Suivi de documents et RGPD : ce qui est légal ou non
Le suivi de documents est-il conforme au RGPD ? Oui — quand c'est bien fait. Voici la base légale, les données collectables et ce que tu dois divulguer.
May 27, 2026 · 13 min read
Le suivi de documents est-il conforme au RGPD ? Réponse courte : oui
La plupart des équipes entendent « RGPD » et supposent que le suivi de documents est interdit.
Il ne l'est pas.
Le suivi de documents conforme au RGPD est licite dans l'Espace économique européen — à condition que tu disposes d'une base légale, que tu divulgues ce que tu collectes et que tu respectes les droits des personnes concernées inscrits dans le règlement.
Les équipes qui ont réellement des ennuis sont rarement celles qui font de l'analyse page par page sur une proposition commerciale.
Ce sont celles qui stockent des e-mails de destinataires sans consentement, qui conservent indéfiniment des journaux de vues, ou qui enrichissent discrètement des ouvertures anonymes avec des courtiers de données tiers. Ce sont des problèmes distincts — et ils sont évitables.
Ce guide passe en revue ce que le RGPD dit réellement du suivi de documents, quelles données tu peux collecter de façon anonyme, ce qui exige un consentement explicite et ce qu'il faut inscrire dans ta politique de confidentialité.
Ce n'est pas un avis juridique. C'est une carte pratique du territoire dans lequel la plupart des équipes B2B évoluent chaque jour.
Les bases du RGPD pour le suivi de documents
Le RGPD — le Règlement général sur la protection des données — régit le traitement des données personnelles des individus dans l'Espace économique européen.
Deux notions comptent le plus pour le suivi de documents.
La base légale du traitement.
Le RGPD exige que chaque traitement de données personnelles relève de l'une des six bases légales. Pour le suivi de documents, deux sont pertinentes en pratique :
- L'intérêt légitime (article 6, paragraphe 1, point f). La base la plus courante pour le suivi de documents B2B. Si tu envoies une proposition commerciale à un contact professionnel connu et que tu veux savoir s'il l'a lue, l'analyse autour de cette vue est généralement défendable au titre de l'intérêt légitime — à condition que le destinataire ait pu raisonnablement s'y attendre et que tu documentes le test de mise en balance.
- Le consentement (article 6, paragraphe 1, point a). Requis lorsque tu collectes des données personnelles identifiables auprès d'une personne qui n'a pas initié le contact. Les parcours de « Capture de prospects » qui demandent à un lecteur de saisir son e-mail avant de lire un document entrent dans ce cas.
Les droits des personnes concernées.
Toute personne dont tu traites les données a le droit d'y accéder, de les corriger, de les supprimer, d'en restreindre le traitement et de s'opposer à un traitement fondé sur l'intérêt légitime. Ta configuration de suivi doit prendre en charge ces droits sur le plan opérationnel — pas seulement dans ta politique de confidentialité.
Une façon claire d'y voir.
L'analyse anonyme de documents que tu as envoyés à un contact professionnel connu, conservée pendant une durée raisonnable, est presque toujours défendable.
L'analyse identifiable — liée à un individu nommé — nécessite une base plus solide et une divulgation plus claire.
Ce que tu peux collecter de façon anonyme
Les signaux de suivi anonymes sont le pain quotidien du suivi de documents conforme au RGPD.
Aucun d'eux ne nécessite de consentement à lui seul, car aucun n'identifie une personne précise :
- Données géographiques dérivées de l'IP. Pays, région, parfois ville. L'adresse IP brute elle-même est une donnée personnelle au sens du RGPD, c'est pourquoi la plupart des plateformes de suivi la tronquent ou la hachent avant de la stocker et n'exposent que le signal géographique dérivé.
- Métadonnées de l'appareil et du navigateur. Système d'exploitation, famille de navigateur, taille d'écran, préférence de langue. Utile pour comprendre le rendu de tes documents, pas pour identifier une personne.
- URL de provenance. La page ou le lien source qui a amené le destinataire à ton document. Pratique pour l'analyse de la diffusion.
