Une avocate inscrite au Barreau de Paris prépare un projet de transaction pour un dossier de divorce. Elle a besoin de fusionner trois pièces en un seul PDF et de l’envoyer à sa cliente par e-mail. Réflexe naturel : taper “fusionner PDF en ligne” sur Google, cliquer sur le premier résultat, déposer les fichiers, télécharger le résultat. Cinq secondes. C’est fait. Pendant ces mêmes cinq secondes, des données personnelles protégées par le secret professionnel de l’avocat (article 66-5 de la loi du 31 décembre 1971) et par le RGPD ont quitté son ordinateur pour rejoindre un serveur tiers — dans le meilleur des cas en Union européenne, dans d’autres cas aux États-Unis ou dans des juridictions sans décision d’adéquation.
Cet article s’adresse aux utilisateurs francophones — particuliers, indépendants, PME, professions réglementées — en France, en Belgique, au Luxembourg, en Suisse romande, au Québec et en Afrique francophone — qui ont besoin d’outils PDF gratuits mais souhaitent aussi comprendre ce que chaque choix implique juridiquement. Le postulat est simple : tous les outils PDF ne se valent pas du point de vue de la protection des données, et le bon choix dépend du contenu du document, pas de la marque de l’outil.
Nous comparerons six outils populaires selon des critères objectifs : où les fichiers sont traités, quel cadre juridique s’applique, quelle interface en français est proposée, et quel coût. L’objectif n’est pas de décourager l’usage d’un service réputé — tous les grands acteurs sont conformes au RGPD et ont un historique de sécurité raisonnable — mais de donner au lecteur les critères pour décider lui-même.
Le cadre juridique : RGPD, Loi Informatique et Libertés, CNIL
Pour comprendre pourquoi le choix d’outil PDF compte, voici l’écosystème normatif applicable au lecteur francophone européen et africain.
Union européenne — RGPD (Règlement (UE) 2016/679). Le RGPD est applicable directement dans les 27 États membres depuis le 25 mai 2018. Articles clés pour les outils PDF :
- Article 5 : principes — licéité, loyauté, transparence, finalité limitée, minimisation, exactitude, limitation de conservation, intégrité et confidentialité, responsabilité.
- Article 6 : bases légales du traitement (consentement, contrat, obligation légale, intérêt vital, mission d’intérêt public, intérêt légitime).
- Article 25 : protection des données dès la conception et par défaut (privacy by design and by default).
- Article 28 : sous-traitance — exige un contrat écrit entre responsable et sous-traitant, garanties suffisantes du sous-traitant.
- Article 32 : sécurité du traitement — pseudonymisation, chiffrement, intégrité, disponibilité, résilience, tests de sécurité réguliers.
- Article 35 : analyse d’impact relative à la protection des données (AIPD) lorsque le traitement présente un risque élevé.
- Articles 44 à 50 : transferts internationaux — décisions d’adéquation, garanties appropriées (CCT, BCR), règles dérogatoires.
- Article 83 : sanctions administratives jusqu’à 20 M€ ou 4% du CA mondial.
France — Loi Informatique et Libertés et CNIL. La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a précédé le RGPD de 40 ans. Modifiée en profondeur en 2018 pour s’articuler avec le RGPD, elle reste le texte de référence en droit français interne. Elle complète le RGPD sur certains points (dispositions sectorielles, conditions d’application aux données du secteur public, droit à l’oubli post-mortem, etc.). La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité de contrôle indépendante, créée par cette loi en 1978. Elle exerce contrôles, enquêtes, mises en demeure, et prononce des sanctions administratives. Elle publie des recommandations sectorielles (santé, RH, marketing, biométrie) et des guides pratiques très consultés.
