Fraude documentaire
Fausse fiche de paie : comment la détecter (les méthodes techniques que personne ne mentionne)
Benjamin Mathias · 15 mai 2026 · 8 min
Un propriétaire toulousain reçoit un dossier de location. Fiches de paie, contrat CDI, avis d'imposition — tout semble en ordre. Il signe le bail. Trois mois plus tard, le locataire ne paie plus. L'enquête révèle que le salaire affiché sur les bulletins avait été multiplié par deux dans Photoshop, puis réexporté en PDF. Le logiciel utilisé ? Adobe Acrobat — alors que le vrai employeur utilise Silae, qui laisse une signature bien différente dans les métadonnées du fichier.
Ce scénario se répète à une fréquence inquiétante. En mars 2025, François Moerlen de Locagestion — gestionnaire de 10 000 logements en France — estimait qu'environ 1 dossier sur 5 en Île-de-France contient au moins un document frauduleux. En province, c'est 1 sur 10. La hausse atteint +40 % en un an.
Les techniques de détection habituellement citées — vérifier la cohérence des montants, comparer avec l'avis d'imposition, regarder la mise en page — restent utiles. Mais elles ont un angle mort massif : elles ne touchent pas au fichier lui-même. Or un PDF ment rarement en surface. C'est dans ses entrailles qu'il trahit.
Ce que les métadonnées d'un bulletin de paie révèlent
Tout PDF porte en lui des métadonnées : logiciel créateur, date de création, date de dernière modification, auteur, producteur. Ces informations sont invisibles à l'œil mais lisibles en deux commandes.
Les principaux logiciels de paie français — Silae, Cegid, Sage, ADP, Nibelis — génèrent des PDF avec des signatures techniques caractéristiques. Silae produit ses bulletins via un moteur de rendu qui se déclare dans le champ Creator du PDF. Quand quelqu'un récupère un vrai bulletin Silae, le retouche dans Acrobat ou LibreOffice, et le réexporte, le champ Producer change. Il affiche désormais « Adobe Acrobat 23.0 » ou « LibreOffice 7.5 » — un écart immédiatement détectable.
Linux / macOS :
pdfinfo bulletin_paie.pdfSortie typique d'un bulletin authentique généré par Silae :
Creator: Silae
Producer: iText® 7.1.15 ©2000-2022 iText Group NV (AGPL-version)
CreationDate: Thu Apr 3 08:14:22 2025
ModDate: Thu Apr 3 08:14:22 2025Sortie suspecte après retouche :
Creator: Writer
Producer: LibreOffice 7.5
CreationDate: Thu Apr 3 08:14:22 2025
ModDate: Mon May 12 22:47:09 2025Le signal d'alerte ici : ModDate est postérieure à CreationDate de six semaines, et le Producer est LibreOffice alors que le Creator indique Writer. Le fichier a été ouvert, modifié, réenregistré.
Windows (PowerShell) :
Get-Item bulletin_paie.pdf | Select-Object Name, LastWriteTime, CreationTimeAvec exiftool (cross-platform, gratuit) :
exiftool bulletin_paie.pdf | grep -E "Creator|Producer|Modify|Create"L'empreinte SHA-256 : ce que les tribunaux commencent à retenir
Au-delà des métadonnées, l'empreinte cryptographique d'un fichier constitue un indicateur d'intégrité puissant. SHA-256 produit une signature de 64 caractères hexadécimaux à partir du contenu exact du fichier. Modifier un seul pixel, une virgule, ou un espace insécable produit une empreinte radicalement différente.
L'empreinte SHA-256 constitue un élément technique d'intégrité que les juges retiennent régulièrement dans les contentieux documentaires — à condition qu'elle ait été calculée et horodatée au bon moment, c'est-à-dire au moment de l'émission du document par l'employeur.
# macOS / Linux
shasum -a 256 bulletin_paie.pdf
# Windows PowerShell
Get-FileHash bulletin_paie.pdf -Algorithm SHA256Exemple de sortie :
3a7bd3e2360a3d29eea436fcfb7e44c735d117c42d1c1835420b6b9942dd4f1 bulletin_paie.pdfSi l'employeur a émis le bulletin via une plateforme qui horodate et enregistre cette empreinte au moment de la génération, la vérification devient triviale : comparer l'empreinte du fichier reçu avec celle enregistrée à l'émission. Si elles diffèrent d'un seul caractère, le fichier a été altéré.
