CSV Viewer

Back to Blog

Export CSV et RGPD : comment rester conforme en 2026

Published: March 31, 2026

Export CSV et RGPD : comment rester conforme en 2026

Meta-description : Exporter des donnees personnelles en CSV peut poser des problemes RGPD. Voici les regles a connaitre et les bonnes pratiques pour rester conforme.

Chaque jour, des milliers d'entreprises exportent des fichiers CSV contenant des donnees personnelles. Listes de clients, exports CRM, fichiers RH, donnees marketing. La plupart du temps, sans se poser la question de la conformite RGPD.

Et pourtant, un simple export CSV peut vous mettre en infraction. Voici ce qu'il faut savoir.

Pourquoi un export CSV est risque

Un fichier CSV, c'est du texte brut. Pas de mot de passe, pas de chiffrement, pas de controle d'acces. Une fois le fichier cree, n'importe qui peut l'ouvrir, le copier, l'envoyer par email, le stocker sur une cle USB ou le laisser trainer sur un bureau.

C'est exactement le genre de choses que le RGPD cherche a eviter.

Les risques concrets

  • Fuite de donnees : un CSV avec 10 000 emails envoye au mauvais destinataire
  • Stockage non securise : le fichier reste dans le dossier Telechargements pendant des mois
  • Transfert non autorise : envoyer un CSV a un sous-traitant hors UE sans garanties
  • Acces non controle : n'importe qui dans l'entreprise peut exporter et diffuser les donnees
  • Retention excessive : le fichier reste sur la machine longtemps apres que le besoin a disparu

Les regles RGPD qui s'appliquent aux exports CSV

1. Minimisation des donnees

N'exportez que les colonnes strictement necessaires. Si vous avez besoin des emails pour un envoi marketing, n'exportez pas aussi les numeros de telephone, les adresses postales et les dates de naissance.

Avant :



nom,prenom,email,telephone,adresse,datenaissance,numerosecu

Apres (minimise) :



email,prenom

2. Base legale

Chaque export doit avoir une raison valable : execution d'un contrat, interet legitime, consentement. "Au cas ou" n'est pas une base legale.

3. Limitation de la duree

Un export CSV devrait avoir une date d'expiration. Si le besoin est ponctuel (campagne marketing, audit), le fichier doit etre supprime une fois le besoin satisfait.

4. Securite

Le RGPD exige des "mesures techniques et organisationnelles" pour proteger les donnees. Un CSV en clair envoye par email ne coche aucune de ces cases.

5. Registre de traitement

Chaque export de donnees personnelles devrait etre trace dans votre registre des traitements.

Les bonnes pratiques pour des exports CSV conformes

Avant l'export

  1. Posez-vous la question : Ai-je vraiment besoin de ces donnees dans un CSV ? Une vue dans l'application ne suffirait-elle pas ?
  1. Minimisez : Selectionnez uniquement les colonnes necessaires
  1. Anonymisez si possible : Remplacez les noms par des identifiants, masquez les emails partiellement
  1. Verifiez l'autorisation : Qui a le droit d'exporter ces donnees ?

Pendant l'export

  1. Chiffrez le fichier si vous devez l'envoyer (ZIP avec mot de passe au minimum)
  1. Envoyez le mot de passe par un canal different (SMS si le fichier est par email)
  1. Utilisez un outil securise de transfert de fichiers plutot que l'email
  1. Loggez l'export (qui, quand, quelles donnees, pourquoi)

Apres l'export

  1. Supprimez le fichier une fois qu'il a servi
  1. Ne le stockez pas sur un disque partage sans controle d'acces
  1. Ne le laissez pas dans votre boite email indefiniment
  1. Verifiez que le destinataire a aussi supprime sa copie

Pseudonymisation et anonymisation

Pseudonymisation

Remplacer les identifiants directs par des codes. Les donnees restent des donnees personnelles (elles peuvent etre re-identifiees avec la table de correspondance).

python

import pandas as pd


import hashlib


df = pd.read_csv('clients.csv')



Pseudonymiser l'email


df['email_pseudo'] = df['email'].apply(


lambda x: hashlib.sha256(x.encode()).hexdigest()[:12]


)



Supprimer les colonnes directement identifiantes


df_pseudo = df.drop(columns=['nom', 'prenom', 'email', 'telephone'])


dfpseudo.tocsv('clients_pseudo.csv', index=False)

Anonymisation

Rendre impossible la re-identification. Les donnees ne sont plus des donnees personnelles et ne sont plus soumises au RGPD.

Techniques :

  • Generalisation : "32 ans" → "30-40 ans", "Paris 15e" → "Paris"
  • Suppression : Retirer completement les colonnes identifiantes
  • Bruit statistique : Ajouter des variations aleatoires aux valeurs numeriques
  • K-anonymite : S'assurer que chaque combinaison d'attributs correspond a au moins K personnes

Cas pratiques

Export pour un prestataire marketing

  • Minimisez : emails et prenoms uniquement
  • Chiffrez le fichier
  • Signez un contrat de sous-traitance (Article 28 RGPD)
  • Fixez une duree : le prestataire supprime les donnees apres la campagne

Export pour un audit comptable

  • Base legale : obligation legale
  • Minimisez les donnees personnelles (un identifiant suffit souvent)
  • Transfert securise
  • Duree : conservation selon les obligations comptables

Demande d'acces d'un client (Article 15)

Un client vous demande toutes ses donnees. Vous les exportez en CSV.

  • Verifiez l'identite du demandeur
  • Exportez uniquement ses donnees (pas celles des autres)
  • Envoyez de maniere securisee
  • Delai : 1 mois maximum

Outils et reflexes

| Besoin | Solution |

|--------|----------|

| Verifier le contenu avant export | CSV Viewer Online |

| Chiffrer un fichier | 7-Zip (gratuit), GPG |

| Transfert securise | WeTransfer Pro, Firefox Send |

| Anonymiser des donnees | Python + Pandas, ARX (open source) |

| Logger les exports | Votre CRM/ERP devrait le faire |

Ce qui change en 2026

Le paysage reglementaire se durcit :

  • Amendes en hausse : la CNIL et ses equivalents europeens sont de plus en plus severes, y compris avec les PME
  • Data Act europeen : de nouvelles obligations sur le partage et la portabilite des donnees
  • IA Act et donnees d'entrainement : utiliser des CSV de donnees personnelles pour entrainer des modeles IA est desormais encadre
  • Transferts hors UE : les regles restent strictes post-Schrems II, attention aux outils cloud non europeens

En resume

Un fichier CSV, c'est juste du texte. Mais du texte qui contient des donnees personnelles, c'est une responsabilite. Les reflexes de base :

  1. Minimisez les colonnes exportees
  1. Chiffrez le fichier pour tout transfert
  1. Supprimez le fichier apres usage
  1. Documentez chaque export dans votre registre
  1. Verifiez le contenu avant d'envoyer (un viewer CSV prend 10 secondes)

La conformite RGPD, ce n'est pas un frein. C'est de l'hygiene des donnees. Et ca evite des amendes qui peuvent atteindre 4% du chiffre d'affaires.