ClickUp et RGPD : guide de conformité 2026
ClickUp est-il conforme au RGPD ? Analyse du DPA, des transferts vers les États-Unis, de ClickUp Brain et configuration recommandée.
ClickUp s’est imposé comme l’outil de gestion de projet « tout-en-un » des startups, agences et équipes produit françaises : tâches, documents, objectifs, wikis, tableaux blancs, formulaires et chat sont rassemblés dans un seul espace de travail. Cette polyvalence est précisément ce qui complique l’analyse RGPD : ClickUp ne traite pas seulement des données de projet, il agrège dans un même outil des données qui relèveraient ailleurs d’un CRM, d’une GED, d’un outil RH et d’une messagerie. Noms de clients dans les titres de tâches, coordonnées de prospects dans les champs personnalisés, fichiers RH en pièces jointes, échanges dans le ClickUp Chat — le périmètre des traitements est large et rarement documenté.
À la différence de Jira, conçu pour des équipes techniques rompues à la rigueur des processus, ClickUp est adopté par des équipes métiers (marketing, commercial, opérations) qui n’ont pas toujours le réflexe de s’interroger sur les implications RGPD de leur usage quotidien. Pour une vue d’ensemble, consultez notre guide RGPD par outil, ainsi que nos analyses de Asana, Monday.com et Trello, trois alternatives directes à ClickUp.
Qualification juridique : ClickUp comme sous-traitant
Le statut de sous-traitant au sens de l’article 28
ClickUp (édité par Mango Technologies, Inc., société américaine basée à San Diego) agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour ses services cloud. Votre organisation détermine les finalités du traitement (gestion de projet, suivi opérationnel, collaboration documentaire) et les moyens essentiels (quels espaces sont créés, quels collaborateurs y accèdent, quelles données y sont saisies). ClickUp fournit l’infrastructure technique et traite les données selon vos instructions documentées.
Les catégories de données traitées
Du fait de son positionnement « tout-en-un », ClickUp traite des données personnelles à de nombreux niveaux :
- Profils utilisateurs : noms, adresses email, photos de profil, fonction, fuseau horaire
- Contenu des tâches : titres, descriptions, commentaires, sous-tâches, pièces jointes. Les titres et champs personnalisés contiennent souvent des noms de clients, de prospects ou de collaborateurs.
- Champs personnalisés : email, téléphone, adresse — souvent utilisés pour transformer ClickUp en mini-CRM
- ClickUp Docs et Whiteboards : documents collaboratifs et tableaux blancs pouvant contenir des données personnelles
- ClickUp Chat et formulaires : messages, et données collectées via les formulaires ClickUp
- Métadonnées d’activité : journal d’activité enregistrant qui a fait quoi et quand
Le cas de ClickUp Brain (IA)
ClickUp Brain propose des fonctionnalités d’IA générative pour résumer des tâches, rédiger des contenus, générer des statuts de projet et répondre à des questions sur l’espace de travail. Point essentiel : lorsqu’une fonctionnalité fait appel à un sous-traitant IA, les données concernées sont traitées en dehors de la région de stockage que vous avez sélectionnée. Le sous-traitant historique de ClickUp Brain, OpenAI, est situé aux États-Unis. Avant d’activer ClickUp Brain, vérifiez la liste à jour des sous-traitants IA (publiée par ClickUp), l’engagement de non-utilisation de vos données pour l’entraînement des modèles, et l’impact sur la localisation des données.
Analyse du DPA ClickUp
ClickUp met à disposition un Data Processing Addendum (DPA) en ligne, applicable aux clients disposant d’un abonnement payant. La liste des sous-traitants ultérieurs est publiée séparément. Voici l’analyse au regard de l’article 28 du RGPD.
