Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Loom et RGPD : guide de conformité 2026

Loom est-il conforme au RGPD ? Analyse du DPA, des transferts, des enregistrements vidéo et de l'IA de transcription pour DPO 2026.

Loom a popularisé la vidéo asynchrone en entreprise : au lieu d’écrire un long e-mail ou d’organiser une réunion, on enregistre une capture d’écran commentée à la voix et à la webcam, puis on partage le lien. Racheté par Atlassian en 2023, l’outil est largement adopté par les équipes produit, support, vente et formation en France. Mais Loom se distingue nettement des autres outils SaaS collaboratifs par la nature des données qu’il traite : des enregistrements contenant le visage et la voix de personnes, désormais accompagnés de transcriptions générées par intelligence artificielle.

Dans ma pratique de conseil, Loom appelle une prudence supérieure à celle d’un simple outil de messagerie. Un enregistrement vidéo qui montre le visage d’un salarié et fait entendre sa voix est une donnée personnelle particulièrement identifiante, à la frontière des problématiques biométriques. Ajoutez à cela des vidéos qui capturent parfois des écrans contenant des données clients, et une IA qui transcrit et résume ces contenus, et vous obtenez un traitement à sensibilité élevée. Loom appartenant à Atlassian (société américaine), la question des transferts s’ajoute. Ce guide propose une analyse méthodique, selon la documentation consultée en juillet 2026.

Pour une vue d’ensemble, consultez notre guide RGPD par outil. Voir aussi nos analyses de Slack et de Microsoft Teams, fréquemment utilisés pour la communication d’équipe.

Qualification juridique : Loom comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Atlassian, Inc., éditeur de Loom, agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour les enregistrements et données que votre organisation traite via l’outil. Vous déterminez les finalités (formation, support, communication interne, démonstration) et les moyens essentiels (qui enregistre, quoi, avec qui c’est partagé). Loom fournit l’infrastructure d’enregistrement, de stockage, de transcription et de partage selon vos instructions.

Cette qualification vaut pour les fonctionnalités cœur : capture, hébergement des vidéos, transcription, partage. Loom ne décide pas qui vous filmez ni ce que vous enregistrez – c’est votre organisation, en tant que responsable de traitement, qui en garde la maîtrise.

La question du visage et de la voix

La caractéristique déterminante de Loom est que ses enregistrements contiennent des visages et des voix. Il faut distinguer deux situations. Filmer et enregistrer la voix d’une personne produit des données personnelles identifiantes, mais ne constitue pas en soi un traitement biométrique. Le traitement devient biométrique – et relève alors des données sensibles de l’article 9 du RGPD – uniquement s’il vise à identifier de manière unique une personne par un traitement technique spécifique (reconnaissance faciale, empreinte vocale). Un usage standard de Loom ne fait pas cela. Néanmoins, la présence systématique de visages et de voix élève le niveau de sensibilité et justifie des garanties renforcées, notamment l’information et parfois le consentement des personnes filmées.

Périmètre des données traitées

Loom traite des données à forte charge identifiante :

  • Enregistrements vidéo : visage de l’auteur (et parfois de participants), voix, arrière-plan pouvant révéler des informations personnelles.
  • Contenu de l’écran capturé : les vidéos de démonstration ou de support montrent souvent des interfaces contenant des données clients, e-mails, dossiers.
  • Transcriptions et résumés IA : texte généré à partir de la voix, potentiellement stocké et réutilisé.
  • Données des spectateurs : Loom peut collecter des informations sur qui a visionné une vidéo (identité, e-mail, statistiques de visionnage).
  • Données des utilisateurs : comptes, e-mails, activité – données de salariés.
  • Métadonnées : logs, adresses IP, horodatages.

Le principe de minimisation impose de réfléchir avant d’enregistrer : ne pas filmer plus que nécessaire, masquer les données clients à l’écran, et ne pas conserver indéfiniment les vidéos.

Analyse du DPA Loom / Atlassian

Depuis le rachat par Atlassian, le traitement des données de Loom s’inscrit dans le cadre contractuel d’Atlassian, dont le Data Processing Addendum est accessible en ligne. Voici notre analyse au regard des exigences de l’article 28 du RGPD, selon la documentation consultée en juillet 2026.

