RGPD et impression : ce que votre parc d’imprimantes doit respecter en 2026

Un article rédigé par notre équipe terrain Bureau Concept sur un sujet peu commun et assez technique : la RGPD et les impressions.

Quand on parle de conformité RGPD dans une entreprise, les premières images qui viennent à l’esprit sont celles des bases de données, des formulaires en ligne, des cookies. L’imprimante, elle, reste dans l’ombre. C’est précisément pour ça qu’elle est devenue l’un des vecteurs de fuite de données les plus fréquents dans les PME françaises.

Selon le rapport Quocirca Print Security Landscape 2024, 67 % des entreprises européennes ont subi au moins une violation de données liée à l’impression au cours des douze derniers mois. En France, la CNIL a enregistré 5 629 notifications de violations de données en 2023, soit une hausse de 14 % par rapport à 2022. Une part non négligeable de ces violations implique des documents physiques ou des équipements multifonctions mal sécurisés.

Chez Bureau Concept, nous travaillons avec des TPE, des PME et des collectivités dans le Gers, à Auch, à Tarbes et dans tout le bassin de l’Occitanie. Ce qu’on constate sur le terrain, c’est que la question de la conformité RGPD des parcs d’impression est rarement posée, souvent reportée, et parfois complètement ignorée. Cet article a pour objectif de changer ça.

 

L’imprimante, l’angle mort de votre politique RGPD

Des données qui voyagent sans qu’on le sache

Ici, il ne sera pas question de marque d’imprimante que cela soit Xerox, HP ou autre, toutes les imprimantes sont impliquées. Une imprimante moderne n’est plus un simple périphérique de sortie. C’est un ordinateur à part entière, connecté au réseau local, parfois à Internet, doté d’un disque dur interne, d’une mémoire flash, d’un processeur, d’une adresse IP, d’un serveur web embarqué et souvent d’un accès aux e-mails ou aux clouds de stockage. La totalité des documents qui transitent par la machine : factures, contrats, bulletins de paie, données médicales, coordonnées clients, est stockée temporairement, et dans certains cas définitivement, sur ce disque interne.

IDC estime que plus de 60 % des imprimantes professionnelles en service aujourd’hui conservent des images de documents sur leur mémoire interne, même après la fin d’une session. Quand un appareil est revendu, mis en leasing ou simplement réformé sans effacement sécurisé du disque dur, les données partent avec.

« Les dispositifs d’impression sont souvent le maillon le plus faible de la chaîne de sécurité informatique d’une organisation. Ils sont connectés au réseau mais rarement inclus dans les politiques de sécurité formelles. » ,  Ponemon Institute, State of Print Security Report

Le bac de sortie comme source de fuite

Il y a aussi la dimension physique, qu’on oublie trop facilement. Un document imprimé et oublié dans le bac de sortie pendant 2 heures par exemple, dans un open space : c’est une violation de données potentielle au sens du RGPD. Le règlement ne distingue pas les fuites numériques des fuites papier.

Article 4 du RGPD : sont des données personnelles toutes les informations qui permettent d’identifier directement ou indirectement une personne physique. Un bon de commande avec un nom, une adresse, un montant, c’est une donnée personnelle. Un bulletin de salaire imprimé par erreur sur une imprimante partagée et récupéré par un collègue, c’est une violation au sens strict.

 

Ce que le RGPD impose à vos équipements d’impression : la partie technique et juridique

L’article 32 : la sécurité du traitement

L’article 32 du RGPD oblige le responsable de traitement à mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Cette obligation générale s’applique aux imprimantes et aux multifonctions dès lors qu’ils traitent des données personnelles, c’est-à-dire dans la quasi-totalité des cas en entreprise.

Concrètement, ça veut dire qu’une imprimante connectée à votre réseau qui n’est pas à jour de ses firmwares, qui accepte les connexions non authentifiées, qui stocke les documents sans chiffrement et qui n’enregistre aucun log d’activité est en non-conformité RGPD. Pas d’interprétation possible. La CNIL le dit clairement dans ses guides sectoriels.

Le Privacy by Design appliqué à l’impression

Le concept de Privacy by Design, inscrit à l’article 25 du RGPD, impose d’intégrer la protection des données dès la conception du traitement, et non en réaction à un incident. Appliqué à l’impression, cela signifie que lors du renouvellement d’un parc ou de l’achat d’un nouveau multifonction, la conformité RGPD doit être un critère de sélection au même titre que la vitesse d’impression ou le coût à la page.