Sentence Schrems II (CJUE C-311/18, 16 juillet 2020). La Cour de justice de l’Union européenne a invalidé le Privacy Shield UE-États-Unis et renforcé l’exigence que tout transfert hors EEE garantisse un niveau de protection “essentiellement équivalent” à celui du RGPD. La conséquence pratique : pour transférer vers les États-Unis, il faut soit s’appuyer sur les Clauses Contractuelles Types (CCT) mises à jour en 2021, soit utiliser des Règles d’Entreprise Contraignantes (BCR), soit obtenir un consentement explicite des personnes concernées. Le Data Privacy Framework UE-États-Unis (2023) facilite à nouveau les transferts vers les entreprises américaines certifiées, mais reste sous surveillance.
eIDAS et eIDAS 2.0. Le règlement (UE) 910/2014 (eIDAS) établit le cadre européen des services de confiance, dont la signature électronique. Le règlement (UE) 2024/1183 (eIDAS 2.0), publié au JOUE le 30 avril 2024, étend ce cadre avec le portefeuille européen d’identité numérique (EUDI Wallet) obligatoire dans tous les États membres entre 2026 et 2027. En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) tient la liste des Prestataires de Services de Confiance Qualifiés. Pour signer un PDF avec valeur juridique pleine, recourir à un PSCo : Universign, ChamberSign, Docusign Qualifié, certains acteurs bancaires.
Loi pour une République numérique (2016) et RGPD-loi française. La loi n° 2016-1321 du 7 octobre 2016 a apporté plusieurs droits supplémentaires en droit français (droit à la libre disposition des données, mort numérique, etc.) repris dans la version actuelle de la loi Informatique et Libertés.
Cadre en Afrique francophone. Plusieurs pays disposent de lois propres : la Loi 09-08 du Maroc (2009), la Loi 18-07 d’Algérie (2018), la Loi 2009-09 du Sénégal (2008), la Loi 022/PR/2018 du Tchad, la Convention de l’Union africaine sur la cybersécurité et la protection des données personnelles (Convention de Malabo, 2014) entrée en vigueur en 2023. La Loi camerounaise 2024/017 du 23 décembre 2024 a modernisé le cadre national. Le RGPD a un effet extraterritorial important : un service en ligne européen utilisé depuis Dakar doit respecter le RGPD pour les données des utilisateurs sénégalais, en plus des dispositions sénégalaises.
La question du transfert international après Schrems II
L’arrêt Schrems II du 16 juillet 2020 reste structurant pour le choix d’outils cloud. Récapitulatif pratique :
- Transferts au sein de l’EEE (France vers Allemagne, Espagne, Italie, etc.) : libres, sans contrainte supplémentaire au titre du RGPD.
- Transferts vers les pays bénéficiant d’une décision d’adéquation (Suisse, Royaume-Uni, Andorre, Argentine, Canada -commercial-, Israël, Japon, Nouvelle-Zélande, Uruguay, Corée du Sud, États-Unis -via Data Privacy Framework 2023-) : autorisés sans mécanisme additionnel.
- Transferts vers d’autres pays (y compris les États-Unis hors DPF, l’Inde, le Brésil, la Chine, etc.) : nécessitent CCT 2021, BCR ou consentement explicite des personnes concernées.
Pour les outils PDF, la question clé devient : où le fichier est-il physiquement traité quand on le téléverse ?
Ce qui se passe quand vous téléversez un PDF contenant des données personnelles
Imaginons le scénario le plus courant : le service RH d’une PME française doit transmettre au cabinet comptable externe les bulletins de salaire mensuels de 35 salariés dans un PDF de 22 Mo. Le cabinet n’accepte que des pièces jointes de moins de 10 Mo. Le ou la responsable RH ouvre iLovePDF, dépose le fichier, compresse, télécharge, envoie. Dix secondes.
Analysons juridiquement ces dix secondes :
- Données personnelles concernées : 35 noms et prénoms, 35 numéros de Sécurité sociale (NIR), 35 RIB, 35 salaires bruts et nets, retenues, cotisations URSSAF, prélèvement à la source. Sous le RGPD, ce sont bien des données à caractère personnel (article 4.1). Le NIR est en France une catégorie particulière de données régie par l’article 87 de la loi Informatique et Libertés, soumise à des règles spéciales.
- Qui est responsable, qui est sous-traitant ? : la PME est responsable du traitement (article 4.7 RGPD). iLovePDF, traitant les données pour le compte de la PME, est sous-traitant (article 4.8 RGPD).
- Y a-t-il un contrat de sous-traitance ? : l’article 28 RGPD exige un contrat ou un autre acte juridique encadrant la relation. iLovePDF propose un Data Processing Agreement standard téléchargeable. Si la PME ne l’a jamais formellement accepté, il y a un manquement documentaire à l’article 28.