- Horodatages de session. Le moment où le document a été ouvert, la durée de consultation de chaque page, le moment où la session s'est terminée.
- Événements d'engagement. Profondeur de défilement, transitions de pages, ouvertures répétées au sein de la même session.
Ces signaux réunis te donnent une image solide des performances des documents sans jamais attacher de nom.
Dans un tableau de bord FlipLink typique, une session anonyme ressemble à « Visiteur de Munich, Chrome sur macOS, a ouvert ta proposition deux fois hier, a passé 4 minutes sur la page 7 ».
C'est une intelligence utile, et elle ne déclenche pas d'exigence de consentement à elle seule.
Ce que tu ne peux pas faire de façon anonyme :
- Combiner des signaux anonymes avec des données tierces pour ré-identifier le lecteur (une recherche inverse d'IP dans des bases d'entreprises, par exemple, peut transformer un suivi anonyme en traitement identifiable).
- Conserver des adresses IP brutes sans base de conservation documentée.
- Recouper des sessions anonymes sur plusieurs documents pour construire un profil comportemental d'une personne non nommée.
La frontière est « anonyme et agrégé » d'un côté, « identifiable ou ré-identifiable » de l'autre.
Reste du côté anonyme et l'analyse est courte. Passe en territoire identifiable et il te faut une base, une divulgation et un parcours de suppression.
Ce qui exige un consentement explicite
Dès que tu attaches un nom, un e-mail ou tout identifiant direct à une session de suivi, tu traites des données personnelles au sens fort.
L'exemple le plus clair est la Capture de prospects — une barrière par e-mail que le destinataire voit avant de pouvoir ouvrir le document.
Quand la Capture de prospects est activée :
- Le destinataire se voit présenter un formulaire qui demande son e-mail (et, en option, nom, entreprise ou téléphone).
- Il saisit sciemment l'information en échange de l'accès au document.
- Tous les événements de suivi ultérieurs sont liés à cette identité.
Ce schéma est compatible avec le RGPD parce que le destinataire donne un consentement éclairé à la barrière.
Il voit ce qu'il cède et ce qu'il obtient en retour.
Pour rester conforme :
- Indique clairement à quoi servira l'e-mail — accès au document, contact commercial de suivi, les deux, ou autre chose.
- Ne précoche pas les cases de consentement pour les communications marketing. Le consentement doit être actif.
- Fournis un moyen sans ambiguïté de retirer le consentement plus tard.
- Ne vends ni ne partage l'e-mail capturé avec des tiers, sauf si le destinataire y a explicitement consenti.
Sans barrière par e-mail, le suivi identifiable se produit encore dans deux cas précis.
Le premier, lorsque tu envoies un lien personnalisé — une URL unique par destinataire que tu peux relier à un contact connu dans ton CRM. Le second, lorsque le destinataire est déjà connu via un autre système, comme un portail client avec connexion.
Les deux situations reposent sur l'intérêt légitime, pas sur le consentement — mais les obligations de divulgation s'appliquent toujours.
Essaie FlipLink gratuitement
Convertis ton PDF en quelques secondes. Sans inscription, sans carte bancaire — il suffit de téléverser.
Drop your PDF here or click to browse
Max 40 Mo
Ce qu'il faut divulguer dans ta politique de confidentialité
Une politique de confidentialité conforme au RGPD n'a pas besoin d'être longue.
Elle doit être exacte.
Pour le suivi de documents en particulier, trois points couvrent la plupart des situations :
- Ce que tu collectes et pourquoi. Indique clairement que tu suis l'engagement avec les documents partagés par ton équipe — vues de pages, temps passé sur la page, appareil, région géographique — et explique la finalité (suivi commercial, amélioration du contenu, prévention de la fraude, selon ce qui s'applique).
- La base légale. Nomme-la : l'intérêt légitime pour l'analyse commerciale B2B, le consentement pour les parcours de Capture de prospects. Si tu utilises les deux, mentionne les deux.
