Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

DeepL et RGPD : guide de conformité 2026

DeepL est-il conforme au RGPD ? Analyse du DPA, différence Free/Pro sur la réutilisation des textes, hébergement européen, documents personnels et config DPO.

DeepL s’est imposé comme l’outil de traduction automatique de référence dans les entreprises françaises et européennes, reconnu pour la qualité de ses résultats supérieure à celle des alternatives historiques. Édité par une société allemande (DeepL SE, basée à Cologne), l’outil traduit quotidiennement des e-mails, des contrats, des documents RH, des correspondances clients — des contenus qui contiennent très fréquemment des données à caractère personnel. Pour le responsable de traitement, la traduction automatique n’est pas un traitement anodin : le texte source transite par les serveurs du prestataire, ce qui en fait une opération de sous-traitance à encadrer.

Dans ma pratique de conseil auprès de DPO, DeepL soulève une question spécifique, souvent mal comprise : la différence de traitement des données entre la version gratuite et la version Pro. Cette distinction, documentée par l’éditeur, est déterminante pour la conformité et conditionne l’usage acceptable de l’outil en contexte professionnel. Ce guide propose une analyse opérationnelle pour le DPO et le responsable de traitement.

Pour une vue d’ensemble des outils cloud et IA, voir également nos analyses de Mistral AI, de Google Workspace et de Gemini, qui posent des problématiques de traitement comparables.

Qualification juridique : DeepL sous-traitant

Le statut au sens de l’article 28

Pour l’offre professionnelle (DeepL Pro, API), DeepL SE agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Votre organisation détermine les finalités (traduction de documents de travail, de correspondances, de contrats) et les moyens essentiels (qui utilise l’outil, quels contenus sont traduits, comment l’API est intégrée). DeepL fournit le service de traduction et traite les textes soumis selon les termes de son accord de traitement des données.

L’avantage structurel : une société allemande

DeepL SE étant une société allemande soumise directement au droit européen et au RGPD, l’outil présente un avantage de simplification comparable à celui d’autres acteurs européens :

  • Pas de problématique de transfert hors UE pour les usages standards
  • Compétence juridictionnelle européenne en cas de litige
  • Soumission directe aux autorités de contrôle européennes
  • Hébergement européen des serveurs, selon la documentation de l’éditeur consultée en juillet 2026
  • Pas d’exposition aux législations extraterritoriales américaines pour l’entité contractante

Cet avantage réduit la complexité de l’analyse par rapport à des prestataires américains, mais ne dispense pas de l’encadrement contractuel et de l’attention à la version utilisée.

Le point déterminant : Free vs Pro

C’est la distinction centrale de toute analyse DeepL, et la source la plus fréquente de non-conformité en entreprise.

DeepL Free (version gratuite)

Selon les conditions de l’éditeur consultées en juillet 2026, dans la version gratuite, DeepL peut conserver et réutiliser les textes soumis à des fins d’amélioration de ses services de traduction. Autrement dit, le contenu traduit — potentiellement porteur de données personnelles — peut être exploité au-delà de la seule prestation de traduction. Pour un usage professionnel impliquant des données personnelles ou confidentielles, la version gratuite est à proscrire : elle ne permet pas de garantir que les textes ne seront pas conservés ni réutilisés, ce qui est incompatible avec les exigences de l’article 28 et le devoir de confidentialité.

DeepL Pro (version payante)

Dans la version Pro (et l’API Pro), DeepL s’engage à ne pas conserver les textes après la traduction et à ne pas les réutiliser pour améliorer ses modèles. Les textes sont supprimés une fois la traduction effectuée. C’est cet engagement qui rend l’outil acceptable pour un usage professionnel sur des données personnelles : il garantit la confidentialité et la limitation du traitement à la seule finalité de traduction.

En synthèse : seule la version Pro (ou l’API Pro) est adaptée à un usage professionnel portant sur des données personnelles. L’usage de la version gratuite pour traduire des documents professionnels contenant des données personnelles constitue un risque de non-conformité qu’il faut bannir par une règle interne claire.

