Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Miro et RGPD : guide de conformité 2026

Miro est-il conforme au RGPD ? Analyse du DPA, des transferts hors UE et des données dans les boards pour DPO en 2026.

Miro est devenu le tableau blanc collaboratif de référence pour les ateliers, les rétrospectives agiles, les cartographies de parcours client et les sessions de design thinking. Utilisé par des équipes produit, RH, marketing et conseil dans de nombreuses entreprises françaises, il concentre une caractéristique qui le distingue des autres outils collaboratifs : son contenu est un espace libre. On y colle tout – des post-its, des captures d’écran, des exports, des photos, des noms de personnes – sans structure imposée. C’est précisément cette liberté qui en fait un point de vigilance RGPD.

Dans ma pratique de conseil, Miro révèle un phénomène récurrent : la donnée personnelle « diffuse ». Un atelier de cartographie de parcours client affiche des noms et des verbatims de clients réels ; une rétrospective RH liste des noms de collaborateurs ; un board de recrutement contient des CV. Ces données ne sont pas dans une base structurée – elles sont éparpillées sur des boards que personne ne purge. Miro impliquant des entités américaine et néerlandaise, l’analyse des transferts s’ajoute à celle du contenu. Ce guide propose une lecture méthodique, selon la documentation consultée en juillet 2026.

Pour une vue d’ensemble, consultez notre guide RGPD par outil. Voir aussi nos analyses de Slack et Notion, souvent associés à Miro dans une stack collaborative.

Qualification juridique : Miro comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

RealtimeBoard, Inc. (opérant sous la marque Miro) agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour les données que votre organisation traite via ses boards. Vous déterminez les finalités (animer un atelier, cartographier un processus, planifier) et les moyens essentiels (qui accède, quels boards, quel contenu). Miro fournit l’infrastructure et traite les données selon vos instructions.

Cette qualification est claire pour les fonctionnalités cœur : boards, post-its, commentaires, collaboration en temps réel. Miro ne décide pas quelles données personnelles vos équipes déposent sur les boards – c’est votre organisation, en tant que responsable de traitement, qui en garde la maîtrise.

L’entité européenne de Miro

Miro opère via plusieurs entités, dont une entité européenne aux Pays-Bas (Miro B.V. / RealtimeBoard) et une entité américaine. Cette structure a une incidence sur la localisation des données et sur le contrat applicable : selon votre plan et votre région, l’entité contractante et les modalités de traitement peuvent varier. L’entité signataire du DPA est à vérifier au moment du déploiement, l’offre évoluant.

Les fonctionnalités IA

Miro propose des fonctionnalités d’intelligence artificielle (génération de contenu, synthèse de board, clustering de post-its). Lorsqu’elles traitent le contenu des boards, ces fonctionnalités doivent être analysées spécifiquement : finalité, éventuel recours à des modèles tiers, et information des personnes concernées au titre de la transparence (art. 13). Reportez-vous aux recommandations de la CNIL sur l’IA.

Périmètre des données traitées

La nature « espace libre » de Miro produit une exposition particulière :

  • Données des utilisateurs : identité, e-mail, activité, présence en temps réel – données de salariés soumises au RGPD.
  • Données personnelles déposées sur les boards : noms de clients ou de collaborateurs sur des post-its, verbatims, coordonnées, organigrammes.
  • Contenus importés : captures d’écran, exports de CRM, photos de participants, documents PDF pouvant contenir des données personnelles ou sensibles.
  • Données d’ateliers RH : évaluations, retours sur des personnes nommées, données de recrutement (CV, notes d’entretien).
  • Métadonnées : logs de connexion, historique de modification, adresses IP.

Le principe de minimisation est difficile à faire respecter sur un support aussi ouvert : une gouvernance interne (règles d’usage, anonymisation des ateliers) est indispensable.

