devez répondre sous 30 jours. Pour les entreprises s'appuyant sur des archives d'e-mails, des disques partagés ou un classement papier, localiser tous les documents liés à une seule personne peut prendre des jours. Un DMS avec recherche plein texte réduit cela à quelques minutes.

1

Identifier : Trouver chaque document contenant les informations de la personne

Recherchez le nom, l'adresse email ou d'autres identifiants de la personne concernée dans l'ensemble de vos archives documentaires. La recherche plein texte de Veluvanto couvre le contenu de chaque document — y compris les PDF scannés traités par OCR. Cela fait ressortir les factures, contrats, correspondances et tout autre document mentionnant l'individu, quels que soient le nom du fichier ou l'emplacement du dossier.

2

Réviser : Évaluer ce qui doit être divulgué, conservé ou supprimé

Tous les documents ne doivent pas être divulgués ou supprimés. Les obligations légales (exigences de conservation fiscale, obligations contractuelles en cours) peuvent l'emporter sur le droit à l'effacement selon l'Art. 17(3). Examinez les résultats de recherche et catégorisez : documents à divulguer pour une demande d'accès, documents à supprimer pour une demande d'effacement, et documents que vous êtes légalement tenu de conserver. Documentez votre raisonnement — le principe de responsabilité de l'Art. 5(2) l'exige.

3

Agir : Exporter, rectifier ou supprimer — avec une piste d'audit

Pour les demandes d'accès (Art. 15) : exportez les documents pertinents dans un format couramment utilisé. L'exportation de Veluvanto fournit les fichiers originaux ainsi que des métadonnées structurées. Pour la rectification (Art. 16) : mettez à jour ou remplacez les documents inexacts. Pour l'effacement (Art. 17) : supprimez les documents identifiés. Chaque action — exportation, édition, suppression — est consignée dans la piste d'activité de Veluvanto avec horodatage et identité de l'utilisateur.

4

Confirmer : Répondre à la personne et conserver la preuve de conformité

Répondez à la personne concernée dans le délai de 30 jours en confirmant l'action entreprise. Conservez les entrées de la piste d'audit comme preuve que vous avez satisfait à la demande. Si une autorité de contrôle enquête ultérieurement, vous devrez démontrer non seulement que vous avez répondu, mais aussi comment vous avez cherché, ce que vous avez trouvé et ce que vous avez fait. Le journal d'activité constitue cette preuve.

Hébergement UE vs US : Implications juridiques pour la gestion documentaire

L'emplacement des serveurs de votre gestion documentaire n'est pas qu'un détail technique — c'est une décision juridique lourde de conséquences. En vertu du US CLOUD Act (2018), les autorités américaines peuvent contraindre toute entreprise ayant son siège aux États-Unis à remettre les données stockées sur ses serveurs, quel que soit leur emplacement physique. Cela signifie que stocker des documents sur Google Drive, Dropbox, OneDrive ou Notion — toutes des entreprises américaines — expose vos données à un accès potentiel du gouvernement US, même si les serveurs sont en UE. L'arrêt Schrems II (CJUE, juillet 2020) a invalidé le Privacy Shield UE-USA pour cette raison précise : les lois de surveillance américaines ont été jugées incompatibles avec les droits fondamentaux de l'UE. Le cadre de protection des données UE-USA adopté en 2023 offre une nouvelle décision d'adéquation, mais les défis juridiques persistent et l'EDPB continue de recommander des mesures supplémentaires pour tout transfert de données UE-USA.

Veluvanto élimine entièrement cette complexité juridique. En tant qu'entreprise tchèque enregistrée et opérant sous le droit de l'UE, Veluvanto stocke toutes les données exclusivement dans des centres de données de l'UE. Il n'y a pas de société mère américaine, pas de filiale américaine et aucune structure d'entreprise qui soumettrait vos données au CLOUD Act. Le traitement par IA utilise l'API Google Gemini Enterprise dans le cadre d'un accord de zéro rétention — les documents sont traités en mémoire dans l'UE et immédiatement supprimés. Aucune donnée personnelle n'est transférée ou stockée aux États-Unis à aucun moment. Pour les organisations devant démontrer leur conformité au RGPD à des clients, partenaires ou autorités de contrôle, l'hébergement exclusivement dans l'UE par une société constituée dans l'UE est la position juridique la plus claire possible.

Checklist de conformité GDPR : Comment Veluvanto se positionne

La transparence renforce la confiance. Plutôt que de revendiquer une conformité globale, voici une évaluation honnête de la manière dont Veluvanto répond à chaque exigence clé du GDPR pour la gestion documentaire. Là où nous avons des lacunes, nous le disons.

