La première chose que dit chaque outil PDF cloud, c'est "nous supprimons vos fichiers après X heures". C'est un langage marketing rassurant, et dans la plupart des cas c'est aussi vrai. Mais "supprimé" n'est qu'une variable de l'équation confidentialité. Où le fichier a vécu pendant le traitement, qui a le droit légal d'y accéder, ce que les Conditions Générales d'Utilisation permettent au-delà de ce que la page marketing implique, et ce que la société log réellement — tout ça compte tout autant. Cet article audite six services PDF en ligne populaires sur ces questions, puis les compare au modèle alternatif où vos fichiers ne quittent jamais l'appareil.
Ce qui arrive réellement à votre fichier
Quand vous uploadez un PDF à un service cloud, le fichier passe par cinq étapes :
- Transit. Votre navigateur uploade les octets via HTTPS vers un serveur quelque part. HTTPS protège contre l'écoute en transit mais le serveur déchiffre évidemment le fichier pour le traiter.
- Stockage pendant traitement. Le serveur garde le fichier déchiffré en mémoire ou sur disque pour la durée de l'opération. Certains services persistent explicitement sur disque (pour reprise / pipelines multi-étapes) ; d'autres traitent en mémoire seulement.
- Snapshots de backup. L'infrastructure cloud (AWS, GCP, Azure) prend des snapshots automatiques des disques. Votre fichier peut exister dans une sauvegarde pendant des heures après le timestamp "supprimé".
- Logs. La plupart des services loguent l'opération : timestamp, nom de fichier, taille de fichier, adresse IP, user agent, parfois le hash du contenu. Ces logs vivent typiquement 30–90 jours.
- Suppression. Le fichier réel est retiré. Les snapshots de backup tournent éventuellement (1–7 jours, selon la politique de rétention du provider).
"Nous supprimons vos fichiers dans 1 heure" se réfère habituellement à l'étape 5 — le fichier actif. Les étapes 3 et 4 (sauvegardes et logs) survivent au fichier actif de plusieurs jours.
Audit de six services populaires
Basé sur la Politique de Confidentialité et les CGU publiés de chaque service en 2026 (vérifiez toujours directement avant de vous y fier — ces choses changent) :
| Service | Localisation serveurs | Rétention fichier actif | Rétention logs | Droits de réutilisation CGU |
|---|---|---|---|---|
| SmallPDF | Suisse | 1 heure | "pas de période spécifiée" | "nécessaire pour fournir le service" |
| iLovePDF | Espagne (UE) | 2 heures | 24 mois | "améliorer le service" |
| PDF24 (web) | Allemagne | 30 minutes | 90 jours | Aucun revendiqué |
| Adobe Online | US (multiples régions) | 24 heures | 13 mois | "amélioration ML" avec opt-out |
| Sejda Online | Roumanie (UE) | 5 heures | 90 jours | "opération du service" seulement |
| PDFcandy | Variable | 2 heures | "limité" | Standard |
Les services avec les politiques publiées les plus strictes sont PDF24 et Sejda — tous deux basés en UE, tous deux limitent explicitement la rétention de logs, tous deux ont les CGU les plus claires concernant ce qu'ils peuvent faire avec votre contenu de fichier.
Les services à surveiller sont Adobe Online (24 heures de rétention est long, et la clause d'amélioration ML est large) et SmallPDF ("pas de période spécifiée" pour les logs est un drapeau jaune).
Aucun de ces services ne fait quelque chose d'illégal ou même d'inhabituel — ce sont des politiques de rétention SaaS standards. Le point n'est pas qu'ils sont des mauvais acteurs ; le point est que même avec une lecture généreuse, votre fichier est observable par leur infrastructure pendant des heures et les métadonnées de votre fichier pendant des mois.
Ce que "privacy-first" signifie réellement
Deux modèles vraiment privacy-first existent :
Traitement browser-based (WebAssembly)
Des outils comme ToolK.io, le PDF24 Creator local (desktop), Stirling-PDF (auto-hébergé), et Inscribe (open-source) exécutent la transformation dans votre navigateur via WebAssembly. Le fichier est lu dans un ArrayBuffer JavaScript en mémoire d'onglet, transformé localement, et le résultat est téléchargé directement depuis votre navigateur sous forme de Blob.
Concrètement, ça signifie :
- Le fichier ne quitte jamais votre appareil. Il n'y a pas d'étape d'upload.
- Le site n'a pas d'infrastructure à loguer parce qu'aucune infrastructure n'est impliquée.
- La chose la plus proche d'un "log" est l'entrée de page-load dans les logs d'accès Vercel/Cloudflare du site (timestamp, IP, user agent, URL). Le contenu du fichier et l'opération sont invisibles.
