Asana et RGPD : guide de conformite 2026

Asana est l’un des outils de gestion de projet les plus populaires aupres des equipes marketing, produit et operations des entreprises francaises. Planification de campagnes, suivi de livrables, gestion de portefeuilles de projets, workflows automatises : Asana centralise une quantite significative d’informations operationnelles qui incluent, presque inevitablement, des donnees personnelles. Noms de clients dans les titres de taches, coordonnees dans les commentaires, fichiers contenant des listes de contacts en pieces jointes – le traitement de donnees personnelles dans Asana est diffus et souvent non documente.

L’analyse RGPD d’Asana se distingue de celle de Jira par le profil des utilisateurs : la ou Jira est utilise principalement par des equipes techniques habituees a la rigueur des processus, Asana est adopte par des equipes metiers (marketing, commercial, RH) qui n’ont pas toujours le reflexe de s’interroger sur les implications RGPD de leur utilisation quotidienne de l’outil.

Pour une vue d’ensemble de la conformite des outils SaaS, consultez notre guide RGPD par outil. Voir egalement nos analyses de Jira et de Monday.com, deux alternatives a Asana.

Qualification juridique : Asana comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Asana Inc. agit en qualite de sous-traitant au sens de l’article 28 du RGPD pour l’ensemble de ses services cloud. Votre organisation determine les finalites du traitement (gestion de projet, planification marketing, suivi operationnel) et les moyens essentiels (quels projets sont crees, quels collaborateurs y participent, quelles donnees y sont saisies). Asana fournit l’infrastructure technique et traite les donnees selon vos instructions.

Les categories de donnees traitees

Asana traite des donnees personnelles a plusieurs niveaux :

• Profils utilisateurs : noms, adresses email, photos de profil, fonction, equipe
• Contenu des taches : titres, descriptions, commentaires, pieces jointes. Les titres de taches contiennent souvent des noms de clients ou de collaborateurs.
• Donnees de timeline et de portefeuille : assignations, dates, statuts, progression
• Donnees de formulaire : si les formulaires Asana sont utilises pour collecter des informations (demandes internes, briefs)
• Metadonnees d’activite : journal d’activite enregistrant qui a fait quoi et quand

Le cas d’Asana Intelligence (IA)

Asana Intelligence propose des fonctionnalites d’IA pour resumer des projets, generer des statuts et identifier des risques. Selon la documentation d’Asana, la fonctionnalite IA utilise les donnees de l’espace de travail et peut faire appel a des sous-traitants ulterieurs pour le traitement par modeles de langage. Verifiez la politique specifique d’Asana Intelligence et la liste des sous-traitants IA dans le DPA avant d’activer cette fonctionnalite.

Analyse du DPA Asana

Le DPA d’Asana est disponible en ligne et s’applique aux clients disposant d’un abonnement payant. Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD	Couverture dans le DPA Asana	Evaluation
Objet, duree, nature et finalite du traitement	Definis dans le DPA et les conditions de service	Conforme
Types de donnees et categories de personnes	Decrits dans l’annexe au DPA	Conforme
Instructions documentees du responsable	Traitement sur instructions documentees	Conforme
Confidentialite du personnel	Engagement de confidentialite pour le personnel Asana	Conforme
Mesures de securite (Art. 32)	Mesures techniques et organisationnelles dans l’annexe securite	Conforme
Sous-traitants ulterieurs	Liste publiee avec mecanisme de notification	Conforme
Assistance pour les droits des personnes	Engagement d’assistance dans le DPA	Conforme
Suppression ou restitution en fin de contrat	Suppression des donnees apres resiliation	Conforme
Droit d’audit	Prevu dans le DPA (via rapports SOC 2, ISO 27001 et possibilite d’audit)	Conforme
Information en cas d’instruction contrevenant au RGPD	Prevu dans le DPA	Conforme

Le DPA d’Asana est conforme aux exigences de l’article 28. Il est neanmoins moins detaille que ceux de certains concurrents (Atlassian, Google) sur les mesures techniques specifiques. Le mecanisme de notification en cas de changement de sous-traitants ulterieurs existe mais les modalites d’objection doivent etre verifiees.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des donnees

Asana Inc. est une societe americaine basee a San Francisco. L’infrastructure est hebergee sur AWS, avec l’hebergement principal aux Etats-Unis. La residence des donnees dans l’UE est disponible sur le plan Enterprise uniquement.