Analyse du DPA Miro

Miro met à disposition un Data Processing Addendum accessible en ligne, applicable aux clients traitant des données de résidents de l’UE. Voici notre analyse au regard des exigences de l’article 28 du RGPD, selon la documentation consultée en juillet 2026.

Exigence Art. 28 RGPD Couverture dans le DPA Miro Évaluation
Objet, durée, nature et finalité Définis dans le DPA et les conditions Couvert
Types de données et catégories de personnes Décrits dans les annexes au DPA Couvert
Instructions documentées du responsable Traitement sur instructions prévu Couvert
Confidentialité du personnel Engagement de confidentialité Couvert
Mesures de sécurité (Art. 32) Annexe sécurité (chiffrement, contrôles) Couvert
Sous-traitants ultérieurs Liste publiée ; mécanisme de notification Couvert
Assistance aux droits des personnes Engagement d’assistance dans le DPA Couvert
Suppression ou restitution en fin de contrat Prévu, délai à vérifier au déploiement Couvert
Droit d’audit Via rapports de certification (SOC 2, ISO) Couvert (modalités à vérifier)
Information sur instruction contraire au RGPD Prévu dans le DPA Couvert

Le DPA de Miro couvre les exigences formelles de l’article 28. Miro communique généralement sur ses certifications (SOC 2, ISO 27001) ; leur périmètre et leur actualité sont à vérifier au moment du déploiement, l’offre évoluant. Le point de vigilance principal reste moins le DPA que la gouvernance du contenu déposé sur les boards, qui échappe largement au cadre contractuel du fournisseur.

Localisation & transferts hors UE

Localisation des données

Selon la documentation consultée en juillet 2026, Miro propose, selon les plans (notamment Enterprise), des options de résidence des données, dont une possible localisation dans l’Union européenne. La localisation par défaut et l’éligibilité à la résidence UE dépendent de votre offre et sont à vérifier au moment du déploiement, l’offre évoluant. En l’absence de résidence UE, des transferts vers les États-Unis interviennent.

Mécanismes de transfert

Pour les transferts hors UE, Miro s’appuie en principe sur :

  1. EU-US Data Privacy Framework (DPF), pour les transferts vers l’entité américaine certifiée, sur la base de la décision d’adéquation du 10 juillet 2023. Statut à vérifier au déploiement.
  2. Clauses contractuelles types (CCT), version 2021/914, intégrées au DPA comme mécanisme complémentaire.

Analyse d’impact sur les transferts

Documentez une analyse d’impact sur les transferts couvrant :

  • Le cadre juridique américain : section 702 du FISA, Executive Order 12333, garanties de l’Executive Order 14086.
  • La nature des données : des ateliers contenant des données RH ou clients nominatives justifient des mesures renforcées.
  • Les mesures supplémentaires : activation de la résidence UE si disponible, anonymisation des ateliers, purge des boards, chiffrement.

Fonctionnalités IA et AIPD

Si vous activez les fonctionnalités IA de Miro sur des boards contenant des données personnelles, plusieurs vérifications s’imposent : le contenu est-il transmis à un modèle tiers ? Est-il utilisé pour entraîner des modèles ? Quelle est la finalité ? Ces éléments conditionnent la base légale et l’information des personnes. Lorsque l’IA traite à grande échelle des données personnelles issues des boards (par exemple des ateliers RH nominatifs), la réalisation d’une analyse d’impact (AIPD) est recommandée, conformément à la logique des recommandations de la CNIL sur l’IA.

Configuration recommandée pour la conformité RGPD

  1. Signer et archiver le DPA Miro et identifier l’entité contractante.
  2. Activer la résidence UE si votre plan le permet, pour réduire les transferts.
  3. Établir une charte d’usage des boards. Interdisez le dépôt de données clients ou RH nominatives non nécessaires ; privilégiez l’anonymisation des ateliers. Intégrez ces règles à votre charte informatique.
  4. Configurer le SSO/MFA et restreindre le partage public des boards (liens « anyone with the link »).
  5. Gérer la rétention. Archivez et supprimez les boards obsolètes selon votre tableau des durées de conservation et le principe de temporalité.
  6. Encadrer les fonctionnalités IA. Activez-les en connaissance de cause et informez les utilisateurs.
  7. Gérer les droits des personnes. Prévoyez l’extraction ou la suppression des données d’une personne présente sur des boards (art. 15 et 17).
  8. Documenter au registre. Inscrivez Miro au registre des activités de traitement : finalités, catégories de données, transferts, durées, sécurité.

