Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Crisp et RGPD : guide de conformité 2026

Crisp est-il conforme au RGPD ? Qualification sous-traitant, DPA, hébergement européen, cookies du chat et configuration recommandée.

Crisp s’est imposé comme l’un des outils de messagerie et de support client les plus utilisés par les PME françaises, avec un argument qui pèse lourd en matière de conformité : c’est une société française, basée à Nantes, qui héberge l’intégralité de ses données dans l’Union européenne. Dans un marché du live chat largement dominé par des acteurs américains comme Intercom ou Zendesk, cette caractéristique change considérablement l’analyse juridique — mais elle ne dispense pas de tout traitement.

Dès qu’un visiteur ouvre votre widget de discussion, vous collectez des données personnelles : adresse IP, contenu des messages, parfois nom et email, données de navigation. Chacune de ces opérations constitue un traitement au sens de l’article 4(2) du RGPD et doit être encadrée. Voici comment qualifier juridiquement votre relation avec Crisp, ce que dit son contrat de sous-traitance, et comment configurer l’outil pour rester conforme.

Pour une vue d’ensemble, consultez notre guide sur la conformité RGPD des outils et logiciels.

Crisp est un sous-traitant : ce que ça implique pour vous

Quand vous utilisez Crisp pour discuter avec vos visiteurs, c’est vous qui décidez des finalités (assurer le support, qualifier des prospects) et des moyens essentiels du traitement. Vous êtes donc le responsable de traitement. Crisp, qui traite ces données « pour votre compte » et selon vos instructions, est un sous-traitant au sens de l’article 4(8) du RGPD.

Cette qualification n’est pas neutre. L’article 28 du RGPD impose qu’un contrat de sous-traitance écrit encadre la relation. À défaut, les deux parties s’exposent : la CNIL a déjà sanctionné des responsables de traitement pour absence de contrat de sous-traitance conforme, indépendamment de la qualité technique du prestataire. C’est l’une des non-conformités les plus fréquentes que je constate lors d’audits — non pas parce que l’outil est mauvais, mais parce que personne n’a pensé à signer le DPA.

Concrètement, en tant que responsable de traitement, vous devez :

  • signer le DPA (Data Processing Agreement) de Crisp ;
  • inscrire le traitement à votre registre des activités de traitement (finalité : support client / messagerie ; sous-traitant : Crisp) ;
  • informer vos visiteurs que leurs échanges sont traités, et par qui (article 13 du RGPD) ;
  • vous assurer d’une base légale valable pour le traitement.

Le DPA Crisp et la chaîne de sous-traitance

Crisp met à disposition un contrat de sous-traitance (DPA) signable directement depuis l’interface, conforme aux exigences de l’article 28. C’est un point de maturité appréciable : tous les prestataires SaaS ne proposent pas un DPA en self-service.

Ce DPA liste également les sous-traitants ultérieurs (les « sous-sous-traitants ») auxquels Crisp recourt. À ce jour, ils sont peu nombreux et localisés de façon à éviter les transferts hors UE : DigitalOcean pour l’hébergement, Cloudflare pour la diffusion et la protection réseau, et Stripe pour la facturation des abonnements Crisp. L’article 28(2) impose que Crisp vous informe de tout ajout ou remplacement de sous-traitant, en vous laissant la possibilité de vous y opposer. Pensez à vérifier que vous recevez bien ces notifications (généralement par email ou via une page de statut).

Lors de mes échanges avec des prestataires français de ce type, la transparence sur la chaîne de sous-traitance est généralement bonne — mais la responsabilité de surveiller ces évolutions reste la vôtre.

L’atout décisif : hébergement européen, pas de transfert hors UE

C’est là que Crisp se distingue nettement de ses concurrents américains. L’ensemble des données est hébergé dans l’Union européenne : les données de messagerie sur une infrastructure située à Amsterdam (Pays-Bas), et les données des plugins à Francfort (Allemagne), via DigitalOcean. Selon la documentation de Crisp, aucune donnée n’est transférée en dehors de l’UE.