| Exigence Art. 28 RGPD | Couverture dans le DPA ClickUp | Évaluation |
|---|---|---|
| Objet, durée, nature et finalité du traitement | Définis dans le DPA et les conditions de service | Conforme |
| Types de données et catégories de personnes | Décrits en annexe du DPA | Conforme |
| Instructions documentées du responsable | Traitement sur instructions documentées | Conforme |
| Confidentialité du personnel | Engagement de confidentialité pour le personnel ClickUp | Conforme |
| Mesures de sécurité (Art. 32) | Mesures techniques et organisationnelles en annexe sécurité | Conforme |
| Sous-traitants ultérieurs | Liste publiée avec mécanisme de notification | Conforme |
| Assistance pour les droits des personnes | Engagement d’assistance dans le DPA | Conforme |
| Suppression ou restitution en fin de contrat | Suppression des données après résiliation | Conforme |
| Droit d’audit | Prévu via rapports SOC 2 et certifications, audit encadré | Conforme |
| Information en cas d’instruction contrevenant au RGPD | Prévu dans le DPA | Conforme |
Le DPA de ClickUp couvre les exigences de l’article 28. Deux points méritent une vigilance particulière : le mécanisme de notification en cas de changement de sous-traitants ultérieurs existe, mais les modalités et délais d’objection doivent être vérifiés ; et le traitement par ClickUp Brain s’effectue hors de la région de stockage choisie, ce qui doit être intégré à votre cartographie des flux.
Transferts internationaux et analyse d’impact sur les transferts (TIA)
Localisation des données
ClickUp héberge l’intégralité de son infrastructure sur Amazon Web Services (AWS), répartie sur cinq régions dans le monde. Depuis 2026, ClickUp propose une option de résidence des données, qui permet de choisir la région de stockage de l’espace de travail, dont une région européenne (AWS Francfort, eu-central-1).
Il faut toutefois distinguer :
- Données de contenu (tâches, documents, pièces jointes) : stockables dans l’UE si la résidence des données européenne est activée
- Données de compte et de facturation : traitées principalement aux États-Unis
- Données traitées par des fonctionnalités à sous-traitant (ClickUp Brain, certaines intégrations) : traitées hors de la région sélectionnée, généralement aux États-Unis
L’activation de la résidence UE réduit fortement l’exposition pour les données de contenu, mais ne supprime pas tout transfert : les métadonnées de service, la facturation et les fonctionnalités IA continuent d’impliquer un traitement aux États-Unis.
Mécanismes de transfert
Pour les transferts de données hors UE, ClickUp s’appuie sur :
- EU-US Data Privacy Framework (DPF). Mango Technologies / ClickUp participe au DPF.
- Clauses contractuelles types (CCT). Le DPA intègre les CCT 2021 comme mécanisme supplémentaire, notamment pour les flux non couverts par le DPF.
Conduite de la TIA
Les éléments à évaluer dans votre analyse d’impact sur les transferts :
- Cadre juridique américain. FISA Section 702, Executive Order 12333, avec les garanties de l’EO 14086 dans le cadre du DPF.
- Nature des données. Le profil « tout-en-un » de ClickUp augmente le risque : un même espace peut contenir des données de prospects (usage CRM), des données RH (recrutement, évaluations) et des données clients. La TIA doit tenir compte du type de données réellement saisi.
- Mesures supplémentaires. Chiffrement en transit et au repos, résidence des données UE pour le contenu. Pour les espaces sans résidence UE activée, ou recourant à ClickUp Brain, la TIA doit documenter explicitement le transfert vers les États-Unis et les garanties associées.
Sécurité informatique
Ayant travaillé six ans au sein de la DCSSI (services du Premier ministre), j’accorde une attention particulière à la cohérence entre les engagements contractuels de sécurité et leur traduction technique. ClickUp présente un dispositif de sécurité conforme aux standards du marché des outils de productivité.