C’est précisément pourquoi nous recommandons chez Bureau Concept des équipements Xerox qui intègrent nativement des fonctions de sécurité avancées : chiffrement AES 256 bits des données sur disque dur, effacement sécurisé conforme aux standards NIST 800-88, authentification par badge ou code PIN, journalisation des activités et gestion des droits d’accès granulaire.

 

Les 8 points de conformité à vérifier sur votre parc d’impression en 2026

La mise en conformité d’un parc d’impression n’est pas une opération unique. C’est un ensemble de points à vérifier, à configurer et à documenter.

Voici les 8 vérifications que nous réalisons systématiquement lors d’un audit de parc chez nos clients qu’ils soient dans le Gers ou les Hautes-Pyrénées.

1. Le chiffrement du disque dur interne

Toute imprimante multifonction dotée d’un disque dur interne doit chiffrer les données qu’elle stocke. Le standard attendu en 2026 est le chiffrement AES 256 bits. Sans ce chiffrement, n’importe qui ayant accès physique à la machine peut extraire les données avec un simple adaptateur. Certains appareils d’entrée de gamme ne proposent toujours pas cette fonctionnalité en standard. C’est un point éliminatoire lors d’un achat.

2. L’authentification avant impression

La fonction d’impression sécurisée (également appelée Follow-Me Printing, impression de suivi ou pull printing) permet de retenir le document dans une file d’attente sécurisée et de ne le libérer qu’après identification de l’utilisateur sur l’appareil, par badge RFID, code PIN ou identification biométrique. Ce mécanisme réduit drastiquement le risque de documents oubliés dans le bac de sortie.

3. L’effacement sécurisé des données

Deux niveaux d’effacement sont à distinguer. L’effacement automatique après chaque tâche, qui supprime les données de travail de la mémoire vive et du disque une fois le document imprimé. L’effacement sécurisé complet lors de la réforme ou du changement de prestataire, qui doit répondre aux spécifications NIST 800-88 ou équivalentes. Sans ce second niveau, revendre ou rendre une machine en fin de contrat revient à transmettre une clé USB remplie de vos données clients.

4. La gestion des mises à jour de firmware

Les firmwares des imprimantes contiennent régulièrement des correctifs de sécurité. Or, selon Quocirca, moins de 40 % des entreprises appliquent ces mises à jour de façon systématique. Un firmware obsolète, c’est une porte ouverte sur votre réseau. Nous configurons chez nos clients des alertes automatiques et des mises à jour programmées via les outils de gestion à distance Xerox CentreWare Web ou Xerox Device Manager.

5. La segmentation réseau

Vos imprimantes doivent idéalement être placées dans un VLAN dédié, isolé du reste du réseau de production. Cette segmentation empêche qu’une compromission d’un périphérique d’impression serve de point d’entrée vers vos serveurs de fichiers ou votre ERP. C’est une recommandation de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) que nous intégrons systématiquement dans nos préconisations d’installation.

6. La journalisation des activités

En cas de violation de données, vous devez être en capacité de démontrer qui a imprimé quoi, quand et depuis quel poste. Les logs d’impression sont une preuve de diligence vis-à-vis de la CNIL. Les multifonctions Xerox de gamme professionnelle permettent d’exporter ces journaux vers un système SIEM ou simplement vers un serveur de logs centralisé.

7. La politique de mot de passe et d’accès administrateur

Le mot de passe administrateur par défaut des imprimantes est souvent « admin », « 1111 » ou la même valeur pour toute la gamme du fabricant. Ces identifiants sont publics, répertoriés dans les manuels en ligne, et constituent un vecteur d’attaque trivial. Changer ces mots de passe dès l’installation et limiter l’accès à l’interface d’administration au seul réseau d’administration est une mesure de base que trop d’entreprises n’appliquent pas.

8. Le registre des traitements

L’article 30 du RGPD impose de tenir un registre des traitements de données. Vos imprimantes doivent y figurer en tant qu’outil de traitement, avec la liste des catégories de données traitées, les mesures de sécurité en place, les durées de conservation et les éventuels sous-traitants impliqués (fabricant, prestataire de maintenance, fournisseur de consommables). Ce registre est le premier document que la CNIL demande lors d’un contrôle.