- Y a-t-il un transfert international ? : iLovePDF est basé à Barcelone (Espagne, UE) et traite principalement en infrastructure européenne. Pour une PME française, il n’y a PAS de transfert hors EEE. C’est l’un des points forts de cet outil pour les utilisateurs européens.
- Faut-il une AIPD ? : l’article 35 RGPD impose une analyse d’impact lorsque le traitement présente un risque élevé. La compression occasionnelle de bulletins de salaire via un outil cloud probablement n’atteint pas ce seuil ; un usage systématique à grande échelle pourrait le faire.
- Les salariés ont-ils été informés ? : le principe de transparence (article 5.1.a) et les articles 13-14 exigent d’informer les personnes concernées. Rares sont les politiques RH qui mentionnent nommément “iLovePDF” — souvent, une mention générique “prestataires de services techniques” figure dans la déclaration RH, ce qui peut être suffisant si elle est suffisamment précise.
Aucun de ces points n’est nécessairement catastrophique. Mais chacun appelle une réponse documentée si la CNIL contrôle ou si un salarié exerce ses droits. La solution structurelle la plus simple consiste à ne pas téléverser le fichier en premier lieu : le traiter localement dans le navigateur du poste RH. Si le fichier ne sort pas de l’appareil, il n’y a plus de sous-traitant, plus de transfert, plus de nouveau risque à évaluer.
Comparatif de 6 outils PDF gratuits
Le tableau suivant compare six outils populaires sous l’angle de la protection des données pour utilisateurs francophones :
| Outil | Lieu de traitement | Cadre RGPD applicable | UI en français | Coût (gratuit) | Position RGPD |
|---|---|---|---|---|---|
| imisspdf | Navigateur de l’utilisateur (local) | Pas de sous-traitance externe ; pas de transfert | Oui, français complet | Gratuit (sans limite) | N’active pas l’article 28 |
| iLovePDF | Espagne (UE) | RGPD directement applicable | Oui, français traduit | Gratuit avec limites | DPA standard fourni |
| Smallpdf | Suisse (décision d’adéquation) | RGPD via adequacy | Oui, partiel | Gratuit avec limites | DPA disponible |
| PDF24 Tools | Allemagne (UE) | RGPD directement applicable | Oui, partiel | Gratuit sans limite significative | ISO 27001, DPA |
| Adobe Acrobat Online | États-Unis (principalement) | Schrems II + DPF 2023 | Oui, français | Gratuit très limité | DPF adhéré par Adobe |
| Foxit Online | États-Unis + Chine | DPF + analyse renforcée pour Chine | Partiel | Gratuit avec filigrane | DPF mais Chine complique |
Quelques observations :
iLovePDF est l’option avec le moins de friction juridique pour les utilisateurs français. Société espagnole, traitement européen, interface en français : il n’y a pas de transfert hors EEE, le DPA est facilement obtenable, et le RGPD s’applique de la même manière qu’en France. Pour les utilisateurs français qui préfèrent les outils cloud par commodité, c’est probablement le choix le plus solide juridiquement.
Smallpdf opère depuis la Suisse, pays bénéficiant d’une décision d’adéquation de la Commission européenne robuste. Les transferts UE-Suisse sont légitimés sans mécanisme additionnel.
PDF24 est une société allemande avec serveurs en UE. Pour les utilisateurs européens, pas de transfert hors EEE. Offre aussi PDF24 Creator, version desktop gratuite pour Windows qui traite localement. La version gratuite web est l’une des plus généreuses du marché.
Adobe Acrobat Online est le cas le plus complexe juridiquement. Adobe est adhéré au Data Privacy Framework UE-États-Unis depuis 2023, ce qui rouvre la possibilité de transferts sans CCT. Mais le DPF est sous surveillance de la CJUE et un éventuel Schrems III pourrait l’invalider (comme ses deux prédécesseurs). Pour un usage ponctuel sur documents non sensibles, c’est viable ; pour un traitement systématique de données personnelles, il existe des options moins exposées.