Pour industrialiser la documentation des outils SaaS au registre et suivre les transferts hors UE, un logiciel RGPD peut structurer cette cartographie de façon répétable.

Cas particuliers

Ateliers RH et données de collaborateurs

Un board de rétrospective ou d’évaluation peut contenir des retours nominatifs sur des collaborateurs. Ces données relèvent du RGPD et parfois de sujets sensibles. Anonymisez autant que possible, restreignez l’accès au board, et purgez après l’atelier.

Boards de recrutement et données de candidats

Un board contenant des CV, notes d’entretien ou évaluations traite des données de candidats. Vérifiez la base légale, limitez la durée de conservation des candidatures non retenues, et sécurisez l’accès. Attention aux éventuelles données sensibles au sens de l’article 9 du RGPD qui pourraient y figurer.

Partage public de boards

Un board partagé par lien public peut exposer des données personnelles à des tiers non autorisés. Désactivez le partage public par défaut et auditez régulièrement les liens actifs.

Violation de données

En cas d’incident affectant des données présentes sur des boards, l’obligation de notification de violation à la CNIL sous 72 heures incombe à votre organisation, Miro devant vous assister.

FAQ

Miro est-il conforme au RGPD ?

Miro fournit les engagements contractuels (DPA, mécanismes de transfert, certifications, options de résidence) permettant un usage encadré, mais la conformité dépend largement de la gouvernance de vos boards : nature des données déposées, anonymisation des ateliers, gestion des partages, purge. Un Miro rempli de données clients et RH nominatives, jamais purgé et partagé par liens publics, n’est pas conforme. La responsabilité incombe au responsable de traitement.

Faut-il réaliser une AIPD pour Miro ?

Une analyse d’impact n’est pas systématique pour un usage standard d’ateliers non nominatifs. Elle devient recommandée en cas de traitement à grande échelle de données RH ou clients nominatives, ou d’usage des fonctionnalités IA sur de telles données. En cas de doute, la CNIL invite à la réaliser.

Les données de Miro sont-elles hébergées en Europe ?

Cela dépend de votre plan : Miro propose, selon la documentation consultée en juillet 2026, des options de résidence des données incluant possiblement l’UE sur certaines offres. La localisation par défaut et l’éligibilité sont à vérifier au moment du déploiement, l’offre évoluant. À défaut de résidence UE, des transferts hors UE s’appuient sur le DPF et les CCT.

Comment limiter les données personnelles sur les boards Miro ?

Établissez une charte d’usage interdisant les données nominatives non nécessaires, anonymisez les ateliers (initiales, rôles plutôt que noms), restreignez les partages, et purgez les boards après usage. Le principe de minimisation doit guider la conception de chaque atelier.

Les fonctionnalités IA de Miro posent-elles un problème RGPD ?

Elles nécessitent une analyse : transmission éventuelle à un modèle tiers, finalité, information des personnes. Sur des boards contenant des données personnelles, activez-les en connaissance de cause, informez les utilisateurs, et envisagez une AIPD pour les traitements à grande échelle. Voir les recommandations de la CNIL sur l’IA.

Qui répond en cas de contrôle CNIL sur l’usage de Miro ?

Votre organisation, responsable de traitement, répond des manquements. Miro, comme sous-traitant, a ses propres obligations, mais la maîtrise du contenu des boards, des partages et de la rétention vous incombe. Un audit RGPD périodique des outils collaboratifs est recommandé.