Certifications et audits
- SOC 2 Type II — audit indépendant des contrôles de sécurité
- ISO 27001 — certification du système de management de la sécurité
- HIPAA — disponible pour certains plans (pertinent uniquement pour des données de santé, à encadrer spécifiquement)
Mesures techniques
- Chiffrement en transit : TLS pour toutes les communications
- Chiffrement au repos : AES-256, gestion des clés via AWS KMS
- Authentification : SSO SAML 2.0, Google SSO, MFA (selon le plan), provisionnement SCIM sur les plans supérieurs
- Gestion des permissions : permissions par espace, dossier, liste et tâche ; partage privé ; rôles personnalisés (Enterprise)
- Journalisation : journal d’audit des actions administratives (Enterprise)
- Contrôle d’accès : restrictions par adresse IP et politiques de mot de passe sur les plans avancés
Mesures organisationnelles
- Programme de gestion des vulnérabilités et tests d’intrusion réguliers
- Programme de bug bounty
- Notification des incidents de sécurité conformément au DPA
Le niveau de sécurité de ClickUp est correct. Comme pour ses concurrents, les fonctionnalités les plus utiles à la conformité (SSO, SCIM, journal d’audit, rôles personnalisés, restrictions IP) sont réservées aux plans Business et Enterprise. La disparité de conformité selon le plan souscrit est donc un point d’attention central.
Configuration recommandée pour la conformité RGPD
-
Activer la résidence des données dans l’UE. Si votre espace ClickUp contient des données personnelles significatives, activez la résidence européenne dès la création de l’espace (la migration d’un espace existant peut être contrainte). Les données de contenu seront stockées à Francfort.
-
Signer et archiver le DPA. Acceptez le DPA de ClickUp et conservez une copie datée dans votre documentation RGPD, avec la liste des sous-traitants ultérieurs en vigueur à la date de signature.
-
Évaluer le plan au regard des besoins de conformité. Le SSO, le SCIM, les rôles personnalisés, le journal d’audit et les restrictions IP ne sont disponibles que sur les plans supérieurs. Si vous traitez des données personnelles sensibles ou à grande échelle, le plan Enterprise peut être nécessaire pour atteindre un niveau de conformité satisfaisant.
-
Activer le SSO et le MFA. Configurez le SSO SAML 2.0 via votre fournisseur d’identité, rendez le MFA obligatoire, et automatisez le provisionnement / déprovisionnement via SCIM lorsque c’est disponible.
-
Auditer les espaces contenant des données personnelles. Passez en revue espaces, dossiers et listes pour identifier ceux qui contiennent des données personnelles : projets clients, recrutement, suivi commercial. Documentez chaque traitement dans votre registre des traitements, conformément à l’article 30 du RGPD.
-
Encadrer l’usage CRM informel. ClickUp est fréquemment détourné en CRM via les champs personnalisés (email, téléphone, montant du deal, historique). Ce « CRM sauvage » doit être identifié, documenté, doté d’une base légale et d’une durée de conservation, faute de quoi il constitue un traitement non conforme.
-
Structurer les permissions. Restreignez les espaces contenant des données personnelles aux seules équipes concernées. Utilisez le partage privé et les rôles personnalisés pour cloisonner les accès, en application du principe de minimisation.
-
Définir des politiques de rétention. ClickUp ne propose pas nativement de purge automatisée fine. La suppression des tâches, documents et espaces obsolètes contenant des données personnelles doit être organisée (procédure périodique ou automatisation via l’API), conformément à votre politique de durée de conservation.
-
Évaluer ClickUp Brain avant activation. Vérifiez les sous-traitants IA, l’engagement de non-entraînement sur vos données, et le fait que le traitement IA s’effectue hors de votre région de stockage. Désactivez la fonctionnalité au niveau de l’espace si les risques ne sont pas acceptables.
-
Mettre en place une procédure de réponse aux droits. Anticipez la localisation et l’extraction des données d’une personne dans ClickUp : tâches assignées, mentions, commentaires, documents, pièces jointes. Le droit à l’effacement (art. 17) impose de supprimer le contenu lui-même (dans les tâches, docs et commentaires), pas seulement de désactiver le compte utilisateur.
Points d’attention spécifiques
Le périmètre « tout-en-un » qui dissout les frontières des traitements
C’est la principale difficulté de ClickUp. Là où une organisation distingue habituellement CRM, GED, outil RH et messagerie — chacun avec son propre traitement documenté —, ClickUp les fusionne. Un même espace peut héberger des données de prospects, des CV de candidats et des évaluations de salariés. Cette concentration impose une cartographie fine : un seul outil, mais potentiellement plusieurs traitements distincts à inscrire au registre, chacun avec sa base légale et sa durée de conservation.