 

Choisir un équipement conforme RGPD : ce que nous regardons chez Bureau Concept

Dans les 2 départements ou nous intervenons, nous accompagnons des structures très différentes : cabinets médicaux à Auch, études notariales à Mirande, collectivités dans le Grand-Auch, PME industrielles dans la zone de Tarbes-Lourdes. Dans tous ces contextes, la question de la conformité n’est pas la même, mais les critères de sélection des équipements convergent.

Les certifications et labels à exiger

Lors d’un achat, nous regardons systématiquement la présence des certifications Common Criteria (ISO 15408) : le standard international d’évaluation de la sécurité des systèmes d’information, la certification IEEE 2600 spécifique aux périphériques d’impression, et la conformité au standard FIPS 140-2 pour le chiffrement. Les multifonctions Xerox de la gamme AltaLink et VersaLink, que nous commercialisons et installons, répondent à ces standards et disposent de politiques de sécurité documentées publiquement.

Notre position dans le Gers

Nous sommes Xerox Gold Partner depuis de nombreux années maintenant, ce qui signifie que nous avons accès aux outils de configuration avancée, aux formations constructeur et au support technique de niveau supérieur. Concrètement, quand nous installons une machine chez un client, nous ne la sortons pas du carton et nous ne partons pas. Nous configurons la sécurité réseau, nous paramétrons les droits d’accès, nous activons le chiffrement et l’effacement automatique, et nous formons le référent informatique interne. La conformité RGPD d’un parc d’impression ne dépend pas que de la machine. Elle dépend aussi de l’installateur.

 

Ce que risque votre entreprise en cas de non-conformité

Les sanctions de la CNIL

La CNIL peut prononcer des sanctions financières allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé. Dans la pratique, les amendes infligées aux PME françaises se situent plutôt entre quelques milliers et quelques centaines de milliers d’euros. En 2022, la CNIL a sanctionné la société Dedalus Biologie à hauteur de 1,5 million d’euros pour une violation de données médicales qui impliquait, entre autres, des données exportées depuis des logiciels sans chiffrement adéquat. Le principe de cette sanction des données sensibles non protégées sur des systèmes connectés, s’applique tout aussi bien à un disque dur d’imprimante.

Au-delà de l’amende, c’est la notification obligatoire qui fait souvent le plus de dégâts. Toute violation de données présentant un risque pour les personnes concernées doit être notifiée à la CNIL dans les 72 heures. Si les personnes dont les données ont été compromises doivent être informées, c’est la réputation de l’entreprise qui prend le coup.

L’exemple d’une violation liée à l’impression

En 2021, une clinique allemande a subi une violation de données après qu’un ancien prestataire de maintenance a récupéré un multifonction en fin de leasing sans effacement du disque dur. Les données de plusieurs centaines de patients, noms, numéros de sécurité sociale, diagnostics, étaient lisibles. Le règlement amiable a coûté plusieurs centaines de milliers d’euros. L’équipement en question avait moins de cinq ans. La clause d’effacement sécurisé n’était pas dans le contrat de leasing.

C’est un scénario que nous évitons chez nos clients en intégrant systématiquement une clause d’effacement sécurisé dans les contrats de maintenance et de reprise de matériel. Ce n’est pas de la paranoïa. C’est du bon sens contractuel en fait !.

 

Comment nous accompagnons les entreprises du Gers et des Hautes-Pyrénées vers la conformité ?

L’audit de parc d’impression

Nous proposons un audit complet du parc d’impression pour les entreprises qui souhaitent évaluer leur niveau de conformité RGPD. Cet audit passe en revue l’ensemble des périphériques connectés au réseau,  imprimantes locales, multifonctions en réseau, traceurs, leur configuration réseau, leur version de firmware, les fonctions de sécurité activées ou non, et les pratiques des utilisateurs. À l’issue de l’audit, nous pouvons remettre, si vous le souhaitez un rapport avec un plan d’actions priorisé et chiffré.

