Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Linear et RGPD : guide de conformité 2026

Linear est-il conforme au RGPD ? Analyse du DPA, des transferts hors UE et des données dans les tickets pour DPO en 2026.

Linear s’est imposé en quelques années comme l’outil de gestion de projet préféré des équipes techniques : startups, éditeurs de logiciels, équipes produit. Son interface rapide et sa philosophie centrée sur le workflow de développement en font une alternative crédible à Jira pour de nombreuses organisations françaises. Mais un outil de suivi de tickets n’est jamais qu’un outil « interne » neutre : les tickets, commentaires et intégrations contiennent régulièrement des données personnelles, parfois sans que l’équipe en ait conscience.

Dans ma pratique de conseil auprès d’équipes tech, Linear illustre un angle mort classique. On raisonne « bugs et features », pas « données personnelles ». Or un ticket de support qui cite l’e-mail d’un client mécontent, une capture d’écran montrant des données d’utilisateurs, ou une intégration qui remonte des identifiants clients depuis un CRM, sont autant de traitements soumis au RGPD. Linear étant une société américaine, la question des transferts s’ajoute à celle de la qualification. Ce guide propose une analyse méthodique, selon la documentation consultée en juillet 2026.

Pour une vue d’ensemble, consultez notre guide RGPD par outil. Voir aussi nos analyses de Slack et Notion, fréquemment utilisés conjointement avec Linear dans une stack produit.

Qualification juridique : Linear comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Linear Orbit, Inc. agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour les données que votre organisation traite via la plateforme. Vous déterminez les finalités (suivi du développement, gestion des incidents, planification) et les moyens essentiels (qui a accès, quels projets, quelles intégrations). Linear fournit l’infrastructure et traite les données selon vos instructions.

Cette qualification est claire pour les fonctionnalités cœur : création et suivi de tickets, commentaires, cycles, projets. Linear ne décide pas quelles données personnelles vos équipes inscrivent dans les tickets – c’est votre organisation, en tant que responsable de traitement, qui en garde la maîtrise.

Les données des utilisateurs de Linear

Comme la plupart des SaaS, Linear agit comme responsable de traitement autonome pour les données qu’il collecte sur ses propres utilisateurs (comptes, facturation, usage produit). Cette distinction est standard et n’affecte pas vos obligations sur les données que vous inscrivez dans l’outil.

Le risque des intégrations

Linear s’intègre nativement avec GitHub, Slack, Sentry, Zendesk, Intercom et d’autres. Ces intégrations peuvent faire circuler des données personnelles entre systèmes : un ticket Zendesk d’un client remonté automatiquement dans Linear transporte l’identité et le motif de contact du client. Chaque flux entrant est un traitement à cartographier, et chaque outil connecté un sous-traitant à documenter.

Périmètre des données traitées

Contrairement à un CRM, Linear n’est pas conçu pour stocker des données personnelles – mais il en accumule en pratique :

  • Données des membres de l’équipe : identité, e-mail professionnel, activité, assignations. Ce sont des données de salariés, donc pleinement soumises au RGPD.
  • Données personnelles dans les tickets : e-mails de clients cités dans un ticket de support, noms d’utilisateurs affectés par un bug, captures d’écran révélant des données.
  • Contenu remonté par intégration : messages clients depuis Zendesk/Intercom, identifiants depuis Sentry (adresses IP, e-mails dans les logs d’erreur).
  • Pièces jointes : documents, exports, captures pouvant contenir des données personnelles ou sensibles.
  • Métadonnées : logs de connexion, historique d’activité, adresses IP.

Le principe de minimisation prend ici une dimension pratique : instaurer une règle interne interdisant de coller des données clients brutes dans les tickets réduit fortement l’exposition.

Analyse du DPA Linear

Linear met à disposition un Data Processing Addendum accessible en ligne, applicable aux clients traitant des données de résidents de l’UE. Voici notre analyse au regard des exigences de l’article 28 du RGPD, selon la documentation consultée en juillet 2026.