Foxit est présent aux États-Unis et en Chine. Foxit Software a son siège à Fremont (Californie), mais la maison-mère historique et une partie significative du développement sont à Fuzhou (Chine). Pour les responsables européens, ceci ajoute une couche d’analyse : la Chine n’est pas couverte par une décision d’adéquation et la Loi chinoise sur la protection des données personnelles (PIPL, 2021) soulève des questions spécifiques sur l’accès gouvernemental aux données. La plupart des départements conformité européens exigent une documentation supplémentaire avant autorisation pour des données personnelles.
Cas d’usage français : recommandations par type de document
Carte d’identité, passeport, titre de séjour, permis de conduire
Données concernées : nom, prénom, photo biométrique, date de naissance, nationalité, numéro de pièce d’identité, parfois adresse. La combinaison est précieuse pour l’usurpation d’identité, l’ouverture frauduleuse de comptes, les fraudes au crédit.
Recommandation : outils traitement-local (imisspdf dans le navigateur, ou PDF24 Creator desktop sur Windows). Éviter le téléversement vers des services cloud sauf nécessité opérationnelle claire et, dans ce cas, privilégier iLovePDF (UE) ou PDF24 Tools (UE).
Bulletins de salaire, contrats de travail, certificats de travail
Données concernées : nom, prénom, NIR (numéro de Sécurité sociale), date de naissance, RIB, salaire brut, charges patronales et salariales, salaire net, prélèvement à la source. Le NIR est en France soumis à des règles spéciales (article 87 LIL).
Recommandation : outils traitement-local pour le traitement individuel. Pour les volumes (cabinets comptables, expertise sociale, services RH d’ETI), envisager PDF24 Creator desktop combiné à imisspdf web pour l’accès multi-appareils. Si recours au cloud, formaliser le DPA avec le prestataire et inscrire le traitement dans le registre des activités de traitement.
Déclarations fiscales (avis d’imposition, déclaration 2042)
Données concernées : identité complète, situation familiale, revenus de toutes catégories, patrimoine, charges déductibles, RIB pour remboursement. En de mauvaises mains, exposent à l’extorsion, à la fraude au crédit, à l’usurpation d’identité fiscale.
Recommandation : traitement local exclusivement. Aucune bonne raison de téléverser un avis d’imposition vers un serveur tiers — toutes les manipulations utiles (fusionner plusieurs avis, compresser pour un dossier de location, ajouter des pages) peuvent se faire dans le navigateur.
Dossier médical, ordonnances, résultats d’analyses
Données concernées : données concernant la santé sous l’article 9 RGPD, catégorie particulière bénéficiant d’une protection renforcée. Leur traitement exige le consentement explicite ou une base élargie de l’article 9.2 (sauvegarde des intérêts vitaux, médecine préventive, etc.).
Recommandation : outils traitement-local impérativement. Cabinets médicaux, cliniques et hôpitaux doivent fixer dans leur politique interne que le traitement de PDF de santé se fait exclusivement en local. Pour les volumes hospitaliers, envisager un déploiement interne d’outils open source (PdfArranger, ocrmypdf) sur les serveurs propres. Voir aussi les Référentiels CNIL Santé (2020 et mises à jour).
Attestations Pôle Emploi / France Travail, justificatifs CAF, dossiers MDPH
Données concernées : identité, situation familiale, ressources, parfois données concernant la santé (MDPH). Très sensibles pour les CAF/MDPH.
Recommandation : traitement local exclusivement. Pour Pôle Emploi / France Travail, les attestations se téléchargent en PDF déjà sécurisé — éviter de retraiter via outils cloud étrangers.
Contrats et NDA commerciaux
Données concernées : noms et fonctions des signataires, parfois conditions financières confidentielles, clauses de confidentialité. Pour les avocats, déclenche le secret professionnel (article 66-5 loi 1971).
Recommandation : outils traitement-local pour le pré-signature (avant la signature finale). Après signature qualifiée eIDAS, le PDF doit rester intact — toute modification invalide la signature. Pour vérification post-signature, utiliser un outil de vérification de signature qui ne modifie pas le fichier (ANSSI propose des références).
