Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Jira et RGPD : guide de conformite 2026
RGPD

Jira et RGPD : guide de conformite 2026

Jira est-il conforme au RGPD ? Analyse du DPA, des transferts, de la securite et configuration recommandee.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202612 min de lecture
Sommaire
  1. Qualification juridique : Jira comme sous-traitant
  2. Analyse du DPA Atlassian
  3. Transferts internationaux et analyse d’impact sur les transferts (TIA)
  4. Securite informatique
  5. Configuration recommandee pour la conformite RGPD
  6. Points d’attention specifiques
  7. FAQ

Jira (Atlassian) est l’outil de reference pour le suivi de tickets, la gestion de projet agile et la gestion des services informatiques (ITSM) dans les equipes techniques francaises. Des startups aux grandes entreprises, Jira est utilise par les equipes de developpement, les equipes produit, le support informatique et, de plus en plus, par des equipes non-techniques. Cette generalisation pose une question de conformite RGPD que la plupart des organisations sous-estiment : les tickets Jira contiennent souvent des donnees personnelles que personne n’a documentes.

Un ticket de bug peut contenir un stack trace avec des adresses email d’utilisateurs. Un ticket de support IT peut decrire le probleme d’un collaborateur identifie. Un ticket de recrutement dans Jira Service Management peut contenir le CV et les coordonnees d’un candidat. L’analyse RGPD de Jira ne peut pas se limiter aux profils utilisateurs : elle doit integrer le contenu des tickets, des commentaires et des pieces jointes.

Pour une vue d’ensemble de la conformite des outils SaaS, consultez notre guide RGPD par outil. Voir egalement nos analyses d’Asana et de Monday.com, deux alternatives a Jira pour la gestion de projet.

Qualification juridique : Jira comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Atlassian Corporation agit en qualite de sous-traitant au sens de l’article 28 du RGPD pour Jira Cloud. Votre organisation determine les finalites du traitement (suivi de projets, gestion des incidents, gestion des services IT) et les moyens essentiels (quels projets sont crees, quels utilisateurs y accedent, quelles donnees y sont saisies). Atlassian fournit l’infrastructure technique et traite les donnees selon vos instructions.

Pour Jira Data Center (version auto-hebergee), Atlassian n’est pas sous-traitant au sens du RGPD puisque les donnees restent sur votre infrastructure. La qualification de sous-traitant ne s’applique qu’a Jira Cloud.

Les categories de donnees traitees

Jira traite plusieurs categories de donnees personnelles :

  • Profils utilisateurs : noms, adresses email, photos de profil, fuseau horaire, preferences
  • Contenu des tickets : descriptions, commentaires, pieces jointes. C’est ici que se trouve le risque principal – les tickets peuvent contenir n’importe quelle donnee personnelle
  • Metadonnees d’activite : qui a cree, modifie, commente ou resolu un ticket, avec horodatage
  • Donnees de recherche et de filtre : requetes enregistrees, tableaux de bord personnalises
  • Donnees de Jira Service Management : demandes de service contenant potentiellement des donnees personnelles d’employes ou de clients

Le cas d’Atlassian Intelligence (IA)

Atlassian Intelligence utilise des modeles de langage pour assister les utilisateurs (resume de tickets, suggestions, recherche en langage naturel). Selon la documentation d’Atlassian, cette fonctionnalite est opt-in (activation par l’administrateur), les donnees sont traitees au sein de l’instance, et les donnees ne sont pas utilisees pour l’entrainement des modeles. L’activation d’Atlassian Intelligence doit neanmoins etre documentee dans le registre des traitements et faire l’objet d’une evaluation specifique.

Analyse du DPA Atlassian

Le Data Processing Addendum (DPA) d’Atlassian couvre l’ensemble des produits cloud Atlassian, dont Jira Cloud, Confluence et Jira Service Management. Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD Couverture dans le DPA Atlassian Evaluation
Objet, duree, nature et finalite du traitement Definis dans le DPA et les conditions de service Conforme
Types de donnees et categories de personnes Decrits dans l’annexe au DPA Conforme
Instructions documentees du responsable Traitement sur instructions documentees Conforme
Confidentialite du personnel Engagement de confidentialite pour le personnel Atlassian Conforme
Mesures de securite (Art. 32) Mesures techniques et organisationnelles dans l’annexe securite Conforme
Sous-traitants ulterieurs Liste publiee avec mecanisme de notification et d’objection (30 jours) Conforme
Assistance pour les droits des personnes Engagement d’assistance dans le DPA Conforme
Suppression ou restitution en fin de contrat Suppression des donnees apres resiliation (delai de grace pour l’export) Conforme
Droit d’audit Prevu dans le DPA (via rapports SOC 2, ISO 27001 et possibilite d’audit) Conforme
Information en cas d’instruction contrevenant au RGPD Prevu dans le DPA Conforme

Le DPA d’Atlassian est un document mature et regulierement mis a jour. Le point fort est la transparence sur les sous-traitants ulterieurs, avec une liste publique et un mecanisme d’objection de 30 jours en cas de changement. Le DPA couvre l’ensemble de la gamme Atlassian Cloud, ce qui simplifie la gestion contractuelle si vous utilisez egalement Confluence ou Bitbucket.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation de l’entreprise et des donnees

Atlassian Corporation est une societe australienne basee a Sydney, avec des operations significatives aux Etats-Unis (San Francisco). L’Australie ne dispose pas de decision d’adequation de la Commission europeenne, ce qui est un point a documenter.

