Un document RH oublié sur le bac d'une imprimante partagée. Un dossier client scanné puis laissé accessible à tous. Un photocopieur restitué en fin de location sans que son disque dur ait été effacé. Ces situations banales ont un point commun : elles constituent des violations de données personnelles au sens du RGPD, exactement comme une fuite sur un serveur ou dans une base de données.
C'est le point que la plupart des entreprises ignorent encore : le RGPD ne s'arrête pas aux fichiers numériques. La CNIL le rappelle explicitement, un traitement de données personnelles n'est pas nécessairement informatisé : les fichiers papier sont concernés au même titre. Autrement dit, dès qu'une entreprise imprime ou scanne un contrat, une fiche de paie ou un dossier médical, elle devient responsable de la protection de ces données — du clic d'impression jusqu'à la destruction du document.
Ce guide TEEMIO détaille les obligations RGPD applicables aux imprimantes et photocopieurs multifonctions, les risques réels de sanction, les erreurs les plus courantes et la méthode concrète pour mettre votre parc d'impression en conformité.
|
À retenir :
- Le RGPD s'applique aux documents imprimés et scannés au même titre qu'aux fichiers numériques : un fichier papier contenant des données personnelles est un traitement de données à part entière.
- Un photocopieur multifonction (MFP) traite, stocke et transmet des données personnelles : il entre dans le périmètre des articles 32, 33 et 35 du RGPD.
- Les sanctions peuvent atteindre 20 M€ ou 4 % du chiffre d'affaires mondial (manquements fondamentaux), ou 10 M€ / 2 % pour les manquements à la sécurité (article 32).
- En 2025, la CNIL a prononcé 486,8 M€ d'amendes (neuf fois plus qu'en 2024) : la sécurité insuffisante des données est devenue un motif de sanction récurrent.
- TEEMIO accompagne la mise en conformité de votre parc d'impression : matériel sécurisé, effacement documenté en fin de contrat, contrat de maintenance avec clause de confidentialité.
|
Pourquoi le RGPD s'applique aussi à vos impressions
Dès qu'une entreprise imprime ou scanne un document contenant des données personnelles — contrat, fiche de paie, bulletin médical, dossier client, fichier RH — elle effectue une opération de traitement de données au sens du RGPD. À ce titre, elle est responsable de la protection de ces données à chaque étape du flux d'impression.
La CNIL ne laisse aucune ambiguïté sur ce point : un fichier papier contenant des informations sur une personne identifiable est un traitement de données qui doit respecter les dispositions du RGPD, exactement comme un fichier numérique. Pourtant, l'impression reste l'un des angles morts les plus fréquents lors des audits de conformité : les équipes IT concentrent leurs efforts sur les bases de données, les emails et les logiciels RH, en oubliant que le photocopieur du couloir traite chaque jour des dizaines de documents sensibles.
Une imprimante est-elle vraiment concernée par le RGPD ?
Oui, sans réserve. Un photocopieur multifonction moderne n'est pas un simple périphérique : il imprime, scanne, copie, faxe et stocke des documents sur un disque dur interne, et les transmet sur le réseau ou vers le cloud. Chacune de ces fonctions manipule potentiellement des données personnelles. Dès lors qu'un MFP traite un contrat, un bulletin de paie ou un dossier patient, il entre pleinement dans le périmètre des articles 32, 33 et 35 du RGPD, au même titre qu'un serveur.
Les trois articles RGPD qui s'appliquent à l'impression
| Article RGPD |
Obligation pour l'entreprise |
| Article 32 |
Mettre en place des mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque |
| Article 33 |
Notifier la CNIL sous 72 heures en cas de violation de données personnelles |
| Article 35 |
Réaliser une analyse d'impact (AIPD) pour tout traitement susceptible d'engendrer un risque élevé |
L'article 32 est le plus structurant : il impose une obligation de moyens renforcée sur la sécurité, adaptée au risque. En pratique, en cas d'incident, c'est à l'entreprise de prouver qu'elle avait mis en œuvre des mesures de sécurité proportionnées — d'où l'importance de la documentation.
Ce que vous risquez vraiment : les sanctions
Le non-respect du RGPD expose à des sanctions administratives prononcées par la CNIL. Leur niveau dépend de la gravité du manquement.
Les niveaux de sanction
| Type de procédure |
Sanction maximale |
| Procédure simplifiée |
Amende jusqu'à 20 000 € + astreinte jusqu'à 100 €/jour de retard |
| Manquements à la sécurité (art. 32) |
Amende jusqu'à 10 M€ ou 2 % du CA mondial annuel |
| Manquements fondamentaux (droits, transparence) |
Amende jusqu'à 20 M€ ou 4 % du CA mondial annuel |
Un durcissement net en 2025
Le bilan CNIL publié en février 2026 confirme une montée en puissance : 486,8 millions d'euros d'amendes prononcées en 2025, contre 55,2 M€ en 2024 — soit un montant neuf fois supérieur. Si les montants record viennent surtout de grandes amendes liées aux cookies, la leçon pour les imprimantes est ailleurs : la sécurité insuffisante des données figure désormais parmi les trois manquements les plus fréquemment sanctionnés, et c'est précisément ce que recouvre un parc d'impression mal protégé.