Documents pour signature qualifiée eIDAS
Pour les documents devant être signés au niveau de la signature électronique qualifiée (équivalent à la signature manuscrite), le PDF préparatoire doit être propre, structuré, sans métadonnées indésirables. La signature elle-même est apposée par un Prestataire de Services de Confiance Qualifié (PSCo) listé sur le portail ANSSI : Universign, ChamberSign, Docusign (offre qualifiée), Idnow, etc. Pour la préparation du document avant signature, outils traitement-local recommandés.
Pile recommandée selon le profil
Particulier : imisspdf traitement-local comme outil par défaut. Couvre tous les besoins quotidiens (fusionner, diviser, compresser, convertir Word/Excel/JPG, OCR, signer, ajouter filigrane, expurger). Sans téléversement, sans inscription.
Indépendant / profession libérale (avocat, médecin, expert-comptable) : imisspdf traitement-local comme outil par défaut en raison du secret professionnel. Pour la signature qualifiée eIDAS, faire appel à un PSCo agréé. Pour les volumes élevés, envisager PDF24 Creator desktop sur le poste de travail.
PME (jusqu’à 50 salariés) : organiser une pile en couches. Couche 1 (par défaut) : imisspdf traitement-local. Couche 2 (appui) : iLovePDF ou PDF24 Tools pour documents non sensibles ou lorsque la RAM du poste est insuffisante. Documenter l’usage dans le registre des activités de traitement (article 30 RGPD).
Grande entreprise avec DPO : revoir l’usage actuel des outils cloud, formaliser les DPA avec les fournisseurs actifs, envisager une migration progressive vers le traitement-local pour les opérations routinières. Pour les volumes industriels, déploiement interne d’outils open source (PdfArranger, ocrmypdf) sur serveurs propres. Le DPF avec les fournisseurs américains reste utilisable mais à surveiller compte tenu de la jurisprudence évolutive.
Administration et secteur public : ces structures sont soumises à des obligations renforcées (référentiel général de sécurité, qualification SecNumCloud pour certaines données sensibles). Outils traitement-local privilégiés. Pour les besoins systémiques, envisager des solutions internes (déploiement on-premise).
Spécificités pour l’Afrique francophone
Maroc — Loi 09-08 et CNDP. La Commission Nationale de Contrôle de la Protection des Données à caractère Personnel (CNDP) supervise l’application. Le RGPD a un effet extraterritorial pour les services européens utilisés depuis le Maroc, et la Loi 09-08 impose des exigences proches du RGPD première génération.
Sénégal — Loi 2008-12 et CDP. La Commission de Protection des Données Personnelles est l’autorité de contrôle. Le cadre s’inspire de la Convention 108 du Conseil de l’Europe.
Côte d’Ivoire, Bénin, Burkina, Mali : cadres en construction, généralement inspirés de la Convention de Malabo (UA 2014) entrée en vigueur en 2023.
Algérie, Tunisie : autorités de contrôle actives, cadres juridiques en consolidation.
Pour tous ces pays, les outils traitement-local présentent l’avantage structurel d’éviter à la fois les questions de cadre local et les transferts internationaux complexes.
À propos d’imisspdf et de l’architecture traitement-local
Note de transparence : imisspdf est un outil construit avec une architecture traitement-local par conception. Le choix n’est pas anodin : en traitant les fichiers intégralement dans le navigateur de l’utilisateur, on élimine structurellement les questions de transferts internationaux, de sous-traitance, de DPA et d’AIPD. Pour les utilisateurs européens, cela signifie que le RGPD se respecte dans sa version la plus facile à démontrer : le fichier n’a jamais quitté l’appareil du responsable du traitement.
L’interface est disponible en français (localisation complète, pas traduction automatique). Les algorithmes de compression, fusion, OCR (via Tesseract.js) et signature sont équivalents à ceux des outils commerciaux, mais exécutés localement via WebAssembly et bibliothèques open source. Pas d’abonnement, pas de filigrane, pas de limites artificielles.
Outils disponibles : fusionner, diviser, compresser, convertir (Word/Excel/PowerPoint/JPG vers et depuis PDF), éditer, OCR, signer, filigrane, numéros de page, expurger (vraie expurgation, pas de rectangles noirs), protéger par mot de passe, déverrouiller, pivoter, rogner, organiser les pages.