- Conservation et droits. Indique combien de temps les données de suivi sont conservées et comment un destinataire peut demander l'accès, la correction ou la suppression.
Un exemple concret de paragraphe ressemble à ceci :
Lorsque tu ouvres un document partagé par notre équipe, nous collectons des indicateurs d'engagement, notamment les vues de pages, le temps passé sur la page, le type d'appareil et la localisation géographique approximative.
Ce traitement repose sur notre intérêt légitime à mesurer l'efficacité de nos supports.
Nous conservons ces données pendant 90 jours et tu peux demander l'accès ou la suppression à tout moment en écrivant à privacy@example.com.
C'est tout.
Tu n'as pas besoin d'un mur de jargon juridique. Tu as besoin d'exactitude et d'un point de contact pour les demandes des personnes concernées.
Si un destinataire demande un jour ce que tu collectes, oriente-le vers ce paragraphe et traite la demande dans le délai de conservation que tu as annoncé.
Conservation et suppression des données sur demande
Le RGPD ne fixe pas une durée de conservation unique.
Il exige que tu ne conserves les données personnelles pas plus longtemps que nécessaire à la finalité pour laquelle tu les as collectées, et que tu puisses les supprimer à la demande de la personne concernée.
L'approche par défaut de FlipLink :
- Conservation de 90 jours des événements de suivi au niveau de la session.
Les statistiques d'engagement agrégées persistent plus longtemps car elles ne sont plus liées à une session individuelle.
- Suppression sur demande.
Si un destinataire demande la suppression de ses données, les événements de suivi associés à son e-mail (quand la Capture de prospects est utilisée) ou à sa session anonyme peuvent être purgés du tableau de bord.
- Aucune donnée de catégorie particulière.
Le suivi de documents ne collecte pas de données de santé, biométriques, politiques ou d'autres catégories sensibles au titre de l'article 9.
C'est important parce que les données de catégorie particulière imposent un seuil de consentement et de garanties bien plus élevé — un seuil que tu ne veux pas assumer par accident à cause d'un déploiement de suivi bâclé.
Tu peux ajuster la conservation pour ton propre déploiement.
Certaines équipes gardent les événements de suivi pendant 30 jours, d'autres pendant un an, selon le cycle de vente. La règle est que la durée de conservation doit être défendable au regard de la finalité — pas arbitraire.
Quand une demande de suppression arrive, traite-la comme toute demande d'accès d'une personne concernée.
Vérifie l'identité du demandeur, localise les enregistrements, supprime-les et confirme la suppression par écrit.
Consigne la demande dans un journal interne pour pouvoir démontrer ta conformité lors d'un audit.
Notes sur le Royaume-Uni, l'EEE et le CCPA
Le RGPD n'est pas le seul cadre qui touche au suivi de documents.
Trois autres comptent pour les équipes qui opèrent au-delà des frontières.
Le RGPD britannique.
Après la sortie du Royaume-Uni de l'Union européenne, le pays a adopté un règlement quasi identique appelé UK-GDPR, supervisé par l'Information Commissioner's Office.
Les bases légales, les droits des personnes concernées et les obligations de divulgation sont essentiellement les mêmes que dans le RGPD de l'EEE. Si ton suivi est conforme aux règles de l'EEE, il l'est aussi au Royaume-Uni avec des ajustements très mineurs — surtout autour de l'autorité de contrôle et des mécanismes de transfert international.
Les États membres de l'EEE.
Chaque pays de l'EEE peut superposer des règles supplémentaires au RGPD. L'Allemagne, la France et les Pays-Bas, par exemple, ont une vision plus stricte de la surveillance des salariés et du consentement aux cookies.
Pour un suivi de documents destiné à des destinataires externes (prospects commerciaux, clients, partenaires), ces variations nationales changent rarement l'analyse de fond — mais pour le suivi de documents partagés en interne avec des salariés, consulte les recommandations de l'autorité locale de protection des données.
Le CCPA (Californie, États-Unis).