Toutes les données sont-elles stockées au sein de l'UE ? — Oui. Tout le stockage des documents et les sauvegardes se trouvent dans des centres de données de l'UE. Aucune donnée ne quitte l'UE. Veluvanto est une entreprise tchèque — pas d'entité mère américaine, pas d'exposition au CLOUD Act.
Les données sont-elles chiffrées au repos et en transit ? — Oui. Chiffrement SSE-C (AES-256) au repos avec des clés fournies par le client. Chiffrement TLS pour toutes les données en transit. Les clés de chiffrement ne sont pas partagées avec le fournisseur d'infrastructure.
Les personnes concernées peuvent-elles exercer leurs droits (accès, effacement, portabilité) ? — Oui. L'exportation complète des données prend en charge la portabilité (Art. 20). La suppression de documents avec piste d'audit prend en charge l'effacement (Art. 17). La recherche plein texte permet de localiser toutes les données liées à un individu spécifique pour les demandes d'accès (Art. 15).
Les activités de traitement sont-elles enregistrées (Art. 30) ? — Oui. Les journaux d'activité enregistrent qui a accédé, modifié ou supprimé chaque document, avec horodatage. Ces journaux sont immuables et servent de base à vos registres d'activités de traitement.
Le traitement par AI est-il conforme aux exigences de protection des données ? — Oui. L'IA utilise l'API Google Gemini Enterprise avec un accord de zéro rétention. Les documents sont traités en mémoire et immédiatement supprimés — jamais stockés, mis en cache ou utilisés pour l'entraînement de modèles. Le système est également conçu pour être conforme à l'IA Act de l'UE.
Des politiques automatisées de conservation et de suppression sont-elles disponibles ? — Pas encore. Veluvanto ne propose pas actuellement de calendriers de conservation automatisés ou de règles de suppression basées sur le temps. Vous pouvez supprimer manuellement des documents et utiliser la recherche pour identifier les enregistrements expirés, mais l'application automatisée de la limitation de conservation de l'Art. 5(1)(e) est sur notre feuille de route, pas encore disponible.
Veluvanto est-il certifié ISO 27001 ou SOC 2 ? — Non. Veluvanto lui-même n'est pas certifié ISO 27001 ou SOC 2. Notre fournisseur d'infrastructure détient la certification ISO 27001. Nous mettons en œuvre des mesures de sécurité conformes à ces normes mais n'avons pas subi de certification indépendante. Si votre organisation exige une certification du fournisseur, c'est un point de vigilance.
Veluvanto fournit-il un modèle d'accord de traitement des données (DPA) ? — Pas sous forme de modèle en libre-service. Un DPA couvrant le traitement de vos données par Veluvanto est disponible sur demande. Nous ne fournissons pas actuellement de modèle de DPA pré-établi pour vos propres relations responsable-sous-traitant avec des tiers.

Quand Veluvanto n'est pas le bon choix pour la conformité GDPR

Veluvanto est un système de gestion documentaire pour les indépendants, les familles et les petites entreprises. Il fournit les bases techniques pour un stockage et une récupération de documents conformes au GDPR. Mais ce n'est pas une plateforme de conformité d'entreprise, et il existe des scénarios où il ne suffit pas.

Vous traitez des catégories particulières de données à grande échelle (Art. 9) — Si vous manipulez de gros volumes de dossiers de santé, de données biométriques, génétiques ou révélant l'origine raciale ou ethnique, vous avez besoin d'un système avec des contrôles d'accès de niveau médical, une infrastructure d'audit dédiée et probablement des certifications sectorielles spécifiques (ex: ISO 27799). Les contrôles d'accès de Veluvanto se font au niveau de l'espace de travail, pas au niveau du champ de données.
Vous avez besoin de politiques de conservation automatisées avec gel juridique — Si votre programme de conformité exige que les documents soient automatiquement supprimés après une période définie — avec des exceptions pour le gel juridique (legal hold) pendant un litige — vous avez besoin d'un logiciel de gestion d'archives d'entreprise (ex: OpenText, M-Files). Veluvanto ne prend pas encore en charge ces fonctionnalités.
Vos clients ou régulateurs exigent une certification ISO 27001 ou SOC 2 — Certains secteurs et processus d'achat en entreprise exigent que les fournisseurs détiennent une certification ISO 27001 ou SOC 2 Type II. Veluvanto n'a pas ces certifications. Si c'est une exigence stricte dans votre processus de sélection, Veluvanto ne passera pas votre questionnaire de sécurité.

Être honnête sur nos limites fait partie de la relation de confiance. Si vos besoins dépassent ce que Veluvanto propose, nous préférons vous le dire d'emblée. Pour la plupart des indépendants, familles et petites entreprises, Veluvanto offre une base solide et conforme au GDPR. Pour les entreprises réglementées ayant des exigences de conformité complexes, les plateformes d'entreprise spécialisées sont un meilleur choix.

Guides associés

Archivage numérique de documents

Conservation, pistes d'audit et stockage à long terme — comment l'archivage numérique soutient la conformité au RGPD.

Logiciel de gestion documentaire

Ce que fait un logiciel DMS, comment le choisir et pourquoi l'AI change tout en 2026.