Exigence Art. 28 RGPD Couverture dans le DPA Atlassian/Loom Évaluation
Objet, durée, nature et finalité Définis dans le DPA et les conditions Couvert
Types de données et catégories de personnes Décrits dans les annexes au DPA Couvert
Instructions documentées du responsable Traitement sur instructions prévu Couvert
Confidentialité du personnel Engagement de confidentialité Couvert
Mesures de sécurité (Art. 32) Annexe sécurité (chiffrement, contrôles) Couvert
Sous-traitants ultérieurs Liste publiée ; mécanisme de notification Couvert
Assistance aux droits des personnes Engagement d’assistance dans le DPA Couvert
Suppression ou restitution en fin de contrat Prévu, délai à vérifier au déploiement Couvert
Droit d’audit Via rapports de certification (SOC 2, ISO) Couvert (modalités à vérifier)
Information sur instruction contraire au RGPD Prévu dans le DPA Couvert

Le DPA d’Atlassian couvre les exigences formelles de l’article 28. L’intégration de Loom dans le socle Atlassian implique de vérifier que le périmètre du DPA et des annexes couvre bien les traitements spécifiques de Loom (enregistrements vidéo, transcription IA). Ce point, ainsi que le statut des certifications, sont à vérifier au moment du déploiement, l’offre évoluant.

Localisation & transferts hors UE

Localisation des données

Atlassian, Inc. est une société américaine (avec des entités internationales). Selon la documentation consultée en juillet 2026, l’hébergement des données Loom et l’éventuelle disponibilité d’options de résidence dépendent de l’offre et de la région ; à défaut de résidence UE, des transferts vers les États-Unis interviennent. La localisation par défaut est à vérifier au moment du déploiement, l’offre évoluant.

Mécanismes de transfert

Pour les transferts hors UE, Atlassian s’appuie en principe sur :

  1. EU-US Data Privacy Framework (DPF), si Atlassian, Inc. est certifiée, sur la base de la décision d’adéquation du 10 juillet 2023. Statut à vérifier au déploiement.
  2. Clauses contractuelles types (CCT), version 2021/914, intégrées au DPA comme mécanisme complémentaire.

Analyse d’impact sur les transferts

Documentez une analyse d’impact sur les transferts, en tenant compte de la sensibilité particulière des données (visages, voix, écrans clients) :

  • Cadre juridique américain : section 702 du FISA, Executive Order 12333, garanties de l’Executive Order 14086.
  • Nature des données : les enregistrements identifiants justifient un niveau de garanties plus élevé que la moyenne des outils SaaS.
  • Mesures supplémentaires : chiffrement, restriction stricte des partages, purge, masquage des données clients à l’écran.

Fonctionnalités IA et AIPD

La transcription et la synthèse par IA de Loom traitent le contenu vocal des enregistrements. Avant de les activer, vérifiez : la finalité, un éventuel recours à des modèles tiers, et l’usage éventuel des contenus pour entraîner des modèles (à écarter contractuellement de préférence). Ces traitements doivent être portés à la connaissance des personnes filmées au titre de la transparence (art. 13).

Compte tenu de la sensibilité des données (vidéos identifiantes, voix, écrans pouvant contenir des données clients) et de l’usage d’IA, la réalisation d’une analyse d’impact (AIPD) est recommandée dès lors que Loom est utilisé à grande échelle ou pour des traitements susceptibles d’engendrer un risque élevé. Appuyez-vous sur les recommandations de la CNIL sur l’IA.

Configuration recommandée pour la conformité RGPD

  1. Signer et archiver le DPA Atlassian et vérifier qu’il couvre les traitements Loom.
  2. Informer et, le cas échéant, recueillir le consentement des personnes filmées. Aucune personne ne doit être enregistrée à son insu ; documentez l’information et le consentement si nécessaire.
  3. Restreindre les partages. Désactivez les liens publics par défaut ; limitez l’accès aux destinataires nécessaires et exigez une authentification.
  4. Masquer les données clients à l’écran avant d’enregistrer une démonstration ou un support.
  5. Configurer le SSO/MFA sur les comptes.
  6. Gérer la rétention. Supprimez les vidéos obsolètes selon votre tableau des durées de conservation et le principe de temporalité. Ne conservez pas les enregistrements indéfiniment.
  7. Encadrer la transcription IA. Activez-la en connaissance de cause, informez les personnes, et vérifiez l’exclusion de tout entraînement de modèles sur vos contenus.
  8. Gérer les droits des personnes. Prévoyez comment supprimer une vidéo contenant l’image d’une personne qui exerce son droit d’effacement (art. 17) ou d’opposition (art. 21).
  9. Mettre à jour la charte informatique. Intégrez les règles d’usage de Loom dans votre charte informatique.
  10. Documenter au registre. Inscrivez Loom au registre des activités de traitement : finalités, catégories de données (dont images et voix), transferts, durées, sécurité.

