Archivage SMS pour la conformité réglementaire : AMF, RGPD et CNIL
En 2021, JP Morgan a payé 200 millions de dollars d'amendes pour défaut d'archivage des SMS des employés. Depuis, les régulateurs financiers ont infligé plus de 2 milliards de dollars de sanctions aux entreprises financières pour le même problème — des employés utilisant leurs téléphones personnels et des applications grand public sans archivage.
En Europe et en France, le message des régulateurs est tout aussi clair : si vos collaborateurs échangent des SMS professionnels, vous devez capturer et conserver ces messages. L'époque du « nous n'étions pas au courant » est révolue.
Mais voici le problème : les solutions d'archivage SMS d'entreprise conçues pour les grandes banques coûtent des dizaines de milliers d'euros par an — un tarif qui n'a aucun sens pour un cabinet de conseil financier de trois personnes, un professionnel de santé en libéral, ou une startup découvrant la conformité réglementaire.
Ce guide détaille les exigences spécifiques d'archivage SMS pour l'AMF, le RGPD et la réglementation santé, et montre comment les petites équipes peuvent mettre en place un système d'archivage pratique et peu coûteux avec des outils déjà présents sur chaque iPhone.
Les trois cadres réglementaires
AMF / ACPR (Services financiers)
À qui ça s'applique : Prestataires de services d'investissement (PSI), conseillers en investissements financiers (CIF), sociétés de gestion, et tout professionnel réglementé par l'AMF ou l'ACPR.
La règle : Le règlement général de l'AMF et la directive MiFID II exigent que toutes les communications professionnelles — y compris les SMS — soient capturées, supervisées et conservées.
Durée de conservation :
- 5 ans minimum (article 319-19 du règlement général AMF)
- Communications relatives aux ordres clients : 5 ans
- Doivent être stockées dans un format non altérable
Ce qui constitue une « communication professionnelle » : Tout SMS discutant de valeurs mobilières, de comptes clients, de transactions, de recommandations, de conditions de marché ou de relations clients. Si un conseiller envoie par SMS « Je recommanderais de basculer vers les obligations vu les conditions de marché » — ce SMS doit être archivé.
Le problème des « canaux non surveillés » : Les régulateurs ciblent spécifiquement les communications passant par des téléphones personnels, WhatsApp, Signal ou SMS standards qui contournent le système d'archivage officiel. L'amende ne vise pas seulement l'individu ; elle vise l'entreprise qui a failli à son obligation de supervision.
RGPD (Protection des données)
À qui ça s'applique : Toute entreprise traitant des données personnelles de résidents européens.
La règle : Le RGPD (articles 5 et 30) exige la documentation de tous les traitements de données personnelles, y compris les communications contenant des données personnelles de clients.
Durée de conservation :
- Variable selon la finalité du traitement
- Registre des traitements : durée de vie de l'activité
- Communications commerciales avec données personnelles : durée de la relation + 3 ans (recommandation CNIL)
- Doivent respecter le principe de minimisation et de limitation de la conservation
Obligations clés :
- Registre des activités de traitement (article 30)
- Mesures de sécurité appropriées (article 32)
- Notification de violation dans les 72 heures (article 33)
- Droit d'accès et de portabilité (articles 15 et 20)
Réglementation santé (Professionnels de santé)
À qui ça s'applique : Médecins, pharmaciens, établissements de santé et leurs prestataires.
La règle : Le Code de la santé publique et le RGPD, renforcés par les recommandations de la CNIL, encadrent toute communication impliquant des données de santé :
- Chiffrement en transit et au repos
- Journaux d'audit traçant les envois, réceptions et accès
- Contrôles d'accès (authentification, autorisation)
- Hébergement agréé HDS (Hébergeur de Données de Santé) pour le stockage
Durée de conservation : Le dossier médical doit être conservé 20 ans à compter du dernier passage du patient. Les communications associées : 10 ans minimum.
La réalité pratique : Les SMS standards ne sont généralement pas conformes à la réglementation santé car ils ne sont pas chiffrés. Cependant, archiver les SMS vers un email sécurisé et chiffré crée une piste d'audit qui améliore significativement votre posture de conformité — surtout pour les petits cabinets où les solutions professionnelles ne sont pas envisageables.
Les lacunes de conformité dans la réalité
Les grandes entreprises ont des départements conformité et des budgets d'archivage conséquents. Mais la plupart des entreprises réglementées sont petites :
- Un cabinet de conseil en gestion de patrimoine de deux personnes où les deux conseillers envoient des SMS aux clients depuis leurs iPhone personnels
- Un médecin généraliste en libéral qui envoie des rappels de rendez-vous par SMS aux patients
- Un directeur financier de startup qui envoie des SMS à l'équipe comptable sur les chiffres trimestriels depuis son téléphone personnel
- Une petite agence d'assurance où les agents envoient des SMS aux clients sur les changements de contrat
Ces entreprises font face aux mêmes exigences réglementaires que les grandes banques mais avec une fraction du budget. Le résultat ? Elles ignorent les exigences (en espérant ne pas être contrôlées) ou elles paient pour des solutions professionnelles qu'elles peuvent à peine se permettre.
Il existe une voie intermédiaire.
Mettre en place un archivage SMS pratique
Comment ça fonctionne
Le concept est simple : transférer automatiquement tous les SMS entrants (et optionnellement sortants) vers une adresse email dédiée et sécurisée qui sert d'archive de conformité.
