Send

10 SaaS gratuits que vos employés utilisent sans le savoir — et le risque RGPD que ça représente

Audit shadow-IT : iLovePDF, WeTransfer, TinyPNG, JSONLint... 10 services SaaS utilisés quotidiennement en entreprise et la check-list pour reprendre le contrôle de vos documents.

Équipe Send · 30 avril 2026 · 8 min de lecture

Tous les jours, dans toutes les entreprises françaises, vos employés téléversent des documents confidentiels vers des serveurs étrangers. Ils ne le font pas méchamment — ils font leur travail. Le problème : les outils qu'ils utilisent ne sont pas autorisés, pas tracés, et exposent l'entreprise à un risque RGPD majeur.

Le shadow-IT documentaire : un point aveugle de la DSI

Le "shadow-IT" désigne l'usage par les salariés de logiciels et services non validés par la DSI. Selon une étude Cisco de 2024, 84 % des collaborateurs en entreprise utilisent au moins un service SaaS non autorisé chaque mois.

Sur la partie documentaire, ces services partagent trois caractéristiques :

  1. Ils sont gratuits (modèle freemium avec quota)
  2. Ils ne demandent pas d'inscription pour un usage ponctuel
  3. Ils sont hébergés hors UE dans 80 % des cas

Les 10 SaaS les plus utilisés (et le pourquoi du risque)

1. iLovePDF.com — fusion, compression, conversion PDF

Hébergement : Espagne + AWS Cloudfront mondial. Volume sensible : contrats signés, devis, factures, KBIS, bilans comptables. À chaque conversion ou compression, le PDF passe par leurs serveurs.

2. WeTransfer — transfert de gros fichiers

Hébergement : Pays-Bas (WeTransfer BV) + serveurs USA pour le CDN. Volume sensible : livrables clients, vidéos commerciales, archives projets. La promesse "fichiers supprimés après 7 jours" est déclarative, non auditable.

3. Smallpdf — équivalent iLovePDF basé en Suisse

Hébergement : Suisse + CDN mondial. La Suisse a un cadre considéré adéquat par la Commission européenne, mais le CDN duplique les fichiers sur des nœuds USA.

4. TinyPNG / TinyJPG / Squoosh — compression d'images

Hébergement : USA pour TinyPNG, USA (Google) pour Squoosh. Volume sensible : screenshots internes contenant des données, photos de produits avec watermarks confidentiels, visuels marketing avant publication.

5. JSONLint / JSON Formatter / SQL Online — outils dev

Hébergement : USA, divers prestataires. Volume sensible : vos devs collent des réponses API entières (souvent avec des données réelles dedans), des dumps de tables SQL, des tokens JWT, des structures de configuration. C'est probablement la fuite la plus grave car ce sont des données structurées exploitables.

6. OCR online / Google Lens — reconnaissance de texte

Hébergement : USA (Google, ABBYY, Microsoft). Volume sensible : pièces d'identité scannées, factures fournisseurs, contrats à OCRiser pour data-entry. Inclut souvent des informations nominatives.

7. RemoveBG / Photopea — retouche d'image

Hébergement : Allemagne pour RemoveBG (mieux), USA pour Photopea. Volume sensible : KBIS scannés, organigrammes internes, captures d'écran d'applications métier.

8. EXIF viewers en ligne — analyse de métadonnées photo

Hébergement : USA principalement. Volume sensible : photos avec coordonnées GPS qui révèlent les lieux de travail, dates de prise de vue, marques de matériel.

9. Online PDF Editor / DocFly / PDFEscape — édition PDF

Hébergement : USA, Canada selon prestataire. Volume sensible : annotation de contrats avant signature, ajout de tampons, modification de bons de commande.

10. Compteur de mots / Word Counter / lemonword — outils texte

Hébergement : USA. Volume sensible : si votre auteur colle un article confidentiel en cours de rédaction pour compter les mots, l'article passe par leur serveur. Tout texte collé y reste a minima en cache.

Les 5 risques RGPD concrets

  1. Sous-traitant non déclaré dans le registre des traitements — à chaque audit CNIL, c'est la première chose vérifiée.
  2. Transfert vers pays tiers sans clauses adéquates — depuis l'invalidation du Privacy Shield (Schrems II 2020), pas de transfert simple vers les USA.
  3. Absence de contrat DPA — la CNIL exige un Data Processing Agreement signé avec chaque sous-traitant qui traite des données personnelles pour votre compte.
  4. Perte de contrôle de l'effacement — si le service garde le fichier 7 jours en cache CDN, vous ne pouvez pas garantir l'article 17 (droit à l'oubli).
  5. Notification obligatoire en cas de fuite — si vous utilisez un service qui se fait pirater, vous devez le notifier à la CNIL sous 72 h.

La check-list pour reprendre le contrôle

Étape 1 — Audit shadow-IT

Demandez à votre DSI ou à votre équipe sécurité un dump des requêtes DNS sortantes du réseau interne sur les 30 derniers jours. Filtrez sur les domaines suivants :

ilovepdf.com
smallpdf.com
wetransfer.com
tinypng.com
squoosh.app
jsonlint.com
jsonformatter.org
sqlonline.com
ocr.space
remove.bg
photopea.com
exifviewer.org
pdfescape.com
wordcounter.net

Vous serez surpris du volume.

Étape 2 — Proposez une alternative interne

Le shadow-IT n'existe pas par malice — il existe parce que la DSI n'a pas fourni d'alternative officielle. Avant d'interdire, fournissez :

  • Un outil de transfert interne (Send, Nextcloud, kDrive)
  • Une suite documentaire (Send pour les outils PDF/image/dev, Nextcloud pour le stockage collaboratif)
  • Un portail OCR / signature électronique validé par la DSI

Étape 3 — Politique d'usage + formation

Rédigez une charte SaaS qui liste les services autorisés et les services interdits. Diffusez-la via une formation courte (30 min) qui explique le pourquoi RGPD plutôt que de juste interdire.

Étape 4 — Block au pare-feu

Bloquez au pare-feu sortant les domaines des services non autorisés. C'est une mesure dure mais c'est la seule qui marche à 100 %.

Étape 5 — Audit trimestriel

Reprenez l'étape 1 chaque trimestre. Les nouveaux services SaaS apparaissent à la vitesse de la lumière — l'audit shadow-IT n'est pas un projet one-shot.

Conclusion

Le shadow-IT documentaire est probablement le point aveugle le plus coûteux de votre stratégie RGPD. Il ne coûte rien à fixer côté collaborateur (vous fournissez juste une alternative). Il coûte potentiellement très cher en cas d'audit CNIL ou de fuite de données.

Send a été conçu pour répondre exactement à ce besoin : 269 outils documentaires consolidés dans une console B2B en marque blanche, déployable sur votre infra ou en SaaS France. C'est explicitement le pendant autorisé d'iLovePDF + WeTransfer + TinyPNG + JSONLint + RemoveBG en une seule console.

Essai gratuit 30 jours, sans CB. La conversion vers la version auto-hébergée est possible à tout moment.

#rgpd #shadow-it #audit #pme