Confluence et RGPD : guide de conformité 2026
Confluence et le RGPD : sous-traitance Atlassian, DPA, hébergement Cloud vs Data Center, transferts, sécurité et configuration recommandée.
L’essentiel. Confluence (Atlassian) est un sous-traitant au sens de l’article 28 du RGPD pour sa version Cloud, et non un sous-traitant pour Confluence Data Center hébergé sur votre infrastructure. Le risque principal n’est pas l’outil lui-même — dont le DPA et les certifications sont matures — mais le contenu que vos équipes y déposent : les espaces Confluence deviennent, sans que personne ne le documente, un entrepôt de données personnelles (comptes rendus RH, coordonnées clients, notes d’entretien, procédures nommant des salariés). La conformité se joue à trois niveaux : le contrat (DPA signé), la configuration (résidence des données UE, permissions par espace) et surtout la gouvernance du contenu.
Confluence est devenu l’un des outils de documentation collaborative les plus répandus dans les entreprises françaises. Wiki interne, base de connaissances, espace de gestion de projet, référentiel de procédures : les usages se sont multipliés bien au-delà des équipes techniques qui l’ont initialement adopté. Les ressources humaines y consignent des processus d’onboarding, le juridique y stocke des modèles de contrats, le support y documente des cas clients, la direction y publie des comptes rendus de réunion. Cette généralisation crée un angle mort de conformité que la plupart des organisations n’ont jamais cartographié.
Dans ma pratique de conseil, je constate que Confluence est presque systématiquement absent du registre des traitements. On documente le CRM, le SIRH, la paie — mais pas le wiki interne, considéré à tort comme un simple outil « technique ». Or une page Confluence intitulée « Compte rendu entretien annuel — équipe commerciale » contient des données personnelles au moins aussi sensibles que celles du SIRH. L’analyse RGPD de Confluence ne peut donc pas se limiter aux profils d’utilisateurs : elle doit intégrer le contenu des pages, des commentaires et des pièces jointes.
Confluence appartient à la suite Atlassian, au même titre que Jira. Les analyses contractuelles se recoupent largement, mais les usages diffèrent : là où Jira gère des tickets, Confluence stocke de la connaissance rédigée, souvent conservée indéfiniment. Pour une vue d’ensemble de la conformité des outils SaaS, consultez notre guide RGPD par outil, et pour les alternatives de gestion de tâches, notre analyse de Trello.
Qualification juridique : Confluence comme sous-traitant
Le statut de sous-traitant au sens de l’article 28
Pour Confluence Cloud, Atlassian agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Votre organisation est le responsable de traitement : vous déterminez les finalités (documenter des procédures, partager de la connaissance, gérer un projet) et les moyens essentiels (quels espaces sont créés, qui y accède, quel contenu y est publié). Atlassian fournit l’infrastructure et traite les données selon vos instructions contractuelles.
Cette qualification a une conséquence directe : vous devez disposer d’un contrat de sous-traitance conforme à l’article 28, tenir le traitement dans votre registre, et pouvoir démontrer les garanties apportées par Atlassian. Le sous-traitant, de son côté, ne peut traiter les données que sur instructions documentées.
Pour Confluence Data Center (version auto-hébergée), la logique change : les données restent sur votre propre infrastructure, Atlassian ne les héberge pas et n’est donc pas sous-traitant du contenu au sens du RGPD. La qualification de sous-traitant ne concerne que la version Cloud. Ce point est décisif pour les organisations soumises à des exigences de souveraineté renforcées.
Les catégories de données traitées
Confluence traite plusieurs catégories de données personnelles, et c’est leur diversité qui rend l’outil difficile à cartographier :
- Profils utilisateurs : noms, adresses email professionnelles, photos de profil, fonction, équipe, fuseau horaire.
- Contenu des pages : c’est le cœur du risque. Une page Confluence peut contenir n’importe quelle donnée personnelle — coordonnées de clients, notes sur des candidats, procédures nommant des salariés, organigrammes, comptes rendus d’entretien.