Conclusions pratiques
Pour les particuliers : utiliser imisspdf ou autre outil traitement-local pour tout document contenant vos données personnelles — pièce d’identité, bulletins de salaire, dossier médical, déclaration fiscale. Pour les documents publics, tout outil convient.
Pour les indépendants et PME : organiser la pile en couches selon la sensibilité. La couche par défaut devrait être traitement-local pour minimiser la documentation de conformité. iLovePDF / PDF24 cloud pour appui. Documenter l’usage dans le registre des activités de traitement (article 30 RGPD).
Pour les professions réglementées (avocats, médecins, experts-comptables) : le secret professionnel renforce la recommandation traitement-local. Envisager aussi le déploiement interne d’outils open source pour les volumes élevés.
Pour les grandes entreprises avec DPO : le choix n’est plus entre “utiliser un outil gratuit” ou “ne pas l’utiliser”, mais entre deux architectures. Une architecture cloud-first exige DPA, AIPD, registre détaillé, formation. Une architecture traitement-local-first réduit drastiquement la charge documentaire en éliminant le sous-traitant externe. Les grands cabinets de conseil européens migrent progressivement vers cette seconde option pour les manipulations documentaires routinières.
Essayer imisspdf en français
Si l’argumentation ci-dessus correspond à votre cas d’usage, imisspdf propose 17 outils PDF (fusionner, diviser, compresser, convertir, signer, éditer, OCR, filigrane, expurger et plus) entièrement dans votre navigateur. Pas de téléversement, pas d’inscription, pas de filigrane, pas de limite de taille hormis la RAM de votre appareil. Interface en français.
Pour approfondir :
Questions fréquentes
Le bloc FAQ en début d’article couvre les questions les plus courantes. Pour la perspective germanophone (DSGVO, DACH) : Kostenlose PDF-Tools Online 2026 (DSGVO). Pour la perspective indonésienne (UU PDP) en référence cross-locale : Alat PDF Online Gratis Indonesia (UU PDP 2026). Pour la checklist générale de sécurité PDF : PDF security checklist.
Pour les comparaisons d’outils en français : voir aussi les guides sectoriels Best PDF Tools for Lawyers 2026 (cadre RGPD et secret professionnel transposable au droit français) et Best PDF Tools for Healthcare HIPAA 2026 (référentiel HIPAA américain, mais raisonnement transposable au RGPD/Référentiels CNIL Santé).
Sources
- Règlement (UE) 2016/679 (RGPD) — version consolidée JOUE
- Loi n° 78-17 du 6 janvier 1978 (Loi Informatique et Libertés) — Légifrance
- CNIL — site officiel
- Arrêt Schrems II (C-311/18) — CJUE
- Règlement (UE) 910/2014 (eIDAS)
- Règlement (UE) 2024/1183 (eIDAS 2.0)
- ANSSI — Liste des Prestataires de Services de Confiance Qualifiés
- Data Privacy Framework UE-États-Unis 2023
- Décisions d’adéquation — Commission européenne
- Convention de Malabo (UA Convention sur la cybersécurité et la protection des données personnelles, 2014)
Frequently asked questions
Le RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) est le cadre européen de protection des données à caractère personnel, applicable depuis le 25 mai 2018. En France, il s'articule avec la loi Informatique et Libertés du 6 janvier 1978 modifiée (notamment par la loi du 20 juin 2018 et l'ordonnance du 12 décembre 2018). Les outils PDF en ligne sont concernés car la plupart des services populaires (iLovePDF, Smallpdf, Adobe Acrobat Online) traitent les fichiers sur des serveurs qui peuvent se trouver à l'intérieur ou à l'extérieur de l'Espace économique européen. Lorsqu'un PDF contient des données personnelles — bulletins de salaire, contrats de travail, scans de carte d'identité, dossiers médicaux — son téléchargement sur un serveur tiers constitue un traitement par sous-traitant (article 28 RGPD) et, si le serveur est hors EEE, un transfert international encadré par le chapitre V (articles 44 à 50).