Trois signaux visuels que les fraudeurs négligent
L'analyse technique n'exclut pas l'observation. Quelques points que les tutoriels classiques ne mentionnent pas :
1. La numérotation URSSAF et le taux de prélèvement à la source
Depuis 2019, le taux PAS (Prélèvement à la Source) figure sur chaque bulletin. Ce taux est individualisé — il varie d'un salarié à l'autre selon sa situation fiscale. Un fraudeur qui gonfle le salaire brut oublie souvent de recalculer la base d'imposition correspondante. Le montant du PAS devient alors mathématiquement incohérent avec le net imposable affiché. Vérification rapide : Net imposable × taux PAS affiché ≠ montant PAS prélevé → anomalie.
2. Le cumul annuel
Les bulletins français affichent systématiquement le cumul annuel depuis janvier. Si le bulletin de mars montre un cumul annuel identique au salaire du mois, soit la personne a été embauchée en mars, soit les mois précédents ont été oubliés lors de la falsification.
3. La structure des lignes de cotisation
Les libellés et taux des cotisations évoluent chaque année (accord de branche, réforme des retraites, etc.). Un bulletin daté de 2025 avec les taux et libellés de 2022 — notamment sur la cotisation retraite complémentaire AGIRC-ARRCO — trahit un copié-collé d'un vieux modèle.
Le cas du bulletin généré depuis un template en ligne
Une nouvelle catégorie de fraude est apparue avec les générateurs de fiches de paie en ligne. Ces fichiers sont techniquement cohérents — calculs URSSAF corrects, mise en page propre — mais leurs métadonnées trahissent leur origine : le Creator indique souvent le nom du service web utilisé, et la date de création ne correspond à aucun cycle de paie réel.
exiftool bulletin_suspect.pdf | grep Creator
# Creator: Online Paystub Generator (exemple)Le SIRET affiché dans ces bulletins est souvent soit inexistant, soit appartenant à une vraie entreprise sans rapport avec l'employeur déclaré. La vérification prend trente secondes sur le portail annuaire-entreprises.data.gouv.fr.
Ce que cela implique pour les émetteurs de documents
La fraude documentaire n'est pas qu'un problème de vérificateurs. Elle révèle une faille structurelle côté émission : les bulletins de paie quittent les RH en PDF non scellés, modifiables par n'importe quel éditeur. L'employé reçoit son bulletin, peut le modifier librement, et le transmet.
Quelques entreprises commencent à traiter ce problème à la source : intégrer une empreinte vérifiable dans chaque document émis, de sorte que la vérification ne nécessite pas d'accès au système RH. Le destinataire — propriétaire, banquier, administration — peut vérifier l'intégrité du document de façon autonome, sans solliciter l'employeur. C'est le modèle du sceau vérifiable : l'empreinte est publique, le document reste privé, la vérification est instantanée.
Questions fréquentes
Un propriétaire peut-il exiger un bulletin de paie « certifié » ?
Il n'existe pas d'obligation légale de fournir un bulletin certifié. Mais un propriétaire peut demander à l'employeur une attestation de salaire directement — sans passer par le candidat. C'est légal et de plus en plus courant pour les dossiers tendus.
Vérifier les métadonnées d'un PDF, c'est légal ?
Oui. Les métadonnées sont des données techniques du fichier, pas des données personnelles au sens RGPD. Lire les métadonnées d'un fichier reçu ne pose aucun problème juridique.
Que faire si on détecte une fausse fiche de paie dans un dossier de location ?
Refuser le dossier sans motif obligatoire à préciser. Si un bail a déjà été signé sur la base de documents falsifiés, c'est un vice du consentement — le propriétaire peut demander la nullité du bail devant le tribunal judiciaire. La falsification de documents est un délit passible de 3 ans de prison et 45 000 € d'amende (art. 441-1 du Code pénal).
Les logiciels de paie vont-ils tous intégrer des sceaux vérifiables ?
Certains éditeurs intègrent déjà des signatures numériques optionnelles. Mais sans infrastructure de vérification côté destinataire, ces signatures restent difficiles à utiliser. L'enjeu est d'avoir un point de vérification universel, accessible sans logiciel spécialisé.
La commande pdfinfo est-elle disponible sur Windows ?
Pas nativement. Il faut installer le package Poppler for Windows ou utiliser exiftool, qui est cross-platform et plus simple à installer. Sous PowerShell, Get-FileHash suffit pour le hash SHA-256 sans installation additionnelle.