Les formulaires ClickUp comme points de collecte
Les formulaires ClickUp permettent de collecter des informations (briefs, demandes internes, candidatures). Lorsqu’ils collectent des données personnelles, ils constituent des traitements distincts qui doivent être documentés, et l’information des personnes concernées (art. 13) doit être assurée au moment de la collecte — ce que la configuration par défaut d’un formulaire ne prévoit pas.
ClickUp Brain et la sortie de la région de stockage
Activer la résidence UE puis utiliser ClickUp Brain crée un angle mort fréquent : l’organisation croit son contenu hébergé en Europe, alors que les requêtes adressées à l’IA sont traitées aux États-Unis par un sous-traitant tiers. Ce flux doit être identifié dans la cartographie et couvert par la TIA, sous peine de contradiction entre la documentation et la réalité technique.
Ce qu’il faut retenir
- ClickUp peut être utilisé de façon conforme, à condition d’activer la résidence des données UE, de signer le DPA et de choisir un plan offrant les fonctionnalités de sécurité nécessaires (SSO, SCIM, journal d’audit).
- Le profil « tout-en-un » est le principal risque : un même espace mélange souvent données clients, prospects, candidats et salariés. La cartographie des traitements doit être plus fine que pour un outil mono-usage.
- Les transferts vers les États-Unis subsistent pour la facturation, les métadonnées et surtout ClickUp Brain, même avec la résidence UE activée. La TIA doit les documenter.
- ClickUp Brain crée un angle mort : le traitement IA s’effectue hors de la région de stockage choisie. À évaluer et encadrer avant activation.
- L’usage CRM informel via champs personnalisés doit être identifié, doté d’une base légale et d’une durée de conservation, sous peine de constituer un traitement non conforme.
FAQ
ClickUp est-il conforme au RGPD ?
ClickUp fournit les éléments contractuels et techniques de base d’une utilisation conforme : DPA, participation au Data Privacy Framework, certifications SOC 2 Type II et ISO 27001, chiffrement AES-256, et option de résidence des données dans l’UE. La conformité effective dépend de votre configuration : activation de la résidence UE, plan souscrit, encadrement de ClickUp Brain et documentation des traitements. ClickUp n’est pas conforme « par défaut » — il le devient par une configuration et une gouvernance adaptées.
Où sont stockées les données de ClickUp ?
ClickUp héberge ses données sur AWS, réparties sur cinq régions mondiales. Depuis 2026, une option de résidence des données permet de choisir la région, dont l’Europe (Francfort). En l’absence d’activation de cette option, les données de contenu peuvent être hébergées aux États-Unis. Les données de facturation et les fonctionnalités à sous-traitant (ClickUp Brain) impliquent dans tous les cas un traitement aux États-Unis.
Faut-il réaliser une AIPD pour ClickUp ?
Une analyse d’impact (AIPD) est recommandée lorsque ClickUp est utilisé pour des traitements à risque : suivi de recrutement à grande échelle, gestion de données clients nombreuses, ou usage CRM avec profilage commercial. Pour un usage interne de gestion de projet sans données personnelles significatives, l’AIPD n’est pas formellement requise. L’activation de ClickUp Brain sur des espaces contenant des données personnelles peut justifier une AIPD.
ClickUp Brain présente-t-il un risque RGPD particulier ?
Oui. ClickUp Brain traite les données concernées hors de la région de stockage sélectionnée, en recourant à un sous-traitant IA situé aux États-Unis. Même avec la résidence UE activée pour le contenu, les requêtes IA sortent de l’Europe. Avant activation, vérifiez la liste des sous-traitants, l’engagement de non-utilisation des données pour l’entraînement, et documentez ce flux dans votre cartographie et votre TIA.
Quelles alternatives à ClickUp avec hébergement européen ?
Si la résidence UE native sur tous les plans est une exigence, des alternatives comme Jira (résidence UE disponible sur le cloud) ou Monday.com (résidence UE disponible) peuvent être évaluées. La migration suppose l’export des données depuis ClickUp (API ou export), la suppression des données après transfert, et la mise à jour du registre des traitements.