F
Folio
Souveraineté 7 min de lecture

RGPD et données bureautiques : ce que vous devez savoir en 2026

Vos outils bureautiques sont soumis au RGPD. Voici les obligations concrètes pour les entreprises européennes et comment Folio simplifie la conformité.

É

Équipe Folio

28 mars 2026

Le RGPD fête ses 8 ans d’application. Pourtant, beaucoup d’entreprises ignorent encore que leurs outils bureautiques — traitement de texte, tableur, messagerie — sont directement concernés par ce règlement.

Voici ce que vous devez savoir, et comment choisir des outils conformes simplifie considérablement votre vie.

Pourquoi vos outils bureautiques sont dans le scope RGPD

Dès que vous traitez des données personnelles de clients, employés ou prospects dans un document Office, ce document devient un registre de traitement au sens du RGPD.

Exemples concrets :

  • Un fichier Excel avec les coordonnées de vos clients → données personnelles
  • Un document Word contenant un contrat signé → données personnelles
  • Des emails professionnels → données personnelles
  • Un tableur RH avec les salaires → données sensibles

Si ces fichiers sont stockés sur des serveurs Microsoft ou Google, vous devez vous assurer que ces transferts sont légalement fondés.

Le problème du Cloud Act américain

Le Clarifying Lawful Overseas Use of Data Act (Cloud Act, 2018) permet aux autorités américaines d’accéder aux données hébergées par des entreprises américaines, y compris les données stockées en Europe.

Microsoft, Google, Amazon Web Services — toutes ces entreprises sont soumises au Cloud Act.

La Cour de Justice de l’Union Européenne a rappelé à plusieurs reprises que ces transferts posent problème au regard du RGPD (arrêt Schrems II, 2020). Le cadre actuel EU-US DPF est contesté juridiquement et pourrait être invalidé.

Conséquence pratique : utiliser Microsoft 365 ou Google Workspace pour stocker des données clients européens expose potentiellement votre entreprise à des risques juridiques.

Les obligations concrètes des entreprises

1. Le registre des activités de traitement

Toute entreprise de plus de 250 salariés (et les plus petites traitant des données sensibles) doit tenir un registre des activités de traitement. Ce registre doit inclure :

  • La liste des traitements effectués
  • La finalité de chaque traitement
  • Les données collectées
  • La localisation du stockage et les transferts

Si vos données sont chez Microsoft Azure en Europe mais que votre contrat permet des transferts aux États-Unis, vous devez le mentionner.

2. L’analyse d’impact (AIPD)

Pour les traitements à risque élevé, une Analyse d’Impact sur la Protection des Données est obligatoire. L’utilisation de services cloud américains pour traiter des données sensibles peut déclencher cette obligation.

3. Le droit à l’effacement

Si un client ou employé demande la suppression de ses données, vous devez être capable de les retrouver et les supprimer dans tous les systèmes — y compris dans vos outils bureautiques et leur stockage cloud.

Avec Microsoft 365, retrouver toutes les occurrences d’une personne à travers Word, Excel, Outlook et OneDrive est un exercice complexe.

Comment Folio simplifie la conformité RGPD

Hébergement 100% européen

Toutes les données Folio sont hébergées chez Hetzner Cloud en Allemagne et Finlande. Pas de transfert vers des pays tiers. Pas de risque Cloud Act.

Droit à l’oubli en 1 clic

Folio implémente nativement le droit à l’effacement :

  1. Allez dans Paramètres → Mon compte
  2. Cliquez sur Supprimer mon compte
  3. Toutes vos données sont supprimées des serveurs Folio dans les 72 heures

Portabilité des données

Le RGPD impose un droit à la portabilité. Avec Folio :

  1. Paramètres → Exporter mes données
  2. Vous recevez un ZIP complet avec tous vos documents, emails, contacts et fichiers
  3. Dans des formats ouverts et standards (DOCX, XLSX, PPTX, EML, vCard)

Pas de tracking tiers

Folio ne collecte pas de données à des fins analytiques ou publicitaires. Aucun cookie tiers. Aucun SDK de réseau social. Si des analytics sont utilisés, c’est via Plausible (self-hosted, sans cookies, conforme RGPD).

Chiffrement natif

  • En transit : TLS 1.3 obligatoire pour toutes les connexions
  • Au repos : AES-256 pour tous les fichiers stockés

Ce que cela change pour votre DPO

Si vous avez un Délégué à la Protection des Données (DPO), utiliser Folio simplifie considérablement son travail :

  • Registre des traitements : vous pouvez affirmer sans ambiguïté que le traitement se fait en Europe
  • AIPD : le risque lié aux transferts internationaux est éliminé
  • Réponses aux demandes : l’export et la suppression sont automatisés

Checklist RGPD pour votre suite bureautique

Voici les questions à poser à votre fournisseur actuel :

  • Où sont physiquement hébergées mes données ?
  • Vos serveurs européens sont-ils soumis au droit américain (Cloud Act) ?
  • Puis-je exporter l’intégralité de mes données à tout moment ?
  • La suppression d’un compte supprime-t-elle réellement toutes les données ?
  • Utilisez-vous des cookies tiers ou des SDK de tracking dans votre application ?
  • Votre code est-il auditable par des tiers ?

Si la réponse à l’une de ces questions n’est pas satisfaisante, vous avez peut-être un problème de conformité.

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Pour une analyse de conformité spécifique à votre situation, consultez un juriste spécialisé en protection des données.

Folio est certifié conforme RGPD. En savoir plus sur notre approche sécurité →

Commencer

Essayer Folio gratuitement

Suite bureautique souveraine, hébergée en Europe, open source.

Commencer maintenant