Périmètre des données traitées

DeepL traite le contenu des textes et documents soumis, qui peuvent contenir :

  • Données d’identification et de contact : noms, adresses, e-mails présents dans les correspondances et documents
  • Contenus contractuels : contrats, accords, propositions comportant des données personnelles de parties
  • Documents RH : lettres, évaluations, courriers de gestion du personnel
  • Correspondances clients : e-mails et messages traduits
  • Données sensibles au sens de l’article 9 : lorsque des documents de santé, juridiques ou sociaux sont traduits

Le principe de minimisation s’applique : ne soumettre à la traduction que les contenus nécessaires, et évaluer l’opportunité de pseudonymiser les documents particulièrement sensibles avant traduction. La fonction de traduction de documents entiers (fichiers Word, PDF, PowerPoint) mérite une attention particulière, car elle transmet des documents complets, souvent plus riches en données personnelles qu’un simple extrait.

Analyse du DPA DeepL

DeepL met à disposition un accord de traitement des données (Data Processing Agreement) pour ses clients professionnels. Évaluation au regard des exigences de l’article 28 du RGPD, selon la documentation consultée en juillet 2026 :

Exigence Art. 28 RGPD Couverture dans le DPA DeepL Évaluation
Traitement sur instruction documentée (28.3.a) Périmètre limité à la prestation de traduction Conforme
Confidentialité du personnel (28.3.b) Engagements de confidentialité des employés Conforme
Mesures de sécurité Art. 32 (28.3.c) Chiffrement en transit, certifications (dont ISO 27001 selon la documentation) Conforme, à vérifier au moment du déploiement
Autorisation de sous-traitance ultérieure (28.3.d) Liste des sous-traitants et notification Conforme
Aide à l’exercice des droits (28.3.e) Engagement d’assistance Conforme
Aide aux Art. 32-36 (28.3.f) Coopération et notification de violation Conforme
Suppression en fin de prestation (28.3.g) Pour DeepL Pro, suppression des textes après traduction Conforme
Audit du sous-traitant (28.3.h) Certifications mises à disposition Conforme avec réserve

L’engagement central pour DeepL Pro — la non-conservation et la non-réutilisation des textes — est l’élément qui distingue l’offre professionnelle et fonde sa conformité. Il doit être vérifié dans le contrat au moment du déploiement, les conditions étant susceptibles d’évoluer. Voir notre modèle de questionnaire sous-traitants pour formaliser cette évaluation.

Localisation et transferts

Selon la documentation de l’éditeur consultée en juillet 2026, DeepL héberge ses serveurs en Europe. Pour l’entité contractante allemande et les usages standards, il n’y a pas de transfert hors UE à encadrer, ce qui simplifie l’analyse.

Ce point reste à confirmer au moment du déploiement selon l’offre souscrite et l’évolution éventuelle de l’infrastructure. Si un scénario résiduel de sous-traitance impliquait un transfert hors UE, il devrait s’appuyer sur les clauses contractuelles types (CCT, décision 2021/914) accompagnées d’une analyse d’impact des transferts. En pratique, l’ancrage européen de DeepL fait de la localisation un point de faible risque.

AIPD et fonctionnalités IA

DeepL repose sur des modèles d’IA de traduction (traduction automatique neuronale) et propose des fonctionnalités connexes (DeepL Write pour la reformulation, assistance rédactionnelle). Le déploiement de DeepL ne déclenche pas automatiquement l’obligation d’analyse d’impact : la traduction de contenus courants n’est pas, en elle-même, un traitement à haut risque.

Une AIPD devient néanmoins pertinente lorsque :

  • DeepL est utilisé pour traduire systématiquement des volumes importants de données sensibles (documents de santé, dossiers juridiques)
  • La traduction s’inscrit dans un traitement plus large à haut risque (par exemple un dispositif automatisé de traitement de dossiers affectant les personnes)

Pour ces cas, les recommandations de la CNIL sur l’IA fournissent la méthodologie. Pour la plupart des usages bureautiques de traduction, une documentation dans le registre et l’usage exclusif de la version Pro suffisent.

Base légale et durée de conservation

La traduction de contenus professionnels s’appuie généralement sur l’intérêt légitime de l’organisation à communiquer et traiter ses documents dans plusieurs langues. Cette base couvre la correspondance interne et l’essentiel des usages métier. Point important : avec DeepL Pro, les textes sont supprimés après traduction, ce qui signifie qu’il n’y a pas de conservation autonome des données chez le sous-traitant. La durée de conservation pertinente est donc celle du document source dans vos propres systèmes, la traduction n’ajoutant pas de nouveau stock de données à gérer côté prestataire — un avantage de l’engagement de non-conservation de l’offre Pro.