Cela crée :
- Un enregistrement horodaté de chaque SMS (horodatages email)
- Un répertoire consultable (la recherche email trouve n'importe quel message instantanément)
- Une sauvegarde hors appareil (survit à la perte, la casse ou le changement de téléphone)
- Un format exportable (les emails peuvent être imprimés, exportés en PDF ou fournis aux contrôleurs)
Configuration étape par étape pour les petites équipes
Étape 1 : Créer un email d'archive de conformité
Configurez une adresse email dédiée à l'archivage SMS :
[email protected]- Pour le contexte santé : utilisez un fournisseur email conforme HDS (ex. Enovacom, Lifen, ou Google Workspace avec un accord de traitement de données)
Règles d'accès :
- Seul le responsable conformité et le personnel autorisé doivent avoir accès
- Activez la 2FA et des politiques de mots de passe forts
- Configurez les politiques de rétention email pour correspondre à votre exigence réglementaire (5/10/20 ans)
Étape 2 : Installer SMS to Email Forwarder sur chaque appareil professionnel
Chaque collaborateur avec un téléphone professionnel installe SMS to Email Forwarder depuis l'App Store.
Configuration :
- Saisissez l'adresse email d'archive de conformité
- Complétez la configuration de l'Automatisation Raccourcis (~2 minutes par appareil)
- Configurez pour transférer tous les messages (ou filtrer par contacts professionnels)
- Fermez l'app. Elle tourne silencieusement en arrière-plan.
Étape 3 : Établir une politique écrite
Créez un document de politique interne simple qui couvre :
- Canaux de communication approuvés — quelles plateformes les employés peuvent utiliser pour les SMS professionnels
- Exigences d'archivage — tous les SMS professionnels doivent être transférés vers l'email de conformité
- Canaux interdits — pas de discussions professionnelles sur WhatsApp, Signal ou autres plateformes non archivées
- Reconnaissance de l'employé — chaque membre de l'équipe signe confirmant qu'il comprend et respecte la politique
Cette politique est votre défense lors d'un contrôle : « Nous avons une politique écrite, nous avons mis en place des contrôles techniques, et nous exigeons l'engagement de chaque employé. »
Étape 4 : Revue et audit périodiques
- Mensuel : Vérification ponctuelle de l'email de conformité pour confirmer que les messages sont transférés
- Trimestriel : Revue des éventuelles lacunes (nouveaux employés, nouveaux numéros, violations de politique)
- Annuel : Mise à jour de la politique et confirmation que les durées de conservation sont respectées
Tableau comparatif de conformité
| Exigence | AMF/ACPR | RGPD | Santé (HDS/CNIL) |
|---|---|---|---|
| S'applique à | PSI, CIF, sociétés de gestion | Toute entreprise UE | Professionnels de santé |
| Durée de conservation | 5 ans | Variable (3-5 ans typ.) | 10-20 ans |
| Chiffrement requis | Recommandé | Recommandé (art. 32) | Obligatoire |
| Supervision requise | Oui (revue active) | Oui (registre, DPO) | Oui (journaux d'audit) |
| Sanctions | Jusqu'à 100 M€ ou 10 % CA | Jusqu'à 20 M€ ou 4 % CA mondial | Sanctions CNIL + ordinales |
| Accord de traitement | Non | Oui (art. 28) | Oui (HDS) |
Ce que cette solution est (et n'est pas)
Ce qu'elle est :
- Une couche d'archivage SMS légère et peu coûteuse pour les petites équipes
- Une amélioration significative par rapport à « aucun archivage »
- Un enregistrement consultable, horodaté et hors appareil que les contrôleurs peuvent examiner
- Une solution qui fonctionne sur chaque iPhone sans infrastructure IT
Ce qu'elle n'est pas :
- Un remplacement des plateformes de conformité d'entreprise (pour les entreprises de 50+ employés, considérez GlobalRelay, Smarsh ou LeapXpert)
- Une garantie de conformité réglementaire totale (la conformité dépend de votre situation, politiques et exigences d'audit)
- Un stockage WORM (les archives email peuvent théoriquement être modifiées — pour les exigences WORM strictes, envisagez l'export périodique vers un stockage conforme)
Pour la plupart des petites entreprises réglementées, passer de zéro archivage SMS à un archivage par email représente une réduction massive du risque réglementaire — pour un coût quasi nul.
Le coût de la non-conformité
| Scénario | Conséquence potentielle |
|---|---|
| Contrôle AMF : pas d'archives SMS | Amende jusqu'à 100 M€ selon la taille et la durée |
| Violation RGPD : SMS non archivés | Amende jusqu'à 20 M€ ou 4 % du CA mondial |
| Non-conformité santé : SMS patients non archivés | Sanctions CNIL + sanctions ordinales + poursuites pénales possibles |
| Contentieux : SMS manquants | Présomption défavorable — le tribunal présume que les SMS manquants auraient été nuisibles |
| Plainte client : pas d'archives | Impossibilité de se défendre contre de fausses allégations |
Avertissement : Nous sommes des développeurs de logiciels, pas des avocats ni des responsables conformité. Cet article fournit des conseils techniques pour la conservation d'archives SMS et ne doit pas être interprété comme un avis juridique, réglementaire ou de conformité. Les exigences AMF, RGPD et de la réglementation santé sont complexes et varient selon la taille de l'organisation et le secteur. Consultez toujours votre département conformité, votre conseil juridique ou un conseiller réglementaire qualifié concernant vos obligations d'archivage.
Le meilleur moment pour commencer à archiver était à l'entrée en vigueur de la réglementation. Le deuxième meilleur moment, c'est maintenant.
Téléchargez SMS to Email Forwarder — déployez dans votre équipe en quelques minutes.
Prêt à commencer ?
Configurez le transfert automatique de SMS en 2 minutes. Plan gratuit — sans carte bancaire.
Télécharger sur l'App Store