- Aucun snapshot de backup ne peut inclure votre fichier parce qu'aucun serveur ne l'a tenu.
- La Politique de Confidentialité peut honnêtement déclarer "nous ne voyons jamais vos fichiers" parce que l'architecture rend ça impossible.
Le compromis : certaines opérations lourdes (OCR profond sur scans dégradés, gros fichiers au-dessus de 100 MB, conversion PDF→Word complexe avec reconstruction de tables) sont plus lentes ou moins bonnes que ce que le calcul serveur peut livrer.
Serveur auto-hébergé
Stirling-PDF et une poignée de projets similaires vous laissent faire tourner les mêmes types de services cloud sur votre propre infrastructure (un serveur maison, un VPS, un conteneur Docker). Vos fichiers vont vers votre serveur, traités sur votre matériel, avec des politiques de rétention que vous fixez.
C'est le modèle le plus flexible mais demande un confort technique avec Docker / un serveur maison. Pas pour les utilisateurs non-techniques.
Ce que les outils browser-based couvrent réellement
La réponse honnête est "la plupart des opérations PDF quotidiennes" :
- Fusion, division, rotation, filigrane, numérotation, suppression de pages ✓
- Compression (bons résultats, parfois 10-20% plus gros que les meilleurs outils côté serveur à qualité équivalente)
- Signer / remplir / annoter ✓
- Chiffrer / déchiffrer avec mot de passe ✓
- OCR (acceptable sur scans propres via tesseract.js ; plus faible que les moteurs commerciaux sur scans dégradés)
- PDF → Word (acceptable sur mises en page simples ; plus faible que commercial sur tables complexes)
- Image → PDF, PDF → Image ✓
- Nettoyage de métadonnées ✓
Les 10% de cas où les services cloud gagnent vraiment sont : OCR archivistique de mauvais scans, remplissage de formulaires complexes avec compliance PDF/A, opérations en grand batch (1000+ fichiers), et fonctions de collaboration équipe avec stockage partagé.
Choisir selon le document
Une heuristique pratique par type de document :
| Document | Type d'outil recommandé | Pourquoi |
|---|---|---|
| PDF générique (brochure téléchargée, manuel) | L'un ou l'autre | Confidentialité non matérielle |
| Contrat / NDA personnel | Browser-based | Éviter d'envoyer à un tiers |
| Relevé financier / doc fiscal | Browser-based | Préoccupations confidentialité + scope CGU |
| Copie d'identité / scan passeport | Browser-based ou auto-hébergé | Données d'identité, jamais à un tiers |
| Dossier médical | Browser-based ou auto-hébergé | RGPD / loi confidentialité équivalente |
| Business confidentiel (M&A, juridique) | Auto-hébergé | Même browser-based implique confiance dans l'intégrité du bundle JS |
| Archive scannée lourde (rapports années 1990 mal scannés) | Cloud (iLovePDF / Adobe) | Leur OCR commercial bat vraiment les options locales |
| Traitement batch routinier (100+ PDF génériques) | Cloud ou auto-hébergé | Limites mémoire navigateur |
Un test concret
Si vous voulez vérifier vous-même les claims de confidentialité d'un outil :
- Ouvrez DevTools du navigateur → onglet Réseau.
- Déposez un petit PDF dans l'outil.
- Cliquez sur l'opération (fusionner, compresser, peu importe).
- Regardez ce qui est uploadé.
Pour un vrai outil browser-based, vous verrez les assets de page se charger (HTML, JS, WASM) mais aucun upload de vos octets PDF. Pour un service cloud, vous verrez un HTTP POST avec la taille de votre fichier qui part vers un serveur.
Ce test de 30 secondes est l'audit confidentialité le plus fiable que n'importe quel utilisateur peut faire.
Conclusion
Pour le travail PDF quotidien, tous les services cloud du tableau d'audit ci-dessus font leur job correctement et ne font rien de sinistre. Si vos PDF ne sont pas sensibles, la différence de confidentialité est académique. Mais pour tout ce qui contient des informations personnelles, financières, légales, ou médicales — et pour qui préfère simplement que ses fichiers restent sur son appareil — les alternatives browser-based et auto-hébergées sont assez matures en 2026 pour couvrir vraiment la plupart des workflows. Le coût est zéro, et la seule chose que vous abandonnez est l'avantage du cloud sur les 10% d'opérations les plus difficiles.
Lisez la Politique de Confidentialité de tout outil auquel vous êtes sur le point d'uploader des fichiers sensibles. La page marketing raconte rarement toute l'histoire.