Quand vous confiez un contrat, un dossier médical ou des états financiers à une agence de traduction, où vont ces données ? Qui y a accès ? Combien de temps sont-elles conservées ? Le RGPD impose des obligations précises aux prestataires - voici ce que vous devez vérifier avant de signer.
Le problème que peu de clients anticipent
Lorsqu'une entreprise ou un particulier fait appel à une agence de traduction, l'attention se porte naturellement sur la qualité linguistique et le délai de livraison. La question de la protection des données passe souvent au second plan - jusqu'au moment où elle devient un problème.
Pourtant, les documents envoyés à une agence de traduction contiennent fréquemment des données sensibles : noms et adresses de personnes physiques, numéros d'identification, informations médicales, données financières, secrets commerciaux, clauses contractuelles confidentielles. En transmettant ces documents, vous déclenchez automatiquement l'application du Règlement Général sur la Protection des Données (RGPD).
La question n'est pas de savoir si le RGPD s'applique - il s'applique dans tous les cas dès qu'il y a traitement de données personnelles de résidents européens. La question est : votre agence de traduction est-elle réellement conforme ?
Ce que le RGPD impose aux prestataires de traduction
Juridiquement, quand une entreprise envoie des documents contenant des données personnelles à une agence de traduction, cette agence agit en qualité de sous-traitant au sens du RGPD (article 28). Cela implique plusieurs obligations concrètes :
1. L'accord de traitement des données (DPA)
Un Data Processing Agreement (DPA) doit être signé entre vous (le responsable du traitement) et l'agence (le sous-traitant). Ce contrat précise : la nature et la finalité du traitement, les catégories de données traitées, les mesures de sécurité mises en place, les obligations de l'agence en matière de confidentialité, et les conditions de suppression des données à la fin du contrat.
Si une agence de traduction ne vous propose pas de DPA ou ne sait pas de quoi il s'agit, c'est un signal d'alarme sérieux. Vous seriez vous-même en infraction avec le RGPD pour avoir confié des données à un sous-traitant non conforme.
2. La localisation des serveurs et des données
Le RGPD interdit le transfert de données personnelles vers des pays tiers à l'EEE (Espace Economique Européen) sans garanties adéquates. Or, de nombreuses plateformes de traduction utilisent des serveurs aux Etats-Unis, en Asie, ou font appel à des sous-traitants hors EU pour réduire leurs coûts.
Vérifiez toujours où sont physiquement stockés vos documents. La réponse doit être précise : pas "nos serveurs sont sécurisés" mais "nos données sont hébergées chez [prestataire] dans [datacenter] en [pays EU]".
Bon à savoir
Le "Cloud Act" américain permet aux autorités US d'accéder aux données stockées sur des serveurs d'entreprises américaines, même si ces serveurs sont physiquement situés en Europe. Des prestataires comme AWS, Google Cloud ou Microsoft Azure sont concernés. Privilégiez des prestataires dont l'hébergement est confié à des fournisseurs européens indépendants.
3. La durée de conservation limitée
Le RGPD impose le principe de "minimisation des données" : les données ne doivent être conservées que le temps strictement nécessaire à la finalité du traitement. Pour une agence de traduction, cela signifie que vos documents sources et traduits ne doivent pas rester indéfiniment sur leurs serveurs.
Une agence conforme doit avoir une politique de rétention documentée et une procédure de suppression automatique des fichiers après un délai défini post-livraison.
4. La confidentialité des traducteurs
L'agence doit s'assurer que tous les traducteurs auxquels elle confie vos documents ont signé un accord de non-divulgation (NDA). Dans le cas de documents très sensibles (procès, due diligence, essais cliniques), il est légitime d'exiger un NDA spécifique à votre projet.
5. Pas de sous-traitance hors EU sans garanties
Certaines agences sous-traitent à d'autres agences, parfois hors de l'Union européenne. Le RGPD l'autorise, mais avec des conditions strictes (clauses contractuelles types de la Commission européenne, BCR, etc.). Demandez toujours si l'agence fait appel à des sous-traitants et où ils sont établis.
TranslateBE
TranslateBE : conformité RGPD documentée et vérifiable
Serveurs EU, suppression des fichiers 30 jours après livraison, NDA traducteurs, DPA disponible sur demande.