Le California Consumer Privacy Act est un cadre différent doté de mécanismes différents. Il se concentre sur la transparence et le droit de s'opposer à la « vente » de données personnelles plutôt que sur la base légale.
Pour la plupart des suivis de documents B2B, la conformité au CCPA se résume à trois choses : divulguer ce que tu collectes dans ta politique de confidentialité, honorer les demandes d'opposition et éviter de vendre les données à des tiers. Le CCPA n'exige pas de barrière par e-mail pour suivre l'engagement anonyme.
Si tu opères dans ces trois juridictions, l'approche la plus sûre est de concevoir pour le RGPD — le plus strict de l'ensemble — et le reste suit.
Une politique unique et cohérente est aussi plus facile à maintenir que trois variantes régionales qui dérivent avec le temps.
Documente tes décisions une seule fois, applique-les partout, et révise la politique quand les régulateurs mettent à jour leurs recommandations plutôt que chaque fois qu'un nouveau prospect t'interroge à ce sujet.
Avertissement
Remarque : cet article n'est pas un conseil juridique.
C'est une orientation pratique pour les équipes produit et marketing qui essaient de faire du suivi de documents de façon responsable.
La réglementation sur la confidentialité dépend des faits. La base légale qui fonctionne pour la prospection sortante d'une équipe peut ne pas convenir à la diffusion grand public d'une autre.
Les durées de conservation, les formulations de divulgation et les parcours de consentement devraient être examinés par un conseil qualifié avant que tu ne mettes quoi que ce soit en production, surtout si tu opères à grande échelle ou dans des secteurs réglementés.
Si tu es une petite équipe B2B qui suit des propositions commerciales auprès de contacts professionnels connus, les schémas de ce guide sont un point de départ raisonnable.
Si tu es un éditeur qui distribue des documents à des consommateurs, une équipe RH qui surveille des supports de formation pour les salariés, ou une entité réglementée dans la finance ou la santé, l'analyse devient vite plus spécifique.
Demande conseil à quelqu'un dont le métier est de lire le règlement.
FlipLink fournit les briques techniques — analyse d'engagement anonyme, Capture de prospects soumise au consentement, conservation configurable, suppression sur demande — mais la posture juridique de ton déploiement, c'est à toi de la définir.
Une courte liste de vérification à parcourir avec un conseil avant la mise en ligne :
- Confirme ta base légale par écrit pour chaque scénario de suivi que tu utilises.
- Mets à jour ta politique de confidentialité avec le cadre de divulgation en trois points ci-dessus.
- Fais correspondre ta durée de conservation à la finalité documentée du traitement.
- Définis un processus de suppression avec des responsables nommés et un niveau de service de réponse.
- Décide si tu as besoin d'un accord de traitement des données avec FlipLink en tant que sous-traitant.
Prêt à essayer un suivi de documents conforme au RGPD ? Démarre un essai gratuit et découvre ce que font tes documents une fois qu'ils ont quitté ta boîte de réception.
À lire également
Pour en savoir plus sur le fonctionnement du suivi de documents, à qui il s'adresse et comment le combiner à la capture de prospects, les pages suivantes de ce site vont plus loin :
Prêt à créer ton premier flipbook ?
Transforme tes PDF en flipbooks et documents interactifs. Lance-toi avec l'offre à vie de FlipLink — seulement $129 pour 100 publications actives.
À lire aussi
FlipHTML5 est-il sûr ? Confidentialité, données et sécurité
Revue de sécurité de FlipHTML5 : données collectées, statut RGPD, rétention après suppression, certifications manquantes et comparaison avec les alternatives.
FlippingBook est-il sûr ? Confidentialité et sécurité
Examen de la sécurité de FlippingBook : TLS/AES-256, hébergement AWS, conformité RGPD, pen-tests annuels, et comparaison avec FlipLink sur les prix et le contrôle d'accès.
Flipsnack est-il sûr ? Confidentialité et sécurité
Flipsnack détient les certifications SOC 2, ISO 27001 et RGPD. Découvre les données qu'il collecte, les contrôles d'accès par palier et sa comparaison avec FlipLink.