- Commentaires et mentions : les fils de discussion en marge des pages nomment fréquemment des personnes et rapportent des échanges.
- Métadonnées d’activité : historique des versions, qui a créé, modifié ou consulté une page, avec horodatage.
- Pièces jointes : documents Word, PDF, exports de tableurs contenant parfois des listes nominatives entières.
Le principe de minimisation des données est particulièrement pertinent ici : une base de connaissances a tendance à accumuler indéfiniment des informations qui n’ont plus d’utilité, dont des données personnelles conservées bien au-delà de leur finalité.
Le cas d’Atlassian Intelligence
Atlassian Intelligence apporte des fonctionnalités d’assistance par intelligence artificielle (résumé de pages, génération de contenu, recherche en langage naturel). Selon la documentation d’Atlassian consultée en juillet 2026, cette fonctionnalité est activable par l’administrateur, les données sont traitées au sein de l’instance et ne sont pas utilisées pour l’entraînement des modèles de base. L’activation d’Atlassian Intelligence doit néanmoins être documentée dans le registre et faire l’objet d’une évaluation spécifique, particulièrement si les espaces Confluence contiennent des données personnelles.
Analyse du DPA Atlassian
Le Data Processing Addendum (DPA) d’Atlassian couvre l’ensemble des produits Cloud, dont Confluence Cloud. Voici les points d’analyse au regard de l’article 28 du RGPD.
| Exigence Art. 28 RGPD | Couverture documentée dans le DPA Atlassian |
|---|---|
| Objet, durée, nature et finalité | Définis dans le DPA et les conditions de service |
| Types de données et catégories de personnes | Décrits dans l’annexe au DPA |
| Instructions documentées du responsable | Traitement sur instructions documentées |
| Confidentialité du personnel | Engagement de confidentialité du personnel Atlassian |
| Mesures de sécurité (Art. 32) | Annexe sécurité (mesures techniques et organisationnelles) |
| Sous-traitants ultérieurs | Liste publiée + mécanisme de notification et d’objection |
| Assistance aux droits des personnes | Engagement d’assistance prévu |
| Suppression ou restitution en fin de contrat | Suppression après résiliation, délai de grâce pour l’export |
| Droit d’audit | Rapports SOC 2, ISO 27001 et possibilité d’audit |
Je ne formule pas de verdict de conformité sur ces engagements : le DPA décrit des obligations contractuelles que vous devez vérifier et documenter, mais leur exécution effective relève de votre configuration et de votre gouvernance. Le point fort documenté du DPA Atlassian est la transparence sur les sous-traitants ultérieurs, avec une liste publique et un mécanisme d’objection. Un atout pratique : ce DPA unique couvre toute la gamme Cloud, ce qui simplifie la gestion contractuelle si vous utilisez aussi Jira ou Bitbucket.
Transferts internationaux et analyse d’impact sur les transferts
Localisation de l’entreprise et des données
Atlassian Corporation est une société d’origine australienne, avec des opérations importantes aux États-Unis. Ni l’Australie ni, par défaut, les États-Unis ne peuvent être traités comme équivalents à l’EEE sans analyse : le transfert de données hors UE doit être documenté.
Pour Confluence Cloud, les données de contenu sont hébergées sur une infrastructure cloud dans plusieurs régions, dont l’UE. Atlassian propose une fonctionnalité de résidence des données permettant de fixer la localisation du contenu (pages, pièces jointes) dans l’UE. Il faut distinguer les données de contenu (résidence UE possible), les données de compte Atlassian (potentiellement hors UE) et certaines métadonnées opérationnelles.
Mécanismes de transfert
Selon la documentation consultée en juillet 2026, Atlassian s’appuie sur les clauses contractuelles types (CCT) intégrées au DPA et sur sa certification au cadre de protection des données UE–États-Unis (Data Privacy Framework) pour ses opérations américaines. Votre analyse d’impact sur les transferts (TIA) doit évaluer le cadre juridique des pays concernés — États-Unis et Australie — et documenter les mesures supplémentaires : chiffrement, résidence des données UE pour le contenu, restriction des métadonnées.