Demander un devis gratuitCe que TranslateBE fait concrètement pour protéger vos données
La conformité RGPD n'est pas un argument marketing chez TranslateBE - c'est une architecture technique et contractuelle concrète :
- Hébergement EU uniquement : vos documents sont stockés sur Supabase (datacenter Frankfurt, EU-West-1). Aucune donnée ne transite vers des serveurs hors de l'Union européenne.
- Suppression automatique après 30 jours : vos fichiers sources et traduits sont automatiquement supprimés de nos serveurs 30 jours après la livraison. Un email vous prévient 7 jours avant la suppression si vous souhaitez télécharger vos documents.
- Accès signé et temporaire : les liens de téléchargement de vos documents sont des URLs signées avec expiration maximale de 1 heure. Il n'existe pas de liens publics permanents vers vos fichiers.
- NDA systématique : tous les traducteurs qui travaillent avec TranslateBE ont signé un accord de confidentialité. Pour les projets sensibles (juridique, médical, financier), un NDA spécifique au projet est disponible sur demande.
- Aucune sous-traitance hors EU : nous ne transférons pas vos documents à des agences ou traducteurs établis hors de l'EEE.
- DPA disponible : nous signons un Data Processing Agreement avec nos clients professionnels qui traitent des données personnelles de tiers. Demandez-le lors de votre premier contact.
Pour plus de détails sur notre politique de confidentialité : consultez notre page dédiée.
La checklist RGPD avant de choisir votre agence de traduction
Avant de confier des documents sensibles à une agence, posez ces questions concrètes :
- Où sont physiquement hébergés mes documents ? (pays, prestataire cloud)
- Proposez-vous un Data Processing Agreement (DPA) ?
- Combien de temps conservez-vous mes fichiers après livraison ?
- Vos traducteurs ont-ils signé un accord de confidentialité ?
- Faites-vous appel à des sous-traitants hors Union européenne ?
- Comment sont sécurisés les accès à vos systèmes informatiques ?
Si l'agence ne peut pas répondre précisément à ces questions, envisagez de vous tourner vers un prestataire qui a documenté sa conformité. Pour approfondir : notre guide pour choisir une agence de traduction en Belgique.
Bon à savoir
En cas de violation de données chez votre prestataire de traduction, vous êtes co-responsable vis-à-vis de l'Autorité de protection des données (APD en Belgique) si vous n'avez pas signé de DPA. Le DPA transfère une partie de la responsabilité sur le sous-traitant, mais ne vous exonère pas totalement. C'est une raison supplémentaire de travailler uniquement avec des prestataires conformes.
FAQ
Questions fréquentes
Dois-je signer un DPA avec mon agence de traduction même pour une mission ponctuelle ?
Techniquement, oui, dès lors que les documents contiennent des données personnelles de tiers (noms, adresses, données médicales ou financières). En pratique, pour une mission ponctuelle avec un document ne contenant que vos propres données, le risque est limité. Mais pour des documents professionnels impliquant des données de clients, employés ou partenaires, un DPA est indispensable. Chez TranslateBE, il est disponible sur simple demande.
Que risque-t-on si son agence de traduction n'est pas conforme RGPD ?
En tant que responsable du traitement, vous pouvez être tenu responsable vis-à-vis de l'APD (Autorité de Protection des Données en Belgique) si vous confiez des données personnelles à un sous-traitant non conforme. Les sanctions peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel. Au-delà des amendes, c'est votre réputation auprès de vos clients et partenaires qui est en jeu.
Comment sont protégés les documents médicaux ou juridiques ?
Chez TranslateBE, les documents sensibles (médicaux, juridiques, financiers) bénéficient des mêmes protections techniques que tous nos fichiers, plus des protections contractuelles renforcées : NDA spécifique disponible, accès restreint aux seuls traducteurs désignés pour la mission, suppression dans les 30 jours post-livraison. Pour les missions particulièrement sensibles, nous pouvons discuter de conditions spécifiques lors du devis.
Peut-on envoyer des documents contenant des données médicales à une agence de traduction ?
Oui, mais avec des précautions. Les données médicales sont des "données sensibles" au sens du RGPD (article 9), soumises à des protections renforcées. Il faut un DPA signé, s'assurer que le prestataire dispose de mesures de sécurité adaptées, et vérifier que le traducteur est soumis au secret professionnel ou a signé un NDA strict. La pseudonymisation des documents (remplacement des noms par des codes) avant envoi est une bonne pratique quand c'est possible.
Vos documents confidentiels protégés - Devis en 1h
RGPD conforme, serveurs Frankfurt EU, suppression automatique, DPA disponible. La confidentialité n'est pas une option.