Globalement oui, avec nuances. iLovePDF est une société basée à Barcelone (Espagne, UE) et traite ses fichiers sur des serveurs européens : pour un utilisateur français, il n'y a PAS de transfert hors EEE. Smallpdf opère depuis la Suisse, pays bénéficiant d'une décision d'adéquation de la Commission européenne (depuis 2000, mise à jour en 2021), ce qui légitime les transferts UE-Suisse sans mécanisme supplémentaire. Adobe Acrobat Online (serveurs principalement aux États-Unis) est le cas le plus complexe : depuis 2023, le Data Privacy Framework UE-États-Unis facilite les transferts mais reste sous surveillance de la CJUE (un éventuel Schrems III pourrait l'invalider, comme ses deux prédécesseurs). Pour des documents publics sans données personnelles, tous les outils restent acceptables ; pour des documents sensibles, privilégier les solutions traitement local ou européen.
L'article 83 du RGPD prévoit deux niveaux de sanctions administratives. Le premier niveau peut atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu — pour les violations des articles 8, 11, 25, 32, et autres. Le second niveau peut atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial — pour les violations des principes fondamentaux (article 5), des bases légales du traitement (article 6), des droits des personnes concernées (articles 12-22) et des transferts internationaux (chapitre V). La CNIL a prononcé des sanctions record en France : 50 millions d'euros contre Google en 2019, 60 millions contre Microsoft en 2022, 32 millions contre Amazon France Logistique en 2023. Des amendes de quelques dizaines de milliers d'euros sont régulières pour des PME. Au-delà des sanctions, la CNIL peut aussi enjoindre la mise en conformité et publier ses décisions.
Le règlement eIDAS (UE 910/2014), en vigueur depuis 2016, établit trois niveaux de signature électronique : la signature électronique simple (SES), la signature électronique avancée (SEA / AES) et la signature électronique qualifiée (SEQ / QES). La SEQ a la même valeur juridique qu'une signature manuscrite dans tous les États membres et bénéficie d'une présomption de fiabilité technique. Le règlement eIDAS 2.0 (UE 2024/1183), publié au Journal officiel de l'UE le 30 avril 2024 et entré en vigueur le 20 mai 2024, étend significativement ces dispositions : portefeuille européen d'identité numérique (EUDI Wallet) obligatoirement disponible dans tous les États membres d'ici 2026-2027, nouveaux services de confiance qualifiés (archivage électronique qualifié, registres électroniques qualifiés), interopérabilité renforcée. Pour signer un PDF avec valeur juridique pleine en France, utiliser un Prestataire de Services de Confiance Qualifié (PSCo) inscrit sur la liste eIDAS publiée par l'ANSSI.
Pour tout document contenant des données personnelles ou couvertes par un secret professionnel : bulletins de salaire, contrats de travail, dossiers médicaux, déclarations fiscales, scans de pièces d'identité, contrats commerciaux en négociation, dossiers couverts par le secret de l'avocat (article 66-5 de la loi du 31 décembre 1971). Un outil traitement-local exécute le travail dans la mémoire du navigateur du poste utilisateur, sans envoi vers un serveur externe. Cela élimine structurellement la question du transfert international (pas de transfert), évite la nécessité d'un contrat de sous-traitance avec un prestataire (article 28 RGPD), simplifie l'analyse d'impact (AIPD, article 35) et réduit drastiquement la surface d'attaque. Pour des PDF sans données personnelles — brochures publiques, supports marketing, articles académiques déjà publiés — tout outil cloud reste parfaitement adéquat.
Related articles
Convert PDF to PDF/A: Long-Term Archival Format Explained (2026 Guide)
Convert PDF to PDF/A in 2026. What PDF/A is, the levels explained (1a vs 2b vs 3u vs 4), what gets stripped, and when you actually need it.
Convert JPG to PDF Online Free (2026 Guide: Multiple Images, Order, Quality)
Convert JPG to PDF online free. 2026 guide to multi-image PDFs: drag to reorder, DPI choice, HEIC/iPhone files, and the receipts-to-PDF workflow.
Best Free PDF Editor 2026 (8 Tools Compared: Edit, Sign, Convert, Privacy)
Best free PDF editor 2026: 8 tools compared on privacy, real editing, OCR, signup, and watermarks. Honest picks by use case, not paid placement.