Exigence Art. 28 RGPD Couverture dans le DPA Linear Évaluation
Objet, durée, nature et finalité Définis dans le DPA et les conditions Couvert
Types de données et catégories de personnes Décrits dans les annexes au DPA Couvert
Instructions documentées du responsable Traitement sur instructions prévu Couvert
Confidentialité du personnel Engagement de confidentialité Couvert
Mesures de sécurité (Art. 32) Annexe sécurité (chiffrement, contrôles) Couvert
Sous-traitants ultérieurs Liste publiée ; mécanisme de notification Couvert
Assistance aux droits des personnes Engagement d’assistance dans le DPA Couvert
Suppression ou restitution en fin de contrat Prévu, délai à vérifier au déploiement Couvert
Droit d’audit Via rapports de certification (SOC 2) Couvert (modalités à vérifier)
Information sur instruction contraire au RGPD Prévu dans le DPA Couvert

Le DPA de Linear couvre les exigences formelles de l’article 28. Le droit d’audit s’exerce, comme chez la plupart des SaaS, via la mise à disposition de rapports de certification. Linear communique généralement sur sa conformité SOC 2 ; le périmètre exact et l’actualité de la certification sont à vérifier au moment du déploiement, l’offre évoluant. La liste des sous-traitants (hébergement, analytics, support) doit être analysée pour la cartographie des transferts.

Localisation & transferts hors UE

Localisation des données

Linear Orbit, Inc. est une société américaine et héberge, selon la documentation consultée en juillet 2026, ses données principalement aux États-Unis, sur une infrastructure cloud. Aucune option native de résidence des données dans l’UE n’est documentée à cette date. Les transferts vers les États-Unis sont donc la règle par défaut.

Mécanismes de transfert

Pour les transferts hors UE, Linear s’appuie en principe sur :

  1. EU-US Data Privacy Framework (DPF), si Linear Orbit, Inc. est certifiée, sur la base de la décision d’adéquation du 10 juillet 2023. Le statut de certification est à vérifier au moment du déploiement, l’offre évoluant.
  2. Clauses contractuelles types (CCT), version 2021/914, intégrées au DPA comme mécanisme complémentaire.

Analyse d’impact sur les transferts

Documentez une analyse d’impact sur les transferts, en tenant compte :

  • Du cadre juridique américain : section 702 du FISA, Executive Order 12333, et garanties de l’Executive Order 14086 (proportionnalité, Data Protection Review Court).
  • De la nature des données : un usage strictement limité au suivi technique interne présente un risque modéré ; l’accumulation de données clients dans les tickets l’élève sensiblement.
  • Des mesures supplémentaires : politique interne de non-inscription des données clients brutes, purge des tickets fermés, chiffrement, restriction des intégrations.

Configuration recommandée pour la conformité RGPD

  1. Signer et archiver le DPA Linear. Vérifiez son application et conservez-en une copie.
  2. Établir une règle interne « pas de données clients brutes dans les tickets ». Anonymisez ou pseudonymisez les identités clients ; référez-vous à un identifiant plutôt qu’à un e-mail complet.
  3. Contrôler les intégrations. N’activez que les connecteurs nécessaires (GitHub, Sentry, Zendesk…) et documentez chacun comme sous-traitant ou flux de données.
  4. Configurer le SSO/MFA. Imposez l’authentification via votre fournisseur d’identité et activez le MFA obligatoire.
  5. Gérer la rétention. Définissez une politique de purge des tickets clos et des projets archivés selon votre tableau des durées de conservation et le principe de temporalité.
  6. Gérer les droits des salariés. Prévoyez comment répondre à une demande d’accès ou d’effacement d’un membre de l’équipe (art. 15 et 17).
  7. Mettre à jour la charte informatique. Intégrez les règles d’usage de Linear dans votre charte informatique : données autorisées, interdiction de coller des données sensibles.
  8. Documenter au registre. Inscrivez Linear au registre des activités de traitement : finalités, catégories de données, transferts, durées, sécurité.

Pour industrialiser la documentation des outils SaaS au registre et suivre les transferts hors UE, un logiciel RGPD peut structurer cette cartographie de façon répétable.