Il faut distinguer :

• Donnees de contenu (taches, projets, pieces jointes) : hebergeables dans l’UE sur le plan Enterprise
• Donnees de compte (inscription, facturation) : aux Etats-Unis
• Metadonnees de service : peuvent etre traitees aux Etats-Unis

Pour les organisations utilisant les plans Starter, Advanced ou Business, toutes les donnees sont hebergees aux Etats-Unis. C’est une limitation significative que les plans inferieurs ne permettent pas de contourner.

Mecanismes de transfert

Pour les transferts vers les Etats-Unis, Asana s’appuie sur :

1. EU-US Data Privacy Framework (DPF). Asana Inc. est certifiee au DPF.

2. Clauses contractuelles types (CCT). Le DPA integre les CCT 2021 comme mecanisme supplementaire.

Conduite de la TIA

Les elements a evaluer :

• Cadre juridique americain. FISA Section 702, EO 12333, avec les garanties de l’EO 14086 dans le cadre du DPF.
• Nature des donnees. Les donnees dans Asana sont generalement moins sensibles que dans un CRM ou un outil de paie, mais elles peuvent neanmoins inclure des noms de clients, des informations commerciales, et des donnees d’employes (assignations, charges de travail, evaluations de performance dans certains cas).
• Mesures supplementaires. Chiffrement en transit et au repos. La residence des donnees UE sur le plan Enterprise reduit l’exposition. Pour les plans sans residence UE, la TIA doit documenter que l’integralite des donnees est hebergee aux Etats-Unis.

Securite informatique

Asana a developpe un dispositif de securite adapte a son positionnement d’outil de productivite pour les equipes metiers.

Certifications et audits

• SOC 2 Type II – audit independant des controles de securite
• ISO 27001 – certification du systeme de management de la securite

Mesures techniques

• Chiffrement en transit : TLS 1.2+ pour toutes les communications
• Chiffrement au repos : AES-256 via AWS
• Authentification : SSO SAML 2.0 (plans Business et Enterprise), MFA, SCIM pour le provisionnement automatique (Enterprise)
• Gestion des permissions : permissions par equipe, par projet, taches privees
• Journalisation : journal d’audit des actions administratives (Enterprise)
• Controle de session : duree de session configurable, deconnexion forcee a distance

Mesures organisationnelles

• Programme de gestion des vulnerabilites
• Tests de penetration reguliers
• Programme de bug bounty (HackerOne)
• Notification des incidents de securite conformement au DPA

Le niveau de securite d’Asana est correct pour un outil de gestion de projet. Les fonctionnalites de securite avancees (SSO, SCIM, journal d’audit, residence des donnees UE) sont cependant reservees aux plans Business et Enterprise, ce qui cree une disparite de conformite selon le plan souscrit.

Configuration recommandee pour la conformite RGPD

1. Evaluer le plan souscrit au regard des besoins RGPD. La residence des donnees UE et les fonctionnalites de securite avancees (SCIM, journal d’audit) ne sont disponibles que sur le plan Enterprise. Si vos taches Asana contiennent des donnees personnelles significatives, le plan Enterprise peut etre necessaire pour atteindre un niveau de conformite satisfaisant.

2. Activer la residence des donnees dans l’UE. Sur le plan Enterprise, activez la residence des donnees UE. Les donnees de contenu seront stockees dans les centres de donnees AWS europeens.

3. Signer et archiver le DPA. Acceptez le DPA d’Asana disponible en ligne. Conservez une copie datee dans votre documentation RGPD.

4. Activer le SSO et le MFA. Sur les plans Business et Enterprise, activez le SSO SAML 2.0 via votre fournisseur d’identite. Rendez le MFA obligatoire. Configurez le SCIM pour automatiser le provisionnement et le deprovisionnement (Enterprise).

5. Auditer les projets contenant des donnees personnelles. Passez en revue les espaces de travail et les projets Asana pour identifier ceux qui contiennent des donnees personnelles : projets marketing avec noms de clients, projets commerciaux avec donnees de prospects, projets RH avec donnees d’employes. Documentez chaque traitement identifie dans votre registre des traitements.

6. Structurer les permissions par equipe. Configurez les projets avec des permissions adaptees : les projets contenant des donnees personnelles de clients doivent etre restreints aux equipes concernees. Utilisez les equipes et les projets prives pour cloisonner les acces.

7. Definir des politiques de retention. Asana ne propose pas de politique de retention automatisee native. La suppression des taches et projets obsoletes contenant des donnees personnelles doit etre geree manuellement ou via l’API Asana. Definissez une procedure periodique de revue et de purge, conforme a votre politique de duree de conservation.

