Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Canva et RGPD : guide de conformité 2026

Canva et RGPD : sous-traitance, entraînement IA activé par défaut, images de tiers et transferts hors UE. Le guide pour l'utiliser en conformité.

Sur les comptes gratuits et Pro, Canva active par défaut l’utilisation de vos contenus pour entraîner ses modèles d’intelligence artificielle : il faut aller le désactiver manuellement dans les réglages. Or vous y déposez sans doute des photos de clients, des trombinoscopes, des captures d’écran ou des supports commerciaux nominatifs — autant de données personnelles de tiers que vous n’avez jamais inscrites au registre des traitements.

Voici un cadre opérationnel pour utiliser Canva dans un contexte professionnel sans sortir des clous du RGPD, en distinguant ce qui relève de votre responsabilité de ce que Canva prend à sa charge.

Canva joue deux rôles différents, et c’est tout l’enjeu

La première chose à comprendre, parce qu’elle commande le reste, c’est que Canva n’a pas un seul statut au regard du RGPD mais deux, selon les données concernées.

Pour les contenus que vous créez et téléversez — vos visuels, les images, les textes, les médias que vous importez —, Canva agit comme sous-traitant au sens de l’article 28 du RGPD. Vous décidez des finalités et des moyens : vous êtes le responsable de traitement. Canva ne fait qu’héberger et traiter ces contenus selon vos instructions. Canva publie d’ailleurs un Data Processing Addendum (DPA) qui intègre les clauses contractuelles types de l’UE en module 2 (responsable vers sous-traitant), une description des mesures techniques et organisationnelles, et la liste de ses sous-traitants ultérieurs.

Pour les données liées à votre compte — votre adresse e-mail, vos données de connexion, votre comportement d’usage, les statistiques d’utilisation que Canva exploite pour améliorer son produit et faire son propre marketing —, Canva agit comme responsable de traitement indépendant, pour son propre compte. Vous n’avez aucune maîtrise sur ces traitements ; ils sont régis par la politique de confidentialité de Canva.

Cette distinction n’est pas théorique. Côté contenu, c’est à vous d’avoir une base légale, d’informer les personnes et d’inscrire le traitement au registre. Côté compte, c’est Canva qui répond. Confondre les deux, c’est croire à tort que « Canva est conforme, donc je suis couvert ».

Récupérez le DPA et identifiez le bon entité contractante

Pour la part « sous-traitance », l’article 28(3) impose un contrat. Chez Canva, c’est l’Addendum sur le traitement des données, qui se rattache automatiquement à vos conditions d’utilisation dès lors que vous traitez des données personnelles de tiers via la plateforme. Téléchargez-le, archivez-le, et notez deux points pratiques.

D’abord, l’éditeur est Canva Pty Ltd, société de droit australien établie à Surry Hills (Sydney). Vous contractez donc avec une entité hors UE. Canva a désigné un représentant dans l’EEE au titre de l’article 27 du RGPD : il s’agit de l’European Data Protection Office (EDPO), à Dublin. C’est l’interlocuteur à mentionner si vous devez documenter votre chaîne de sous-traitance.

Ensuite, la liste des sous-traitants ultérieurs (publiée par Canva) doit être consultée et conservée, car l’article 28(2) vous donne le droit d’être informé de tout changement. L’infrastructure repose notamment sur Amazon Web Services. Vous héritez donc de la problématique classique du cloud américain : AWS étant une société soumise au droit des États-Unis, le CLOUD Act peut théoriquement permettre des demandes d’accès, indépendamment de la localisation physique des serveurs.

Le vrai angle mort : les données de tiers dans vos visuels

C’est ici que se concentre le risque réel, et il est presque toujours sous-estimé. Un compte Canva d’entreprise se remplit vite de données personnelles qui n’appartiennent pas à l’entreprise : photos de salariés pour un trombinoscope ou une signature mail, clichés d’un événement où figurent des participants identifiables, témoignages clients avec nom et photo, captures d’écran contenant des adresses e-mail, visuels de recrutement, etc.

Pour chacun de ces contenus, vous êtes responsable de traitement. Cela suppose, comme pour tout autre traitement, une base légale (le plus souvent le consentement pour le droit à l’image et la photo d’une personne, parfois l’intérêt légitime pour une photo professionnelle d’équipe), une information des personnes sur l’usage de leur image, et le respect du principe de minimisation : ne déposez sur Canva que ce qui est nécessaire au visuel concerné.

Attention au cas particulier des données sensibles. Une photo de groupe n’est pas en soi une donnée biométrique, mais le devient si elle est traitée par un procédé technique d’identification (reconnaissance faciale). Tant que vous ne faites que de la mise en page, vous restez dans le régime général. En revanche, un visuel qui révélerait l’état de santé, les opinions politiques, l’origine ou l’orientation sexuelle d’une personne relève de l’article 9 du RGPD et de son régime d’interdiction de principe : à proscrire dans Canva sauf exception solide. Le sujet mérite un détour par notre guide sur les données sensibles.

L’entraînement de l’IA : un réglage à vérifier d’urgence

Canva a déployé une large gamme de fonctions d’IA générative (Magic Studio, Canva AI, génération d’images et de textes). Le point de vigilance RGPD est clair : sur les comptes gratuits et Pro, l’option d’utilisation de vos contenus pour entraîner les modèles d’IA de Canva est activée par défaut. Vous devez vous rendre dans les réglages de confidentialité de votre compte pour la désactiver. À l’inverse, Canva indique que pour les comptes Teams, Business, Enterprise et Education, les contenus ne sont jamais utilisés pour l’entraînement et ne peuvent pas l’être.

