Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 3 juin 2026
Accueil/RGPD/Intercom et RGPD : guide de conformité 2026
RGPD

Intercom et RGPD : guide de conformité 2026

Intercom est-il conforme au RGPD ? Analyse du DPA, traitement des conversations client, Fin AI, transferts hors UE et configuration recommandée pour DPO.

Par Thiébaut DevergrannePublie le 3 juin 2026Mis a jour le 3 juin 202610 min de lecture
Sommaire
  1. Qualification juridique : Intercom sous-traitant
  2. Analyse du DPA Intercom
  3. Localisation des données et transferts hors UE
  4. Fin AI : la nouveauté qui change l’AIPD
  5. Bases légales et information des personnes
  6. Configuration recommandée pour la conformité RGPD
  7. Cas particuliers
  8. FAQ : Intercom et RGPD

Intercom équipe une part importante des équipes support et succès client en France, des startups aux ETI. La plateforme combine messagerie in-app, chatbots, helpdesk, gestion des tickets et désormais des fonctionnalités d’IA générative via Fin AI. Pour le responsable de traitement et le DPO, Intercom soulève des questions RGPD spécifiques liées à la nature même du support client : les conversations contiennent par construction des données personnelles, souvent sensibles au sens opérationnel (réclamations, données financières, données de santé selon le secteur), et la rétention par défaut est très permissive.

Dans ma pratique de conseil auprès de DPO d’entreprises SaaS françaises, Intercom soulève quatre questions structurantes : la qualification juridique d’Intercom (entité Salesforce-like, US headquarter), la localisation des données et l’éventuel transfert hors UE, les implications de Fin AI sur les bases légales et l’AIPD, et la gestion concrète des durées de conservation alors que les conversations client peuvent contenir des données particulières. Ce guide propose une analyse opérationnelle pour le DPO.

Pour une vue d’ensemble des outils support et CRM, voir nos analyses de Zendesk, HubSpot et Salesforce.

Qualification juridique : Intercom sous-traitant

Le statut au sens de l’article 28 RGPD

Intercom, Inc. (États-Unis) — via son entité contractante européenne Intercom R&D Unlimited Company (Irlande) — agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour l’ensemble des services Intercom. Votre organisation détermine les finalités (support client, prospection, onboarding, communication produit) et les moyens essentiels (qui dispose d’un compte, quels canaux sont configurés, quelles automatisations sont déployées, quelle politique de rétention est appliquée). Intercom fournit l’infrastructure et traite les données selon les instructions documentées du client.

La qualification est sans ambiguïté pour les fonctionnalités de base : messagerie, helpdesk, automation, articles d’aide.

Le périmètre du traitement Intercom

Comprendre ce qu’Intercom traite est essentiel pour l’analyse RGPD. Pour chaque utilisateur ou visiteur en interaction avec votre Intercom :

  • Données d’identification : email, nom, identifiant utilisateur (souvent rattaché à votre système)
  • Données de session : adresse IP, navigateur, OS, géolocalisation approximative
  • Contenu des conversations : tous les messages échangés, fichiers attachés, captures d’écran
  • Données comportementales : pages visitées, événements applicatifs envoyés via API, traits d’utilisateur personnalisés
  • Métadonnées techniques : horodatage, durée des sessions, statut de la conversation

Cette portée a deux conséquences directes :

  1. Sensibilité variable selon le contexte. Une conversation support pour une plateforme de e-commerce contient des informations transactionnelles ; pour une plateforme de santé, elle peut contenir des données de santé ; pour une plateforme RH, des données salariales. La sensibilité doit être analysée par votre cas d’usage.

  2. Risque de collecte excessive via les traits personnalisés (custom attributes). Intercom permet d’envoyer librement des attributs depuis votre système — il est tentant d’enrichir le profil, mais chaque attribut envoyé doit être justifié par une finalité et documenté.

Analyse du DPA Intercom

Le DPA Intercom est intégré aux Customer Terms of Service et peut être contre-signé sur demande pour les abonnements entreprise. Évaluation au regard de l’article 28 RGPD :

Exigence Art. 28 RGPD Couverture dans le DPA Intercom Évaluation
Traitement uniquement sur instruction documentée (28.3.a) Oui, périmètre fixé par les conditions Conforme
Confidentialité du personnel (28.3.b) Engagements internes, NDA salariés Conforme
Mesures de sécurité Art. 32 (28.3.c) SOC 2 Type II, ISO 27001, ISO 27018, HIPAA-eligible (plan dédié) Conforme
Autorisation sous-sous-traitance (28.3.d) Liste publiée, notification des évolutions Conforme avec vigilance
Aide à l’exercice des droits (28.3.e) API d’exports, suppression utilisateur, retention controls Conforme
Aide aux Art. 32-36 (28.3.f) Notification de violation sous 72h Conforme
Suppression en fin de prestation (28.3.g) Export possible, suppression dans le délai contractuel Conforme
Audit du sous-traitant (28.3.h) Rapports SOC, audits encadrés Conforme avec réserve