Le risque ne se limite d'ailleurs pas à l'amende : les sanctions CNIL sont fréquemment rendues publiques, avec un impact réputationnel souvent plus lourd que la pénalité financière.
Des documents mal protégés, ça se sanctionne
Plusieurs sanctions montrent que l'accès non sécurisé à des documents personnels — exactement le type de fichiers qu'un MFP imprime, scanne ou stocke — est lourdement sanctionné. La société immobilière SERGIC a écopé de 400 000 € parce que des justificatifs de candidats à la location (carte vitale, relevés de compte, attestations CAF, jugements) étaient librement accessibles, sans authentification.
Active Assurances a été sanctionnée de 180 000 € pour des documents (permis de conduire, carte grise, RIB) accessibles sans contrôle d'accès. Dans les deux cas, le fondement est le même : le manquement à l'obligation de sécurité de l'article 32. Transposé à un parc d'impression, c'est le scénario du MFP en libre-service où n'importe qui récupère sur le bac un document scanné ou imprimé contenant des données sensibles.
Les principes RGPD appliqués à l'impression
Quatre principes fondamentaux du RGPD trouvent une application directe dans la gestion d'un parc d'impression.
La minimisation
N'imprimer que ce qui est strictement nécessaire (article 5.1.c). Ce principe impose de questionner systématiquement la nécessité d'imprimer un document contenant des données personnelles. La dématérialisation, quand elle est possible, est à la fois plus économique et plus conforme.
La confidentialité
Empêcher tout accès non autorisé à un document imprimé ou scanné. Concrètement : une authentification à la machine pour récupérer ses impressions, l'absence de libre-service sur les MFP partagés, et une règle claire sur ce qui peut ou ne peut pas être imprimé.
L'intégrité
Garantir que le document n'est ni altéré ni intercepté pendant le flux d'impression. Cela suppose un chiffrement des flux réseau et un chiffrement du stockage sur le disque dur du MFP.
La traçabilité
Prouver les mesures mises en place. C'est le cœur de l'accountability (article 5.2) : en cas de contrôle, c'est à l'entreprise de démontrer sa conformité, pas à la CNIL de prouver le manquement. D'où la nécessité de journaliser les impressions et de conserver les logs de façon sécurisée.
Les erreurs RGPD les plus courantes sur un parc d'impression
Voici les manquements les plus fréquemment observés. Chacun peut faire l'objet d'une sanction.
L'impression en libre-service sans authentification
Des MFP accessibles à tous, sans badge ni code PIN. N'importe qui peut lancer ou récupérer un document confidentiel. Manquement à l'article 32.
Les documents oubliés sur le bac
Une impression lancée puis oubliée plusieurs heures sur la machine. Si le document contient des données personnelles, le simple fait qu'un tiers y accède constitue une violation au sens de l'article 33, avec notification CNIL sous 72 heures.
L'absence de chiffrement du disque dur
Les MFP stockent temporairement les documents imprimés et scannés sur leur disque dur interne. Sans chiffrement, ces données restent récupérables. Manquement à l'article 32.
La restitution ou mise au rebut sans effacement
C'est l'un des manquements les plus graves — et les plus fréquents en fin de location. La CNIL est explicite sur ce point : il ne faut jamais réutiliser, revendre ou jeter un support ayant contenu des données personnelles sans suppression sécurisée préalable. Or le disque dur d'un photocopieur est précisément un tel support, qui peut contenir des milliers de documents imprimés ou scannés. Le restituer ou le mettre au rebut sans effacement documenté expose directement l'entreprise.
L'absence de journalisation
Sans logs d'impression, impossible de prouver les mesures de sécurité ni d'identifier la source d'une fuite. Manquement au principe d'accountability (article 5.2).
La non-notification d'une violation
L'article 33 impose une notification à la CNIL dans les 72 heures. Une notification absente ou tardive constitue un manquement aggravant.
L'absence d'AIPD pour les traitements sensibles
Pour les secteurs sensibles (santé, social, RH, juridique), l'article 35 impose une Analyse d'Impact avant tout déploiement traitant des données sensibles à grande échelle. Son absence est désormais retenue comme un manquement autonome.
Comment mettre votre parc d'impression en conformité ?