Pour Jira Cloud, les donnees sont hebergees sur AWS dans plusieurs regions, dont l’UE (Francfort, Dublin). Atlassian propose une fonctionnalite de residence des donnees permettant de fixer la localisation des donnees dans l’UE ou aux Etats-Unis.

Il faut distinguer :

  • Donnees de contenu (tickets, pieces jointes, commentaires) : peuvent etre fixees dans l’UE via la residence des donnees
  • Donnees de compte Atlassian : peuvent rester aux Etats-Unis ou en Australie
  • Metadonnees de service : certaines metadonnees operationnelles peuvent etre traitees en dehors de l’UE

Mecanismes de transfert

Pour les transferts hors UE, Atlassian s’appuie sur :

  1. EU-US Data Privacy Framework (DPF). Atlassian est certifie au DPF pour ses operations americaines.

  2. Clauses contractuelles types (CCT). Le DPA integre les CCT 2021 comme mecanisme de transfert, couvrant les transferts vers les Etats-Unis et l’Australie.

Conduite de la TIA

Les elements a evaluer :

  • Cadre juridique. Etats-Unis : FISA Section 702, EO 12333, avec les garanties de l’EO 14086 dans le cadre du DPF. Australie : Telecommunications and Other Legislation Amendment (Assistance and Access) Act 2018 (TOLA), qui confere aux autorites des pouvoirs d’acces aux donnees chiffrees.
  • Nature des donnees. Les tickets Jira contiennent des donnees de nature variable : de l’information technique impersonnelle a des donnees personnelles de clients ou d’employes. La sensibilite depend de l’usage fait de Jira dans l’organisation.
  • Mesures supplementaires. Chiffrement en transit et au repos. Residence des donnees dans l’UE pour le contenu. Les CCT et le DPF couvrent les transferts residuels.

Securite informatique

Atlassian a developpe un programme de securite ambitieux, beneficiant de son positionnement aupres des equipes de developpement et de securite.

Certifications et audits

  • SOC 2 Type II – audit independant des controles de securite
  • ISO 27001 – certification du systeme de management de la securite
  • ISO 27018 – protection des donnees personnelles dans le cloud

Mesures techniques

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : AES-256 via AWS KMS
  • Authentification : SSO SAML 2.0, SCIM pour le provisionnement automatique, MFA obligatoire via Atlassian Access
  • Gestion des permissions : permissions granulaires par projet, par type de ticket, par champ
  • Journalisation : journal d’audit des actions administratives et des acces (via Atlassian Access)
  • Residence des donnees : fixation de la localisation des donnees dans l’UE
  • Atlassian Access : couche de securite et de gouvernance centralisee pour l’ensemble des produits Atlassian Cloud

Mesures organisationnelles

  • Programme de gestion des vulnerabilites
  • Programme de bug bounty
  • Tests de penetration reguliers (rapports publies)
  • Notification des incidents de securite (page de statut publique et notification DPA)

Le niveau de securite d’Atlassian est solide. Atlassian Access (abonnement supplementaire) est indispensable pour les organisations souhaitant un controle centralise de la securite et de la conformite sur l’ensemble des produits Atlassian.

Configuration recommandee pour la conformite RGPD

  1. Activer la residence des donnees dans l’UE. Dans les parametres d’administration de Jira Cloud, activez la residence des donnees dans l’UE. Cette fonctionnalite fixe la localisation des donnees de contenu (tickets, pieces jointes) dans les centres de donnees europeens d’AWS.

  2. Signer et archiver le DPA. Acceptez le DPA d’Atlassian disponible en ligne. Conservez une copie datee. Le DPA couvre l’ensemble des produits Atlassian Cloud utilises.

  3. Deployer Atlassian Access. Cet abonnement supplementaire fournit le SSO SAML, le SCIM, le MFA obligatoire et les journaux d’audit. Il est indispensable pour une utilisation conforme de Jira Cloud en entreprise.

  4. Evaluer et configurer Atlassian Intelligence. Si vous activez Atlassian Intelligence, documentez ce traitement dans votre registre et informez les utilisateurs. Si les tickets Jira contiennent des donnees personnelles sensibles, evaluez si l’activation de l’IA est compatible avec votre politique RGPD.

  5. Auditer le contenu des projets Jira. C’est l’etape la plus importante et la plus souvent negligee. Passez en revue les projets Jira pour identifier ceux qui contiennent des donnees personnelles : tickets de support avec donnees clients, tickets de recrutement, tickets IT avec donnees d’employes. Documentez ces traitements dans votre registre des traitements.