Localisation des données et transferts hors UE

Intercom propose une option de résidence européenne des données pour les clients qui souscrivent à un plan compatible (variable selon les évolutions tarifaires) : les données client au repos sont stockées sur infrastructure AWS en Irlande. Le traitement opérationnel peut néanmoins transiter par les États-Unis pour certaines opérations (support, monitoring, certaines fonctionnalités).

Pour les clients sans option de résidence EU, les données sont hébergées principalement aux États-Unis. Les transferts reposent sur :

  1. Data Privacy Framework (DPF) — Intercom est certifié
  2. Clauses contractuelles types (CCT 2021/914) — incluses dans le DPA Intercom

Pour les secteurs réglementés (santé, finance, public), évaluer si l’option résidence EU justifie son coût additionnel selon la sensibilité des données traitées dans Intercom.

Fin AI : la nouveauté qui change l’AIPD

Fin AI, le chatbot IA d’Intercom basé sur OpenAI GPT-4 et un retrieval augmenté sur votre base de connaissances, est un sujet RGPD distinct. Intercom a publié des engagements explicites sur le traitement :

  • Les conversations client ne sont pas utilisées pour entraîner les modèles de fondation
  • Les sources de connaissances utilisées par Fin (vos articles d’aide, vos macros) restent dans votre périmètre contractuel
  • Les réponses générées ne sont pas partagées entre tenants
  • Le modèle sous-jacent opère sous DPA dédié entre Intercom et OpenAI

Sur le plan RGPD, ces engagements maintiennent Intercom (et OpenAI comme sous-sous-traitant) en qualité de sous-traitant pour Fin AI. Trois actions sont requises côté DPO :

  1. Documenter Fin AI dans le registre des traitements comme finalité distincte : assistance client par IA générative
  2. Conduire une AIPD si Fin AI est activé sur des conversations contenant des données sensibles — particulièrement pertinent pour les SaaS B2C, plateformes santé, fintech, edtech
  3. Mettre à jour les mentions d’information pour signaler explicitement l’usage d’IA dans le support — obligation renforcée par l’article 50 du AI Act

Les recommandations CNIL sur l’IA s’appliquent au déploiement de Fin AI.

Bases légales et information des personnes

Base légale du traitement

Pour un usage support standard, la base légale est l’exécution du contrat (article 6(1)(b)) — le support fait partie de la prestation. Pour les fonctionnalités marketing (prospection via Intercom Outbound, segments, campagnes), la base est :

Information des personnes

Les mentions d’information doivent mentionner :

  • L’utilisation d’Intercom comme sous-traitant
  • Les catégories de données traitées dans Intercom
  • La durée de conservation des conversations
  • L’éventuel transfert hors UE et son fondement
  • L’usage de Fin AI (IA générative) si activé
  • Les droits des personnes et les modalités d’exercice

Configuration recommandée pour la conformité RGPD

1. Politiques de rétention

Par défaut, Intercom conserve les conversations sans limite. Le principe de temporalité impose de configurer une politique de rétention adaptée :

  • Conversations résolues : 2 à 3 ans après clôture (cohérent avec la prescription consommateur Art. L.218-2 Code consommation)
  • Conversations contenant des données sensibles : 1 an maximum après clôture
  • Contacts inactifs : suppression après 3 ans sans interaction (cohérent avec les durées de prospection CNIL)

Ces politiques sont configurables au niveau workspace pour les plans appropriés.

2. Gouvernance des intégrations et apps

L’app store Intercom compte des centaines d’intégrations. Chaque connexion crée un flux de données et un sous-sous-traitant potentiel. À encadrer :

  • Désactivation de l’installation libre par les agents support
  • Validation centralisée par le DPO ou le référent IT
  • Inventaire à jour des intégrations actives avec base légale et durée

3. Gestion des champs personnalisés (custom attributes)

Auditer les attributs envoyés à Intercom depuis votre application. Pour chaque attribut, vérifier :

  • La finalité du traitement justifie-t-elle la collecte ?
  • L’attribut est-il minimisé (pas de surcollecte) ?
  • La durée de conservation est-elle documentée ?
  • L’envoi est-il sécurisé (HTTPS, authentification API) ?