Configuration recommandée

Règle interne prioritaire

  • Interdire la version gratuite pour tout usage professionnel portant sur des données personnelles ou confidentielles, par une règle explicite dans la charte informatique
  • Déployer DeepL Pro (compte d’équipe ou API) pour l’ensemble des collaborateurs concernés, afin d’éviter le recours individuel à la version gratuite

Gouvernance

  • Documenter le traitement de traduction dans le registre, avec DeepL SE comme sous-traitant
  • Signer le DPA DeepL et vérifier l’engagement de non-conservation
  • Sensibiliser les utilisateurs au risque de la traduction de documents sensibles et à la nécessité d’utiliser exclusivement l’accès professionnel

Contrôles

  • Limiter la traduction de documents entiers particulièrement sensibles, ou les pseudonymiser en amont
  • Privilégier l’intégration API/Pro contrôlée plutôt que l’accès web individuel non maîtrisé

Cas particuliers

Version gratuite utilisée en fraude de la règle

Le risque le plus concret est l’usage individuel de la version gratuite par des salariés, contournant l’offre Pro de l’entreprise. Au-delà de la règle interne, un déploiement Pro accessible et pratique (extension navigateur, intégration bureautique) réduit l’incitation à recourir à la version gratuite.

Cabinets et secret professionnel

Pour les structures soumises au secret professionnel, seule la version Pro avec engagement de non-conservation est acceptable, et la traduction de documents couverts par le secret doit faire l’objet d’une évaluation au cas par cas, voire d’une pseudonymisation préalable.

Données de santé

Pour la traduction de documents de santé, la version Pro est un prérequis, et l’opportunité de pseudonymiser les documents avant traduction doit être évaluée. Un volume important de tels documents peut justifier une AIPD.

Administrations et collectivités

DeepL, acteur européen, présente un avantage de souveraineté pour le secteur public. La version Pro reste requise, et l’usage doit être documenté dans le registre au même titre que tout autre sous-traitant.

FAQ : DeepL et RGPD

DeepL est-il conforme au RGPD ?

L’offre professionnelle de DeepL (Pro, API) est structurellement alignée sur les exigences du RGPD : sous-traitant européen, DPA article 28, engagement de non-conservation des textes, hébergement européen. La conformité dépend toutefois de l’usage : version Pro obligatoire, DPA signé, traitement documenté. La version gratuite, elle, n’est pas adaptée à un usage professionnel sur des données personnelles.

Quelle est la différence entre DeepL Free et DeepL Pro pour le RGPD ?

C’est la distinction essentielle. Selon les conditions consultées en juillet 2026, la version gratuite peut conserver et réutiliser les textes soumis pour améliorer le service, ce qui est incompatible avec un usage professionnel sur données personnelles. La version Pro s’engage à ne pas conserver ni réutiliser les textes après traduction. Seule la version Pro est acceptable en entreprise.

Peut-on traduire des documents contenant des données personnelles avec DeepL ?

Oui, avec DeepL Pro, sous réserve d’avoir signé le DPA, documenté le traitement et respecté la minimisation. La version gratuite doit être proscrite pour ce type de contenu. Les documents particulièrement sensibles gagnent à être pseudonymisés avant traduction.

Les données envoyées à DeepL sont-elles stockées ?

Pour DeepL Pro, l’éditeur s’engage à supprimer les textes après la traduction et à ne pas les réutiliser. Pour la version gratuite, les textes peuvent être conservés à des fins d’amélioration du service. L’engagement de suppression est à vérifier dans le contrat au moment du déploiement.

Faut-il une AIPD pour utiliser DeepL ?

Pas pour un usage bureautique standard de traduction. Une AIPD devient pertinente lorsque DeepL traite systématiquement des volumes importants de données sensibles ou s’inscrit dans un traitement plus large à haut risque. Voir notre guide sur l’AIPD.

Comment intégrer DeepL à mon registre des traitements ?

Documenter le traitement de traduction : finalités, catégories de données présentes dans les textes, base légale, DeepL SE comme sous-traitant avec ses garanties (DPA, non-conservation Pro, hébergement européen). Voir notre exemple de registre RGPD rempli.

Pour recenser les outils traitant des données personnelles, qualifier DeepL comme sous-traitant et vérifier la cohérence des versions déployées, un logiciel RGPD centralise la documentation et le suivi des sous-traitants.