La mise en conformité suit une démarche structurée. Une remarque préalable utile : le RGPD ne s'applique pas qu'aux grandes structures. Toute organisation qui traite des données personnelles est concernée, y compris les TPE et PME — et les manquements y sont sanctionnés.
Étape 1 — Cartographier le parc et les flux
Recenser toutes les imprimantes et MFP en service, leurs configurations, les utilisateurs, les flux de données (scan vers email, cloud, serveur) et les protocoles utilisés. Sans cartographie précise, aucune mise en conformité n'est possible — c'est l'état des lieux qui révèle les angles morts.
Étape 2 — Intégrer les imprimantes au registre des traitements
Conformément à l'article 30 du RGPD, chaque traitement doit figurer au registre. Pour chaque MFP, documenter la nature des données traitées, les finalités (impression, scan, copie, fax), les destinataires, les mesures de sécurité et la durée de conservation des logs.
Étape 3 — Réaliser une AIPD si nécessaire
Pour les secteurs sensibles ou les traitements à grande échelle, conduire une Analyse d'Impact (article 35). Elle identifie les risques élevés et définit les mesures de mitigation avant le déploiement. Attention : identifier les risques ne suffit pas, encore faut-il déployer effectivement les mesures retenues — un écart qui est lui-même sanctionnable.
Étape 4 — Déployer les mesures techniques
Mettre en œuvre les protections de l'article 32 : authentification utilisateur sur tous les MFP, impression sécurisée par flux tiré pour éliminer les documents oubliés, chiffrement du disque et des flux, effacement sécurisé après impression, désactivation des protocoles obsolètes, mises à jour firmware régulières.
Étape 5 — Formaliser une politique d'impression
Documenter par écrit qui peut imprimer quoi, où et comment, quelles données ne doivent jamais être imprimées, quelles procédures en cas d'incident et quelle durée de conservation des logs. Cette politique d'impression formalisée et diffusée doit faire l'objet de formations régulières.
Étape 6 — Superviser et auditer
Mettre en place un pilotage continu : indicateurs de conformité, audits réguliers, mise à jour de la documentation, vérification des logs. La conformité RGPD n'est pas un état figé mais un processus permanent, qui passe aussi par le durcissement réseau de vos imprimantes connectées face aux cyberattaques.
Comment prouver sa conformité lors d'un contrôle ?
En cas de contrôle CNIL, c'est à l'entreprise de démontrer activement sa conformité. Quatre documents constituent le socle minimum : le registre des traitements incluant les MFP, l'AIPD si elle a été réalisée, la politique d'impression formalisée et diffusée, et les preuves techniques (logs, certificats d'effacement, captures de configuration, registres de maintenance). C'est l'essence du principe d'accountability.
Le point souvent oublié : sous-traitants et bailleurs
L'article 28 du RGPD impose de n'avoir recours qu'à des sous-traitants présentant des garanties suffisantes. Pour un parc d'impression, deux intervenants sont concernés.
Le prestataire de maintenance
Un technicien intervenant sur un MFP accède potentiellement à des données personnelles (logs, files d'attente, disques durs). Le contrat de maintenance doit prévoir une clause de confidentialité étendue à tous les intervenants, les modalités d'accès aux équipements, les procédures de remontée en cas d'incident et les engagements d'effacement.
Le bailleur (location ou leasing)
En location longue durée ou en leasing, le bailleur (souvent un organisme de financement) est propriétaire du matériel. À la fin du contrat, l'équipement lui revient. Le contrat doit donc prévoir l'effacement sécurisé obligatoire des disques durs avant restitution, sa vérification documentée (certificat) et la responsabilité explicite en cas de fuite après restitution.
C'est un point fréquemment négligé : si un MFP restitué sans effacement génère une fuite un an après, la responsabilité initiale reste celle de l'entreprise locataire, pas du bailleur.
Mettez votre parc d'impression en conformité avec TEEMIO
Vous voulez réduire le risque RGPD sur votre parc d'impression ? TEEMIO vous accompagne avec du matériel et des engagements adaptés :
- Effacement sécurisé documenté en fin de contrat, avec certificat de destruction : votre disque dur de MFP ne quitte jamais vos locaux sans preuve d'effacement
- Photocopieurs professionnels à sécurité avancée : Sharp BP avec Bitdefender intégré, Canon imageFORCE, Ricoh IM, chiffrement disque et authentification utilisateur
- Contrat de maintenance avec clause de confidentialité étendue à tous les intervenants
- 44 ans d'expertise en location, vente et maintenance de photocopieurs professionnels, avec un SAV sous 4 h ouvrées en Île-de-France
Pour mettre votre parc d'impression en conformité avec le RGPD, contactez TEEMIO par téléphone au 01 87 12 52 52, par email à [email protected] ou demandez votre devis personnalisé via notre formulaire en ligne.
|