Une analyse d’impact complète est recommandée dès lors que Confluence héberge des espaces contenant des données personnelles à grande échelle (base de connaissances RH, référentiel clients).
Sécurité informatique
Atlassian bénéficie d’un programme de sécurité mature, hérité de son positionnement auprès d’équipes techniques.
Certifications documentées : SOC 2 Type II, ISO 27001, ISO 27018.
Mesures techniques documentées :
- Chiffrement en transit (TLS 1.2+) et au repos (AES-256).
- Authentification renforcée : SSO SAML 2.0, provisionnement SCIM, MFA obligatoire via Atlassian Access.
- Permissions granulaires par espace, par page et par restriction de page.
- Journal d’audit des actions administratives (via Atlassian Access).
- Résidence des données dans l’UE pour le contenu.
Mesures organisationnelles documentées : gestion des vulnérabilités, programme de bug bounty, tests de pénétration, page de statut publique et procédure de notification des incidents.
Atlassian Access (abonnement supplémentaire) est en pratique indispensable pour un déploiement d’entreprise : c’est lui qui apporte le SSO, le MFA obligatoire et les journaux d’audit centralisés sur l’ensemble des produits.
Configuration recommandée pour la conformité RGPD
-
Activer la résidence des données dans l’UE. Dans les paramètres d’administration, fixez la localisation du contenu (pages, pièces jointes) dans les centres de données européens. C’est une mesure nécessaire mais non suffisante.
-
Signer et archiver le DPA. Acceptez le DPA d’Atlassian et conservez-en une copie datée. Il couvre l’ensemble des produits Cloud que vous utilisez.
-
Déployer Atlassian Access. SSO SAML, SCIM, MFA obligatoire, journaux d’audit : ce socle est indispensable pour un usage conforme en entreprise.
-
Cartographier les espaces sensibles. C’est l’étape la plus importante et la plus négligée. Recensez les espaces contenant des données personnelles : RH, recrutement, support client, juridique. Documentez ces traitements dans votre registre.
-
Structurer les permissions par espace. Configurez des permissions restrictives pour les espaces sensibles. Un développeur n’a pas besoin d’accéder à l’espace RH, et un commercial n’a pas besoin de l’espace juridique. Utilisez les restrictions de page pour les contenus les plus confidentiels.
-
Définir une politique de rétention. Les pages Confluence sont conservées indéfiniment par défaut. Pour les espaces contenant des données personnelles, appliquez une politique de durée de conservation et prévoyez une purge périodique (archivage puis suppression des pages obsolètes).
-
Encadrer Atlassian Intelligence. Si vous l’activez, documentez ce traitement et évaluez sa compatibilité avec la sensibilité des espaces concernés.
-
Intégrer Confluence à votre questionnaire fournisseur. Utilisez un questionnaire de sous-traitants pour formaliser l’évaluation d’Atlassian, au même titre que vos autres prestataires.
Erreurs fréquentes et points d’attention
Le wiki interne comme entrepôt de données RH non documenté
L’erreur la plus courante : Confluence sert de base documentaire aux ressources humaines — procédures d’onboarding nommant les nouveaux arrivants, notes d’entretien, organigrammes détaillés, comptes rendus d’évaluation — sans qu’aucun de ces traitements ne figure au registre. Ces contenus survivent aux personnes concernées : un compte rendu d’entretien de 2019 reste consultable en 2026. Chaque espace RH ou managérial doit être traité comme un traitement à part entière, avec base légale, durée de conservation et permissions adaptées.
Les pièces jointes oubliées
Les exports de tableurs, les PDF de contrats, les captures d’écran collées dans les pages contiennent souvent des listes nominatives complètes. Ces pièces jointes échappent à la recherche textuelle standard et sont rarement passées en revue lors des audits. Prévoyez une revue périodique des pièces jointes des espaces sensibles.