Directive NIS2 et gestion documentaire

NIS2 et le RGPD partagent de nombreux points communs en matière de documentation — voici ce que la directive sur la cybersécurité ajoute.

Foire aux questions

Où mes données sont-elles stockées exactement ?
Toutes les données sont stockées dans des centres de données de l'UE exploités par des fournisseurs d'infrastructure basés dans l'UE. Les sauvegardes sont stockées chez un autre fournisseur européen. Aucune donnée — documents, métadonnées ou entrées de traitement par IA — ne quitte jamais l'Union européenne. Veluvanto est une société de droit tchèque sans société mère ou filiale aux États-Unis.
Le traitement par IA envoie-t-il mes données hors de l'UE ?
Non. Le traitement par IA utilise l'API Gemini Enterprise de Google dans le cadre d'un accord de traitement des données avec rétention zéro. Les documents sont traités en mémoire et immédiatement supprimés — ils ne sont jamais stockés sur les serveurs de Google, jamais mis en cache et jamais utilisés pour l'entraînement de modèles. Le traitement a lieu au sein de l'UE.
Puis-je exporter toutes mes données si je pars ?
Oui. Veluvanto prend en charge l'exportation complète des données conformément à l'Article 20 (droit à la portabilité). Vous recevez tous les documents originaux dans leurs formats initiaux ainsi que les métadonnées structurées (tags, dates, entités extraites). Formats standards, pas de verrouillage propriétaire, pas besoin de contacter le support.
Veluvanto est-il certifié (ISO 27001, SOC 2) ?
Non. Veluvanto lui-même ne détient pas de certification ISO 27001 ou SOC 2. Notre fournisseur d'infrastructure est certifié ISO 27001. Nous appliquons des mesures de sécurité alignées sur ces normes — chiffrement au repos (SSE-C/AES-256), TLS en transit, RBAC, journaux d'audit immuables — mais n'avons pas subi de certification indépendante. Si la certification du fournisseur est une exigence d'achat pour votre organisation, nous préférons être transparents sur ce point.
Comment Veluvanto se compare-t-il aux alternatives hébergées aux États-Unis concernant le RGPD ?
Les services hébergés aux USA (Google Drive, Dropbox, Notion, Evernote) sont exploités par des sociétés américaines soumises au CLOUD Act, qui permet aux autorités US d'accéder aux données quel que soit l'emplacement du serveur. L'arrêt Schrems II a jugé cela incompatible avec les droits fondamentaux de l'UE. Veluvanto est une société tchèque avec des données exclusivement en UE — seul le droit de l'UE s'applique. Pas de décision d'adéquation nécessaire, pas de mesures supplémentaires, pas d'incertitude juridique.
Que se passe-t-il en cas de violation de données ?
En vertu de l'Article 33, les responsables de traitement doivent notifier leur autorité de contrôle dans les 72 heures suivant la découverte d'une violation de données personnelles. Les journaux d'activité et les registres d'accès de Veluvanto vous aident à évaluer la portée de tout incident — quels documents ont été touchés, qui y avait accès et quand. En tant que sous-traitant, Veluvanto vous informera dans les meilleurs délais si nous prenons connaissance d'une violation affectant vos données, en vous fournissant les informations nécessaires pour remplir vos obligations de notification.
Dois-je réaliser une analyse d'impact relative à la protection des données (DPIA) pour utiliser Veluvanto ?
Cela dépend de la nature et du volume des données personnelles que vous traitez. Selon l'Article 35, une DPIA est requise lorsque le traitement est « susceptible d'engendrer un risque élevé » pour les droits des personnes — par exemple, une surveillance systématique ou un traitement à grande échelle de données sensibles. Pour la plupart des indépendants et petites entreprises stockant des factures, contrats et correspondances commerciales, une DPIA n'est pas requise. L'EDPB a publié un modèle de DPIA standardisé (v1.0) en mars 2026, qui simplifie le processus si vous devez en réaliser une.
Veluvanto est-il conforme à l'AI Act de l'UE ?
Les fonctionnalités d'AI de Veluvanto — classification de documents, extraction de métadonnées et assistant AI — sont conçues dans le respect de l'AI Act de l'UE. Le système d'AI est transparent (vous pouvez voir ce que l'AI a extrait et le modifier), ne prend pas de décisions autonomes ayant un effet juridique et utilise un traitement à zéro rétention pour que vos documents ne soient jamais utilisés pour l'entraînement de modèles. L'utilisation de l'AI est enregistrée et auditable.

Arrêtez de chasser les documents. Commencez à les trouver.

Essai gratuit. Aucune carte bancaire requise. Passez au forfait supérieur quand vous serez prêt.

Essayer gratuitement — sans carte Voir les tarifs

🔒 Cloud UE · Sans carte bancaire · Garantie satisfait ou remboursé de 14 jours