Pour industrialiser la documentation des outils SaaS au registre et suivre les transferts hors UE, un logiciel RGPD peut structurer cette cartographie de façon répétable.

Cas particuliers

Enregistrement de collaborateurs et droit à l’image

Filmer un salarié pour une vidéo interne engage son droit à l’image et le principe de transparence. Informez systématiquement, recueillez l’accord lorsque c’est requis, et ne diffusez pas au-delà du cercle nécessaire. Un usage détourné (surveillance, évaluation via vidéos) serait disproportionné.

Vidéos de support montrant des données clients

Une vidéo de support qui capture l’écran d’un dossier client transporte des données personnelles de tiers. Vérifiez la base légale, masquez les données non nécessaires, et restreignez le partage. Cela relève du principe de minimisation.

Reconnaissance faciale ou vocale

Tant que vous n’activez aucun traitement visant à identifier techniquement les personnes par leur visage ou leur voix, vous n’êtes pas dans le champ des données biométriques de l’article 9. Si un tel usage était envisagé, il exigerait une base légale renforcée et une AIPD.

Violation de données

En cas d’incident affectant des enregistrements, l’obligation de notification de violation à la CNIL sous 72 heures incombe à votre organisation, Atlassian devant vous assister. La sensibilité des vidéos peut rendre la notification aux personnes concernées obligatoire.

FAQ

Loom est-il conforme au RGPD ?

Loom (Atlassian) fournit les engagements contractuels (DPA, mécanismes de transfert, sécurité) permettant un usage encadré, mais la conformité dépend fortement de vos pratiques : information des personnes filmées, restriction des partages, masquage des données clients, purge, encadrement de la transcription IA. La sensibilité des enregistrements élève le niveau d’exigence. Un Loom où l’on filme des personnes sans information et où les vidéos publiques ne sont jamais purgées n’est pas conforme. La responsabilité incombe au responsable de traitement.

Les enregistrements Loom sont-ils des données biométriques ?

Non, pas dans un usage standard. Un enregistrement de visage et de voix est une donnée personnelle identifiante, mais il ne devient un traitement biométrique au sens de l’article 9 du RGPD que s’il vise à identifier techniquement et de manière unique une personne (reconnaissance faciale, empreinte vocale). Loom, en usage standard, ne réalise pas un tel traitement. La sensibilité reste toutefois élevée.

Faut-il réaliser une AIPD pour Loom ?

Une analyse d’impact est recommandée dès lors que Loom est utilisé à grande échelle, avec transcription IA, ou pour des traitements à risque élevé (vidéos de personnes, données clients à l’écran). Compte tenu de la sensibilité des données, l’AIPD est plus souvent justifiée que pour un outil de messagerie classique. En cas de doute, la CNIL invite à la réaliser.

Faut-il le consentement des personnes filmées dans une vidéo Loom ?

Les personnes filmées doivent toujours être informées. Le consentement ou un accord peut être requis selon le contexte, notamment pour l’image de salariés ou de tiers. La base légale doit être déterminée avant l’enregistrement ; personne ne doit être filmé à son insu.

Les données de Loom sont-elles hébergées en Europe ?

Cela dépend de l’offre Atlassian et de la région ; à défaut de résidence UE, des transferts vers les États-Unis interviennent, encadrés par le DPF et/ou les CCT. La localisation par défaut et les options de résidence sont à vérifier au moment du déploiement, l’offre évoluant.

Qui répond en cas de contrôle CNIL sur l’usage de Loom ?

Votre organisation, responsable de traitement, répond des manquements. Atlassian, comme sous-traitant, a ses propres obligations, mais l’information des personnes, la maîtrise des partages et de la rétention vous incombent. Un audit RGPD des outils vidéo est particulièrement recommandé compte tenu de la sensibilité des enregistrements.