Les relevés bancaires contiennent des données personnelles sensibles. Ce guide explique les obligations RGPD, les recommandations de la CNIL sur la durée de conservation, et ce qu'il faut vérifier avant d'utiliser un outil de conversion.
Last updated 2026-07-04
Selon la CNIL, les relevés de compte doivent être conservés 5 ans, et la conservation excessive de données figure parmi les axes prioritaires de contrôle de la CNIL pour 2025-2026. Un relevé bancaire contient des données personnelles au sens du RGPD : nom, IBAN et historique de transactions. Tout outil de conversion doit préciser sa durée de rétention, son chiffrement et sa politique d'usage des données.
Un relevé bancaire n'est pas un document anodin : il contient des données à caractère personnel au sens du RGPD, et sa conversion vers Excel ou CSV, souvent via un outil tiers, soulève des questions de confidentialité que peu d'utilisateurs prennent le temps de vérifier.
Ce guide explique ce que le RGPD et la CNIL exigent en matière de conservation, les priorités de contrôle de la CNIL pour 2025-2026, et les critères concrets à vérifier avant de confier un relevé bancaire à un outil de conversion.
Oui. Un relevé bancaire contient un nom, un IBAN, et un historique détaillé de transactions qui peut révéler des habitudes de vie, des abonnements ou des relations professionnelles. Ces éléments constituent des données à caractère personnel au sens du RGPD, soumises aux mêmes principes de minimisation, de sécurité et de conservation limitée que n'importe quel autre fichier client.
Selon la CNIL, les documents bancaires tels que les relevés de compte doivent être conservés pendant 5 ans, généralement à compter de la clôture du compte ou de la fin de la relation contractuelle. Cette durée ne s'applique pas nécessairement aux fichiers temporaires générés lors d'une conversion PDF vers Excel, qui n'ont pas vocation à être archivés au même titre que le dossier bancaire officiel.
Le RGPD pose un principe général : les données personnelles ne peuvent pas être conservées indéfiniment. La durée de conservation doit être déterminée par le responsable de traitement en fonction de l'objectif ayant conduit à la collecte des données, et ne doit jamais être excessive au regard de cet objectif.
En 2025-2026, la CNIL a fait de la conservation excessive des données l'un de ses axes prioritaires de contrôle. Concrètement, cela signifie qu'une entreprise ou un outil qui conserve des fichiers bancaires sans justification claire, au-delà de la finalité initiale du traitement, s'expose à un risque de contrôle renforcé.
Pour un outil de conversion de relevé bancaire, la conséquence pratique est simple : le PDF source et le fichier converti ne devraient être conservés que le temps strictement nécessaire à la conversion elle-même, pas au-delà.
Un outil transparent sur sa politique de sécurité précise ces points sans ambiguïté, plutôt que de se limiter à une mention générique de « conformité RGPD ».
Le principe de minimisation des données du RGPD favorise les approches qui limitent au strict nécessaire la circulation et la conservation des données personnelles. Un traitement qui garde le fichier en mémoire le temps de la conversion, puis le supprime immédiatement, réduit mécaniquement la surface de risque par rapport à un stockage prolongé sur un serveur distant.
Voir la politique de traitement des données pour le détail de l'approche appliquée aux fichiers bancaires convertis.
Selon la CNIL, les documents bancaires tels que les relevés de compte doivent être conservés pendant 5 ans, généralement à partir de la clôture du compte ou de la fin de la relation contractuelle.
Oui. La CNIL a fait de la conservation excessive des données personnelles l'un de ses axes prioritaires de contrôle pour 2025-2026. Toute durée de conservation doit être justifiée par la finalité du traitement.
Vérifiez la durée de rétention des fichiers PDF sur le serveur, le chiffrement en transit (TLS), l'absence d'utilisation des données pour entraîner un modèle d'IA, et l'existence d'une politique de suppression claire après conversion.
Oui. Un relevé bancaire contient des données identifiantes (nom, IBAN, historique de transactions) qui constituent des données à caractère personnel au sens du RGPD, soumises aux mêmes obligations de minimisation et de sécurité que tout autre fichier client.
Pour les cabinets comptables qui traitent des données clients à grande échelle, voir notre guide convertisseur pour experts-comptables et conformité FEC.
Loading interactive converter… Try ClearlyLedger free