Cela vous évite tout le casse-tête des transferts de données hors UE : pas de clauses contractuelles types à gérer, pas d’analyse d’impact des transferts (TIA), pas de dépendance à une décision d’adéquation susceptible d’être annulée. À l’inverse, un outil comme Zendesk ou Intercom — éditeurs établis hors UE — vous oblige à documenter le mécanisme de transfert et à en surveiller la validité juridique. C’est le même avantage structurel que présente un outil comme Brevo côté emailing.

Pour autant, « hébergé en Europe » ne signifie pas « conforme par défaut ». La conformité dépend aussi de votre configuration et de la façon dont vous utilisez l’outil.

La vraie question : faut-il un consentement pour le widget Crisp ?

C’est le point le plus mal compris. Beaucoup de sites affichent leur chat Crisp sans s’interroger sur le statut des cookies qu’il dépose — ou, à l’inverse, le bloquent inutilement derrière un bandeau cookies.

Par défaut, Crisp ne dépose pas de cookies de suivi publicitaire. Le cookie posé par la chatbox sert uniquement à relier le visiteur à une session de messagerie côté serveur, afin de maintenir le fil de conversation s’il échange avec un agent. Techniquement, c’est un cookie de fonctionnement du service, pas de traçage.

Or la CNIL admet une exemption de consentement pour les traceurs « strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ». Un cookie de session activé lorsque le visiteur engage lui-même une conversation entre raisonnablement dans cette logique : le visiteur demande le service de messagerie, le cookie est nécessaire pour le lui rendre.

Deux précautions toutefois :

  • Configurez Crisp pour limiter les cookies au strict nécessaire et désactivez toute fonctionnalité de tracking comportemental non indispensable au support. Si vous activez des options analytiques ou de suivi marketing via Crisp, l’exemption tombe et le consentement redevient obligatoire.
  • Ne couplez pas le widget à d’autres traceurs publicitaires. L’exemption suppose que la donnée ne soit pas recoupée avec d’autres traitements ni transmise à des tiers à des fins de suivi.

En clair : utilisé comme simple outil de support, le widget Crisp peut généralement fonctionner sans bandeau de consentement. Utilisé comme outil de marketing comportemental, non.

Adresse IP et durées de conservation : le point LCEN

Crisp conserve l’adresse IP du visiteur dans la session liée au cookie. Si le visiteur quitte le site sans engager de conversation, la session et l’IP sont automatiquement supprimées 30 minutes après le dernier accès. En revanche, si une conversation a été engagée, l’IP est conservée pour répondre à l’obligation française de journalisation des données de connexion (article 6 de la LCEN), pour une durée minimale d’un an.

Cette logique est saine, mais vous devez la refléter dans votre propre politique de durées de conservation. Définissez une durée de conservation des conversations elles-mêmes (par exemple, 13 à 25 mois pour un historique support, à ajuster selon vos besoins réels) et purgez régulièrement. La conservation indéfinie de tout l’historique de chat, « au cas où », est l’une des erreurs les plus courantes.

Minimisation : attention à ce que vos visiteurs tapent

Le risque RGPD le plus sous-estimé du live chat n’est pas l’outil, c’est le contenu. Un visiteur peut spontanément saisir dans le chat des données sensibles (un problème de santé, une situation personnelle) ou des coordonnées détaillées. Vous collectez alors, sans l’avoir voulu, des données que vous n’auriez pas dû conserver.

Quelques mesures de minimisation concrètes :

  • Limitez le formulaire pré-chat aux champs réellement utiles (souvent : email ou prénom, rien de plus). Ne demandez pas de date de naissance ou de numéro de téléphone par défaut.
  • Formez vos agents à ne pas solliciter de données sensibles et à les rediriger vers un canal sécurisé si nécessaire.
  • Anonymisez ou supprimez les conversations contenant des données sensibles dès qu’elles ne sont plus nécessaires.
  • Activez le chiffrement et le contrôle d’accès : seuls les agents habilités doivent accéder aux conversations.