Concrètement, si vous travaillez sur un compte Pro avec des visuels contenant des données de clients ou de salariés, ces contenus peuvent alimenter l’entraînement de modèles tant que vous n’avez pas désactivé l’option. Pour un responsable de traitement, c’est un problème : utiliser des données personnelles confiées par des tiers pour entraîner un modèle d’IA constitue une finalité distincte, qui sort des instructions que vous êtes censé donner à votre sous-traitant au titre de l’article 28(3)(a). La parade est simple et gratuite : passez sur un plan où l’entraînement est exclu, ou désactivez explicitement l’option, et documentez ce choix.

Cet angle rejoint plus largement la question du croisement entre RGPD et intelligence artificielle, et l’arrivée des obligations de transparence de l’AI Act pour les PME. Avant de déposer un jeu de données personnelles dans un outil doté de fonctions génératives, posez-vous toujours la question de la finalité réelle du traitement.

Transferts hors UE : Australie et États-Unis

Du fait de la structure de Canva, vos données franchissent les frontières de l’UE à deux titres : vers l’Australie (siège de l’éditeur) et, via l’infrastructure, vers un environnement soumis au droit américain. Or l’Australie ne bénéficie pas d’une décision d’adéquation de la Commission européenne.

Ces transferts hors UE doivent donc reposer sur les garanties appropriées du chapitre V (articles 44 à 49) : ce sont les clauses contractuelles types intégrées au DPA de Canva qui jouent ce rôle. Votre travail de mise en conformité consiste à le documenter dans votre registre des activités de traitement : nature des données, destinataire, pays de destination, mécanisme de transfert. C’est exactement le type de cartographie que Legiscope tient à jour automatiquement pour chaque outil de votre stack.

Sécurité et obligations courantes

Sur le volet sécurité de l’article 32, le premier risque n’est presque jamais une faille de Canva : c’est le compte d’équipe partagé sans authentification à plusieurs facteurs, ou l’ancien collaborateur dont l’accès n’a jamais été révoqué. Activez le MFA, gérez finement les rôles et les invitations, et révoquez les accès au départ d’un salarié.

Pensez enfin aux obligations habituelles : encadrer la durée de conservation (supprimez les visuels et imports qui ne servent plus), être en mesure de répondre à une demande de droit d’accès ou à un droit à l’effacement portant sur une image, et réagir en cas de violation de données (notification à la CNIL sous 72 heures, article 33). Pour un usage massif de données de tiers, une analyse d’impact peut s’imposer.

Ce qu’il faut retenir

  • Double rôle. Canva est votre sous-traitant (article 28) pour les contenus que vous déposez, mais responsable de traitement indépendant pour les données de votre compte. Vous restez responsable de la conformité de vos visuels.
  • Récupérez et archivez le DPA de Canva (clauses contractuelles types intégrées) ; l’éditeur est une société australienne, avec EDPO comme représentant UE et AWS dans la chaîne de sous-traitants.
  • Entraînement IA activé par défaut sur les comptes gratuits et Pro : désactivez-le dans les réglages de confidentialité, ou utilisez un plan Teams/Business/Enterprise où il est exclu.
  • Données de tiers dans les visuels (photos de salariés, de clients, captures nominatives) : base légale, information et minimisation s’appliquent ; bannissez les données sensibles de l’article 9.
  • Transferts hors UE vers l’Australie (sans adéquation) et les États-Unis : documentez le mécanisme (clauses contractuelles types) dans votre registre.

FAQ

Canva est-il conforme au RGPD ?

Canva fournit les outils contractuels nécessaires à la conformité — un DPA avec clauses contractuelles types, une liste de sous-traitants, un représentant UE. Mais « Canva conforme » ne signifie pas « votre usage conforme ». Pour les contenus que vous déposez, c’est vous le responsable de traitement : la base légale, l’information des personnes et l’inscription au registre vous incombent.

Faut-il signer un contrat de sous-traitance avec Canva ?

L’article 28(3) impose un acte juridique encadrant la sous-traitance. Canva le matérialise par son Addendum sur le traitement des données, rattaché à vos conditions d’utilisation. Il n’y a en général pas de signature manuscrite à apposer, mais vous devez le télécharger, l’archiver et en vérifier le contenu, notamment la liste des sous-traitants ultérieurs.

Mes designs Canva servent-ils à entraîner son IA ?

Sur les comptes gratuits et Pro, oui par défaut : l’option doit être désactivée manuellement dans les réglages de confidentialité. Sur les comptes Teams, Business, Enterprise et Education, Canva indique que les contenus ne sont jamais utilisés pour l’entraînement de ses modèles.

Puis-je mettre des photos de mes salariés ou clients sur Canva ?

Oui, à condition de respecter le RGPD comme pour tout autre traitement : disposer d’une base légale (souvent le consentement pour le droit à l’image), informer les personnes de l’usage de leur image, limiter le contenu déposé au strict nécessaire et fixer une durée de conservation. Évitez tout visuel révélant des données sensibles au sens de l’article 9.

Où sont hébergées les données de Canva ?

Canva s’appuie sur l’infrastructure d’Amazon Web Services et l’éditeur est une société australienne. Vos données peuvent donc transiter hors de l’UE, vers l’Australie (sans décision d’adéquation) et un environnement soumis au droit américain. Ces transferts doivent être encadrés par les clauses contractuelles types prévues aux articles 44 à 49.