Un comptable qui reçoit les bilans d'un client. Un RH qui envoie un contrat de travail. Un patient qui transmet une IRM à un spécialiste. Un locataire qui envoie son dossier à un propriétaire.
Comment envoyer ces documents sensibles par internet sans risque ? La réalité, c'est que des millions de fichiers confidentiels transitent chaque jour par email ou par un lien Drive "accessible à tous ceux qui ont le lien". La plupart du temps, ça se passe bien. Jusqu'au jour où ça ne se passe plus bien.
Quels documents sont "sensibles" au sens du RGPD
Le RGPD (article 9 et article 32) impose des "mesures techniques appropriées" pour protéger les données personnelles. En clair : vous ne pouvez pas envoyer n'importe quoi par n'importe quel canal.
Sont considérés comme sensibles :
- RH : contrats de travail, bulletins de paie, arrêts maladie, avertissements
- Juridique : actes notariés, pièces de procédure, mandats, procurations
- Santé : ordonnances, comptes rendus médicaux, bilans biologiques, IRM
- Immobilier : pièces d'identité, avis d'imposition, relevés bancaires, quittances
- Finance : bilans comptables, relevés de compte, déclarations fiscales
Si un document contient le nom d'une personne associé à des informations privées (santé, finances, identité), il est sensible. Point.
Les 3 erreurs que tout le monde fait
L'email avec pièce jointe
C'est l'erreur la plus répandue parce que c'est la plus simple. Mais un email transite en clair sur plusieurs serveurs, reste stocké indéfiniment dans les boîtes mail des deux parties, et survit dans les sauvegardes pendant des années.
Un cabinet comptable qui envoie les bilans de ses clients par email stocke des dizaines de milliers de documents sensibles dans des boîtes mail piratables. Un seul compte compromis, et tous les clients sont exposés.
Le lien Drive "accessible à tous"
"Accessible à tous ceux qui ont le lien" signifie exactement ce que ça dit. Si le lien est transféré, partagé par erreur ou indexé par un moteur de recherche (ça arrive), n'importe qui peut accéder au document. Sans mot de passe, sans authentification, sans trace.
Le mot de passe envoyé dans le même canal
Envoyer un fichier protégé par mot de passe, puis envoyer le mot de passe par email dans le message suivant, c'est comme fermer une porte à clé et coller la clé sur la porte. Si le canal est compromis, le mot de passe l'est aussi.
La méthode en 3 étapes
1. Identifier la sensibilité du document
Posez-vous la question : si ce document fuitait sur internet, quelles seraient les conséquences ? Si la réponse est "problématiques" (usurpation d'identité, atteinte à la vie privée, perte financière, sanction RGPD), le document est sensible et mérite un canal protégé.
2. Choisir le canal adapté
Pour tout document contenant des données personnelles :
- Exclure : email classique, SMS, lien cloud public
- Acceptable pour du ponctuel : messagerie chiffrée (Signal, WhatsApp) — mais le fichier reste sur les téléphones
- Recommandé : un service de transfert avec chiffrement de bout en bout
3. Limiter l'accès
Un document sensible ne devrait être accessible qu'aux personnes qui en ont besoin, et seulement le temps nécessaire. Les bonnes pratiques :
- Expiration automatique : le lien ou l'accès expire après un délai défini
- Permissions : lecture seule, pas de téléchargement si possible
- Traçabilité : savoir qui a accédé au document et quand
Quel outil selon votre cas d'usage
| Situation | Solution adaptée |
|---|---|
| Envoi ponctuel à un client ou un patient | Transfert chiffré E2E (pas besoin de compte côté destinataire) |
| Échanges récurrents avec un professionnel (avocat, comptable) | Espace partagé chiffré E2E |
| Stockage interne confidentiel | Coffre-fort numérique chiffré |
| Due diligence / audit | Data room sécurisée |
KeyDoc couvre les deux premiers cas : transfert sécurisé ponctuel et espace de partage récurrent. Le principe est simple — vos fichiers sont chiffrés avant de quitter votre appareil, et seules les personnes que vous invitez disposent de la clé pour les ouvrir. Aucun intermédiaire n'y a accès, pas même KeyDoc.
Ce que dit la loi
Le RGPD (article 32) impose aux responsables de traitement de mettre en œuvre des "mesures techniques et organisationnelles appropriées" pour garantir la sécurité des données personnelles. L'envoi de données sensibles par email classique est explicitement considéré comme insuffisant par la CNIL.
Des entreprises ont été sanctionnées pour avoir transmis des données personnelles par email non chiffré. Ce n'est pas un risque théorique : la CNIL contrôle et sanctionne.
Pour les professionnels, utiliser un canal chiffré de bout en bout pour les documents sensibles n'est pas seulement une bonne pratique. C'est une obligation légale.
En résumé
La checklist du professionnel :
- Identifier : ce document contient-il des données personnelles ?
- Chiffrer : utiliser un canal E2E pour tout document sensible
- Limiter : restreindre l'accès aux seules personnes concernées, avec une expiration
- Tracer : savoir qui a accédé à quoi
Deux minutes de précaution valent mieux que des mois de gestion de crise après une fuite de données.