Cas particuliers

Données de support client dans les tickets

L’intégration Zendesk ou Intercom fait remonter dans Linear l’identité et le contenu des échanges clients. Vérifiez la base légale de ce traitement, limitez les données remontées, et informez les personnes concernées dans votre information support si ces données changent de finalité.

Logs d’erreur et données personnelles

Les intégrations comme Sentry peuvent inclure, dans les logs remontés en ticket, des adresses IP ou des e-mails d’utilisateurs. Configurez le masquage (scrubbing) des données personnelles côté outil de monitoring avant leur remontée dans Linear.

Surveillance des salariés

L’historique d’activité de Linear peut être détourné en outil de mesure de la productivité individuelle. Un tel usage relève d’un traitement de surveillance des salariés, encadré et soumis à information/consultation. Ce n’est pas la vocation de l’outil et cela crée un risque disproportionné.

Intégration GitHub et données de contributeurs

Le lien natif entre Linear et GitHub associe des tickets à des commits, branches et pull requests. Cela fait circuler des identités de développeurs (noms, identifiants, adresses e-mail de commit), qui sont des données personnelles. Pour des contributeurs externes ou open source, cette association mérite d’être documentée, et la base légale du traitement (intérêt légitime de suivi du développement, généralement) précisée dans votre registre.

Évaluer un nouveau sous-traitant avant intégration

Avant d’activer une nouvelle intégration ou d’adopter Linear lui-même, la bonne pratique consiste à évaluer le sous-traitant sur la base d’un questionnaire sous-traitants : garanties de sécurité, localisation, DPA, sous-traitants ultérieurs. Cette diligence conditionne le respect de l’article 28(1), qui impose de ne recourir qu’à des sous-traitants présentant des garanties suffisantes.

Violation de données

En cas d’incident affectant des données personnelles présentes dans Linear, l’obligation de notification de violation à la CNIL sous 72 heures incombe à votre organisation, Linear devant vous assister.

FAQ

Linear est-il conforme au RGPD ?

Linear fournit les engagements contractuels (DPA, mécanismes de transfert, sécurité) permettant un usage encadré, mais la conformité dépend de vos pratiques : discipline sur les données inscrites dans les tickets, contrôle des intégrations, gestion des droits des salariés, purge. Un Linear dans lequel les équipes collent librement des données clients sans purge n’est pas conforme, indépendamment du DPA. La responsabilité incombe au responsable de traitement.

Faut-il réaliser une AIPD pour Linear ?

Une analyse d’impact n’est généralement pas requise pour un usage standard de suivi de développement interne. Elle devient recommandée si Linear est utilisé pour traiter à grande échelle des données clients (via intégrations support), ou détourné en outil de surveillance des salariés. En cas de doute, la CNIL invite à la réaliser.

Les données de Linear sont-elles hébergées en Europe ?

Selon la documentation consultée en juillet 2026, Linear héberge principalement aux États-Unis, sans option native de résidence UE. Les transferts reposent sur le DPF et/ou les CCT. Ce point est à vérifier au moment du déploiement, l’offre évoluant.

Comment gérer les données personnelles dans les tickets Linear ?

Appliquez le principe de minimisation : évitez de coller des données clients brutes, préférez des identifiants pseudonymisés, purgez les tickets clos, et masquez les données personnelles remontées par les intégrations de monitoring. Une règle interne claire est la mesure la plus efficace.

Les données des salariés dans Linear sont-elles concernées par le RGPD ?

Oui. Les identités, e-mails professionnels, assignations et historiques d’activité des membres de l’équipe sont des données personnelles de salariés, pleinement soumises au RGPD. Vous devez pouvoir répondre à leurs demandes d’accès et d’effacement, et ne pas détourner ces données à des fins de surveillance non encadrée.

Qui répond en cas de contrôle CNIL sur l’usage de Linear ?

Votre organisation, responsable de traitement, répond des manquements. Linear, comme sous-traitant, a ses propres obligations, mais la maîtrise des données inscrites, des intégrations et de la rétention vous incombe. Un audit RGPD périodique des outils tech est recommandé.