  6. Structurer les permissions par projet. Configurez les schemas de permission pour restreindre l’acces aux projets contenant des donnees personnelles. Un developpeur backend n’a pas besoin d’acceder au projet de recrutement, et le recruteur n’a pas besoin de voir les tickets de production.

  7. Definir des politiques de retention. Les tickets Jira sont conserves indefiniment par defaut. Pour les projets contenant des donnees personnelles, definissez une politique de duree de conservation et prevoyez une procedure de purge periodique. L’automatisation via l’API Jira ou des plugins peut faciliter cette tache.

  8. Sensibiliser les equipes techniques. Les developpeurs ont tendance a coller des stack traces, des logs et des extraits de bases de donnees dans les tickets de bug. Ces donnees peuvent contenir des adresses email, des noms d’utilisateurs, des identifiants. Formez les equipes a anonymiser ou pseudonymiser les donnees avant de les coller dans un ticket.

  9. Configurer les champs personnalises avec discernement. Les champs personnalises Jira permettent de structurer les donnees, mais ils augmentent aussi la surface de collecte de donnees personnelles. Evaluez chaque champ personnalise au regard du principe de minimisation des donnees.

  10. Mettre en place une procedure de reponse aux droits. Prevoyez comment retrouver et extraire les donnees personnelles d’une personne dans Jira : tickets crees, commentaires, pieces jointes. L’API Jira et la fonctionnalite de recherche JQL permettent d’automatiser cette extraction.

Points d’attention specifiques

Les donnees personnelles cachees dans les tickets techniques

C’est le risque RGPD le plus sous-estime de Jira. Les equipes de developpement collent regulierement dans les tickets des extraits de logs, des stack traces, des requetes SQL, des dumps de bases de donnees pour documenter des bugs. Ces extraits contiennent frequemment des donnees personnelles : adresses email, noms d’utilisateurs, adresses IP, parfois des mots de passe ou des tokens d’authentification. Ce traitement est rarement documente dans le registre des traitements, et les donnees sont conservees indefiniment dans l’historique des tickets.

La solution est double : sensibiliser les equipes a l’anonymisation des donnees avant insertion dans les tickets, et mettre en place des politiques de retention pour les projets techniques.

Jira Service Management et les donnees RH/IT

Jira Service Management (anciennement Jira Service Desk) est de plus en plus utilise comme portail de service interne pour les demandes IT, les demandes RH, les demandes de materiel, les demandes d’acces. Ces tickets contiennent des donnees personnelles d’employes : identite, poste, equipement attribue, problemes techniques rencontres. Chaque file d’attente de service constitue un traitement qui doit etre documente.

L’absence de decision d’adequation pour l’Australie

Atlassian est une societe australienne, et l’Australie ne beneficie pas d’une decision d’adequation de la Commission europeenne. Les transferts de donnees vers l’Australie sont couverts par les CCT dans le DPA d’Atlassian. Votre TIA doit cependant evaluer le cadre juridique australien, et notamment le TOLA (Telecommunications and Other Legislation Amendment Act 2018), qui confere aux autorites la possibilite de demander l’acces a des communications chiffrees.

FAQ

Jira est-il conforme au RGPD ?

Jira Cloud fournit les elements contractuels et techniques necessaires a une utilisation conforme : DPA Atlassian, residence des donnees UE, certifications SOC 2, ISO 27001, ISO 27018, chiffrement, SSO/MFA via Atlassian Access. La conformite effective depend de votre configuration et surtout de la gestion du contenu des tickets. Si des donnees personnelles sont collees dans les tickets sans controle, aucune mesure technique ne compensera cette lacune organisationnelle.

La residence des donnees Jira garantit-elle la conformite ?

Non, la residence des donnees fixe la localisation du contenu (tickets, pieces jointes) dans l’UE, ce qui reduit l’exposition aux transferts internationaux. Mais certaines metadonnees et donnees de compte peuvent etre traitees en dehors de l’UE. Par ailleurs, la residence des donnees ne resout pas les questions de duree de conservation, de gestion des droits ou de documentation des traitements. C’est une mesure necessaire mais non suffisante.

Faut-il realiser une AIPD pour Jira ?

Une analyse d’impact est recommandee si Jira est utilise pour des traitements systematiques impliquant des donnees personnelles a grande echelle : gestion des services IT pour un grand nombre d’employes, suivi de recrutement, gestion de projets impliquant des donnees clients. Pour un usage standard de gestion de projet technique sans donnees personnelles significatives, l’AIPD n’est pas formellement requise.

Comment supprimer les donnees d’une personne dans Jira ?

Atlassian propose des fonctionnalites de gestion des comptes utilisateurs (suppression, anonymisation). Pour les donnees presentes dans le contenu des tickets (commentaires, descriptions, pieces jointes), il faut utiliser la recherche JQL pour identifier les tickets concernant une personne, puis modifier ou supprimer manuellement le contenu. Pour les requetes d’effacement a grande echelle, l’API REST de Jira permet d’automatiser la recherche et la modification. Documentez la procedure et prevoyez un delai de traitement raisonnable.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min