La confusion Cloud / Data Center dans le registre
Beaucoup d’organisations documentent Confluence sans préciser la version. Or Confluence Cloud (sous-traitance Atlassian, transferts internationaux) et Confluence Data Center (hébergement interne) appellent des analyses radicalement différentes. Le registre doit préciser la version et le mode d’hébergement.
Le contenu répliqué vers d’autres outils
Les notifications Confluence transitant par Slack ou par email répliquent des extraits de pages (titres, mentions) dans un second outil. Ce traitement dérivé doit être pris en compte dans votre cartographie.
Sur le plan de la gouvernance, l’industrialisation de la tenue du registre et du suivi des sous-traitants est un chantier chronophage lorsqu’on multiplie les outils SaaS : un logiciel RGPD permet d’industrialiser la cartographie des traitements et le suivi des DPA fournisseurs.
FAQ
Confluence est-il conforme au RGPD ?
Confluence Cloud fournit les éléments contractuels et techniques nécessaires à un usage conforme : DPA Atlassian, résidence des données UE, certifications SOC 2, ISO 27001, ISO 27018, chiffrement, SSO/MFA via Atlassian Access. Je ne formule pas de verdict de conformité : la conformité effective dépend de votre configuration et, surtout, de la gouvernance du contenu. Si des données personnelles s’accumulent dans les pages sans politique de rétention ni permissions adaptées, aucune mesure technique de l’éditeur ne compensera cette lacune organisationnelle.
Faut-il documenter Confluence dans le registre des traitements ?
Oui. Dès lors que Confluence héberge des données personnelles — ce qui est presque toujours le cas dans un usage réel —, il doit figurer au registre. Je recommande de raisonner par espace plutôt que par outil : l’espace RH, l’espace support client et l’espace projet correspondent à des finalités et des durées de conservation distinctes, et méritent chacun une entrée documentée.
Confluence Data Center change-t-il l’analyse RGPD ?
Oui, fondamentalement. Confluence Data Center est hébergé sur votre propre infrastructure : Atlassian ne traite pas le contenu, il n’y a donc pas de sous-traitance du contenu ni de transfert international via l’éditeur. En revanche, vous devenez seul responsable de la sécurité, des sauvegardes et du chiffrement. Cette option est privilégiée par les organisations soumises à de fortes exigences de souveraineté.
Faut-il réaliser une AIPD pour Confluence ?
Une analyse d’impact est recommandée si Confluence héberge des traitements de données personnelles à grande échelle ou sensibles : base de connaissances RH couvrant l’ensemble des salariés, référentiel clients détaillé, données de santé ou de recrutement. Pour un usage limité à de la documentation technique sans données personnelles significatives, l’AIPD n’est pas formellement requise, mais l’inscription au registre reste nécessaire.
Comment répondre à une demande d’effacement dans Confluence ?
Il faut d’abord identifier les pages et pièces jointes concernant la personne : la recherche Confluence et le filtrage par espace permettent un premier repérage, mais les pièces jointes et les mentions dans les commentaires exigent une revue manuelle. Pour les données présentes dans le contenu, la modification ou la suppression se fait page par page. Documentez la procédure et prévoyez un délai raisonnable. Pour les demandes à grande échelle, l’API REST de Confluence permet d’automatiser la recherche.
Comment gérer la durée de conservation dans un wiki qui conserve tout ?
C’est le défi structurel de Confluence : l’outil conserve tout indéfiniment par défaut, ce qui contredit le principe de limitation de la conservation. La bonne pratique consiste à définir une politique par espace (par exemple, archivage automatique des pages non modifiées depuis 24 mois dans les espaces sensibles, puis suppression après revue), et à désigner un responsable d’espace chargé de la purge. Un tableau des durées de conservation sert de référence pour fixer ces seuils par type de contenu.