Configuration recommandée pour un Crisp conforme

Pour récapituler la mise en conformité côté responsable de traitement :

  1. Signez le DPA Crisp depuis votre interface et archivez-le.
  2. Inscrivez le traitement au registre (finalité, base légale, sous-traitant, durée, hébergement UE).
  3. Choisissez votre base légale : l’intérêt légitime (article 6(1)(f)) couvre généralement le support client demandé par le visiteur ; le consentement (article 6(1)(a)) s’impose si vous utilisez les données du chat à des fins de prospection.
  4. Mettez à jour votre politique de confidentialité : mentionnez Crisp comme sous-traitant, l’hébergement UE, les durées de conservation et les droits des personnes.
  5. Configurez les durées de conservation des conversations et automatisez la purge.
  6. Désactivez les options de tracking non nécessaires pour préserver l’exemption de consentement du widget.
  7. Vérifiez les notifications de sous-traitants ultérieurs et tenez votre documentation à jour.

C’est précisément ce type de cartographie — qualifier chaque outil, rattacher son DPA, documenter l’hébergement et les durées — que Legiscope automatise pour maintenir un registre vivant plutôt qu’un tableur figé.

Ce qu’il faut retenir

  • Crisp est un sous-traitant (article 28 RGPD) : vous restez responsable de traitement et devez signer son DPA, disponible en self-service.
  • Hébergement 100 % UE (Amsterdam pour la messagerie, Francfort pour les plugins, via DigitalOcean) : aucun transfert hors UE, contrairement aux concurrents américains. C’est l’argument de conformité fort de l’outil.
  • Le widget de support peut généralement fonctionner sans bandeau cookies s’il est limité au strict nécessaire, au titre de l’exemption CNIL pour service expressément demandé — à condition de ne pas activer de tracking.
  • L’IP est conservée 1 an minimum après une conversation (obligation LCEN) ; définissez par ailleurs une durée de conservation des conversations et purgez.
  • Le vrai risque est la minimisation : limitez le formulaire pré-chat et formez vos agents à ne pas collecter de données sensibles.

FAQ

Crisp est-il conforme au RGPD ?

Crisp fournit les éléments permettant une utilisation conforme : société française, hébergement intégralement européen, DPA conforme à l’article 28 signable en ligne, et chaîne de sous-traitants limitée à des acteurs vérifiés. La conformité finale dépend néanmoins de votre configuration : signature du DPA, inscription au registre, durées de conservation et information des visiteurs relèvent de votre responsabilité de responsable de traitement.

Faut-il recueillir le consentement aux cookies pour afficher le chat Crisp ?

Pas nécessairement. Le cookie de la chatbox sert à maintenir la session de messagerie lorsque le visiteur engage lui-même une conversation : il peut relever de l’exemption CNIL pour les traceurs strictement nécessaires à un service expressément demandé. Cette exemption suppose toutefois de désactiver toute fonction de tracking comportemental et de ne pas recouper ces données avec d’autres traceurs publicitaires.

Crisp transfère-t-il des données en dehors de l’Union européenne ?

Selon sa documentation, non : les données de messagerie sont hébergées à Amsterdam et les données de plugins à Francfort, via DigitalOcean, sans transfert hors UE. Cela vous dispense de gérer des clauses contractuelles types ou une analyse d’impact des transferts, ce qui constitue un avantage de conformité face aux outils établis hors UE.

Quelle base légale pour un outil de chat comme Crisp ?

Pour le support client demandé par le visiteur, l’intérêt légitime (article 6(1)(f)) est généralement la base la plus adaptée. Si vous réutilisez les données issues du chat à des fins de prospection commerciale, vous basculez sur le consentement (article 6(1)(a)), qui doit alors être recueilli séparément et de façon spécifique.


Vous souhaitez recevoir nos analyses de conformité chaque semaine ? Abonnez-vous à notre newsletter pour décrypter, outil par outil, ce que le RGPD exige réellement de vous.