4. Données sensibles dans les conversations

Intercom n’est pas conçu pour le traitement systématique de données sensibles Art. 9 RGPD. Pour les secteurs concernés :

  • Politique interne : interdire la collecte volontaire de données sensibles via Intercom (santé, opinions, religion)
  • Procédure de suppression rapide des données sensibles communiquées spontanément par les clients
  • Pour les structures de santé : envisager un canal alternatif sécurisé pour les échanges médicaux (Intercom HIPAA-eligible existe mais ne couvre pas tous les cas)

5. Authentification et accès

  • SSO obligatoire (SAML, OIDC) pour les agents support
  • MFA imposée pour tous les utilisateurs administrateurs
  • Permissions granulaires (un agent ne devrait pas voir l’intégralité de la base)
  • Audit régulier des comptes inactifs

6. Réponse aux demandes d’exercice des droits

Intercom propose des outils d’export et de suppression par contact. Intégrer ces outils à votre procédure de réponse aux demandes d’accès :

  • Export des conversations et données du contact
  • Suppression des données à la demande (sauf obligation légale de conservation)
  • Anonymisation des conversations conservées à des fins statistiques

Cas particuliers

Plateforme B2C santé / fintech

Pour les organisations traitant des données sensibles ou financières, l’analyse spécifique impose :

  • Plan compatible HIPAA (pour santé US, à adapter aux exigences HDS pour la France)
  • Politique stricte de modération des conversations entrantes
  • Procédure de suppression accélérée

Intercom pour la prospection commerciale

L’usage d’Intercom Outbound (campagnes, messages ciblés) relève de la prospection commerciale au sens de l’article L.34-5 CPCE. Les règles d’opt-in B2C / opt-out B2B s’appliquent — voir notre guide prospection commerciale RGPD.

Intercom et le CSE

L’introduction d’Intercom comme outil utilisé par les équipes support n’impose pas nécessairement une information-consultation du CSE pour les équipes hors support. Pour les agents support eux-mêmes, l’outil peut entrer dans le périmètre du contrôle d’activité — analyse spécifique requise.

FAQ : Intercom et RGPD

Intercom est-il conforme au RGPD ?

L’architecture contractuelle d’Intercom (DPA, certifications, hébergement avec option EU, mécanismes de transferts encadrés) est conforme à l’article 28 RGPD. La conformité d’ensemble dépend de la configuration côté client : rétention, intégrations, données sensibles, information des personnes.

Les conversations Intercom sont-elles utilisées pour entraîner Fin AI ?

Non — engagement contractuel explicite d’Intercom. Les conversations ne servent pas à entraîner les modèles de fondation utilisés par Fin AI.

Faut-il une AIPD pour activer Fin AI ?

Recommandée systématiquement, et obligatoire si Fin AI est déployé sur des conversations susceptibles de contenir des données sensibles, des décisions automatisées affectant les personnes, ou un volume important de personnes concernées. Voir notre guide AIPD pour la méthodologie.

Comment gérer une demande d’effacement via Intercom ?

Intercom propose une fonction de suppression complète par contact. La procédure interne doit l’intégrer en distinguant : suppression des messages, suppression du contact, suppression des fichiers attachés, anonymisation éventuelle des conversations conservées pour la défense de droits (à documenter).

L’option résidence EU justifie-t-elle son coût ?

Pour les organisations traitant des données sensibles, soumises à des exigences sectorielles renforcées (santé, public), ou particulièrement attentives à la souveraineté, le surcoût se justifie. Pour les organisations B2B standards, le DPF couvre les transferts vers les États-Unis ; l’arbitrage dépend de votre contexte commercial et de la sensibilité du discours auprès de vos propres clients.

Faut-il informer le CSE du déploiement d’Intercom ?

Pour les agents support (utilisateurs internes), oui — l’outil peut être analysé comme un outil de gestion d’activité relevant de l’information-consultation au titre du Code du travail (Art. L.2312-8). Pour les clients (utilisateurs externes), l’information se fait via la politique de confidentialité.

Pour structurer la conformité Intercom et automatiser la documentation des sous-traitants au registre, un logiciel RGPD permet de centraliser le suivi.

Articles lies

RGPD

Airtable et RGPD : guide de conformité 2026

3 juin 2026 · 9 min
RGPD

Article 72 RGPD : la procédure du CEPD décryptée

3 juin 2026 · 8 min
RGPD

Article 73 RGPD : la présidence du CEPD décryptée

3 juin 2026 · 7 min