8. Evaluer Asana Intelligence. Si vous envisagez d’activer Asana Intelligence, verifiez les conditions de traitement des donnees par l’IA, la liste des sous-traitants ulterieurs impliques, et l’engagement de non-utilisation des donnees pour l’entrainement. Desactivez la fonctionnalite si les risques ne sont pas acceptables.

9. Former les equipes metiers. Les utilisateurs d’Asana sont souvent des equipes marketing, commerciales ou RH qui ne sont pas sensibilisees aux enjeux RGPD. Formez-les a ne pas saisir de donnees personnelles inutiles dans les titres de taches, a ne pas joindre de fichiers contenant des listes de contacts non pseudonymisees, et a utiliser les projets prives pour les donnees sensibles.

10. Mettre en place une procedure de reponse aux droits. Prevoyez comment localiser et extraire les donnees d’une personne dans Asana : taches assignees, taches mentionnant la personne, commentaires, pieces jointes. L’API Asana permet d’automatiser partiellement cette recherche. Le droit a l’effacement (art. 17) necessite la suppression du contenu dans les taches et commentaires, pas seulement la desactivation du compte.

Points d’attention specifiques

L’usage CRM informel par les equipes commerciales

Asana est frequemment utilise par les equipes commerciales comme outil de suivi des opportunites et des prospects. Des taches contenant le nom du prospect, son email, son numero de telephone, l’historique des echanges, le montant du deal potentiel se multiplient dans les projets commerciaux. Ce traitement est rarement documente dans le registre des traitements, et les donnees sont conservees indefiniment. Ce “CRM sauvage” doit etre identifie, documente et encadre.

L’absence de residence des donnees UE sur les plans non-Enterprise

La residence des donnees dans l’UE n’est disponible que sur le plan Enterprise d’Asana. Pour les plans Starter, Advanced et Business, l’integralite des donnees est hebergee aux Etats-Unis. Cette limitation est significative et doit etre prise en compte dans la TIA. Pour les organisations qui ne peuvent pas justifier un plan Enterprise, la conformite repose entierement sur les mecanismes de transfert (DPF, CCT) sans la mesure supplementaire de la residence des donnees UE.

Les formulaires Asana comme points de collecte de donnees

Les formulaires Asana permettent de creer des points de collecte d’informations (briefs, demandes internes, formulaires de feedback). Si ces formulaires collectent des donnees personnelles, ils constituent des traitements distincts qui doivent etre documentes. L’information des personnes concernees (art. 13) doit etre assuree au moment de la collecte.

FAQ

Asana est-il conforme au RGPD ?

Asana fournit les elements contractuels et techniques de base pour une utilisation conforme : DPA, certification DPF, certifications SOC 2 et ISO 27001, chiffrement. La conformite effective depend fortement du plan souscrit : le plan Enterprise offre la residence des donnees UE, le SCIM et le journal d’audit, qui sont des elements importants. Sur les plans inferieurs, la conformite est possible mais repose davantage sur les mecanismes de transfert et sur la rigueur organisationnelle.

Asana peut-il etre utilise sans le plan Enterprise ?

Oui, a condition de documenter rigoureusement les transferts vers les Etats-Unis dans votre TIA et de mettre en place des mesures compensatoires organisationnelles : gestion manuelle des acces, procedure de purge des donnees, sensibilisation des utilisateurs. Le plan Enterprise offre cependant des garanties techniques (residence UE, SCIM, audit log) qui facilitent significativement la conformite. L’evaluation doit se faire au regard de la sensibilite des donnees traitees dans Asana.

Faut-il realiser une AIPD pour Asana ?

Une analyse d’impact est recommandee si Asana est utilise pour des traitements impliquant des donnees personnelles a grande echelle : gestion de campagnes marketing ciblant de nombreux individus, suivi de recrutement, gestion de projets clients avec donnees personnelles. Pour un usage standard de gestion de projet interne sans donnees personnelles significatives, l’AIPD n’est pas formellement requise. L’activation d’Asana Intelligence peut justifier une AIPD si des donnees personnelles sont traitees par l’IA.

Comment migrer d’Asana vers un outil avec residence UE native ?

Si la residence des donnees UE est une exigence et que le plan Enterprise Asana n’est pas envisageable, des alternatives comme Jira (residence UE disponible sur tous les plans cloud) ou Monday.com (residence UE disponible) peuvent etre evaluees. La migration necessite l’export des donnees depuis Asana (via l’API ou les fonctions d’export CSV), la suppression des donnees dans Asana apres migration, et la mise a jour du registre des traitements.