Le renouvellement de parc orienté conformité

Pour les structures qui ont un parc vieillissant, le renouvellement est souvent l’occasion idéale de passer à des équipements conformes. Nous proposons des solutions de leasing ou de location longue durée incluant la maintenance, la gestion à distance, les mises à jour de firmware et l’effacement sécurisé en fin de contrat. C’est une approche qui transforme la conformité RGPD en coût maîtrisé et prévisible plutôt qu’en risque latent.

La formation des utilisateurs

La technique ne suffit pas. Nous formons aussi les équipes aux bonnes pratiques d’impression : ne jamais laisser un document dans le bac de sortie, utiliser la fonction d’impression sécurisée, ne pas connecter de clés USB non identifiées aux ports des multifonctions, signaler tout comportement anormal de la machine. En Occitanie comme ailleurs au final, les violations de données ne sont pas toujours liées à une attaque externe. Souvent, c’est une erreur humaine.

 

Notre FAQ Bureau Concept : Les questions fréquentes sur le RGPD et l’impression

Une TPE de moins de 10 salariés est-elle concernée par le RGPD pour ses imprimantes ?

Oui, sans exception. Le RGPD s’applique à toute entité qui traite des données personnelles, quelle que soit sa taille. Dès qu’une TPE imprime des factures, des contrats ou des fiches clients sur une imprimante réseau, elle est concernée. Les obligations sont les mêmes ; seule la complexité des mesures à mettre en œuvre est proportionnée à la sensibilité des données traitées et aux risques associés.

Faut-il faire figurer les imprimantes dans le registre des traitements RGPD ?

Oui. Les imprimantes et multifonctions sont des outils de traitement de données personnelles. Ils doivent figurer dans le registre des traitements en tant que sous-entrée des traitements qu’ils supportent (gestion des RH, des clients, des fournisseurs, etc.). Vous devez y indiquer les mesures de sécurité en place : chiffrement, authentification, politique de conservation des logs.

Que se passe-t-il si on rend une imprimante en fin de leasing sans effacer le disque dur ?

Le bailleur ou le prestataire reprend l’équipement avec potentiellement l’ensemble des données qui y sont stockées. Vous restez responsable de traitement de ces données. Si elles sont ensuite exploitées par un tiers, vous pouvez être tenu pour responsable d’une violation de données et contraint de notifier la CNIL. La solution est simple : exiger contractuellement une attestation d’effacement sécurisé lors de chaque reprise de matériel.

Les imprimantes Wi-Fi sont-elles plus risquées que les imprimantes câblées ?

Le Wi-Fi ajoute un vecteur d’attaque supplémentaire si le réseau sans fil n’est pas correctement sécurisé (WPA2 ou WPA3, mot de passe fort, réseau invité séparé). Dans un environnement professionnel, nous recommandons de connecter les imprimantes en filaire sur un VLAN dédié et de désactiver la connexion Wi-Fi directe si elle n’est pas nécessaire. L’ANSSI recommande la même approche dans son guide sur la sécurité des architectures réseau d’entreprise.

Comment nous pouvons vous aider concrètement à mettre nos imprimantes en conformité RGPD ?

Nous réalisons un audit de votre parc existant si vous le souhaitez, nous vous proposons un plan d’action avec les configurations à modifier et les équipements à remplacer si nécessaire, nous assurons l’installation et le paramétrage complet. Nous sommes joignables à Auch et à Tarbes, et nous intervenons dans tout le Gers, les Hautes-Pyrénées. Contactez-nous directement pour un premier rendez-vous.

Le RGPD impose-t-il un délai de conservation des logs d’impression ?

Le RGPD impose le principe de minimisation et de limitation de la conservation. Les logs d’impression contenant des données personnelles (identifiant utilisateur, heure, nom du document) ne doivent pas être conservés indéfiniment. La CNIL recommande en général une durée de conservation comprise entre 3 et 6 mois pour les logs de sécurité, sauf obligation légale contraire (par exemple dans certains secteurs régulés). Cette durée doit figurer dans votre registre des traitements.

 

Nous ne vendons pas que des imprimantes. Nous proposons des parcs d’impression qui fonctionnent, qui durent et qui protègent vos données. Si vous êtes dans le Gers, les Hautes-Pyrénées ou en Occitanie, et que vous voulez qu’on passe en revue votre parc, appelez-nous ou passez nous voir à Auch ou à Tarbes. On prend le temps de regarder votre situation réelle, pas celle d’une entreprise fictive dans un guide générique.