Monday.com et RGPD : guide de conformite 2026

Monday.com s’est impose comme une plateforme de travail collaborative extremement polyvalente, utilisee aussi bien pour la gestion de projet que comme CRM, outil de gestion RH, plateforme marketing ou gestionnaire de workflows automatises. Cette flexibilite est a la fois la force et le defi RGPD de Monday.com : la plateforme est un “Work OS” dont le contenu depend entierement de la maniere dont l’organisation l’utilise. Un meme espace Monday.com peut contenir un tableau de suivi de projet technique parfaitement anodin et un tableau CRM avec les noms, telephones, emails et historiques d’interaction de milliers de prospects.

Cette imprevisibilite des donnees traitees distingue Monday.com des outils plus specialises comme Jira (suivi technique) ou Asana (gestion de projet). L’analyse RGPD de Monday.com doit prendre en compte non pas un usage type, mais l’ensemble des usages possibles, car c’est l’organisation elle-meme qui definit la nature des donnees personnelles traitees par la plateforme.

Pour une vue d’ensemble de la conformite des outils SaaS, consultez notre guide RGPD par outil.

Qualification juridique : Monday.com comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Monday.com Ltd agit en qualite de sous-traitant au sens de l’article 28 du RGPD pour l’ensemble de ses services cloud. Votre organisation determine les finalites du traitement (gestion de projet, CRM, suivi RH, gestion marketing) et les moyens essentiels (quels tableaux sont crees, quelles colonnes sont definies, quels utilisateurs y accedent). Monday.com fournit l’infrastructure technique et traite les donnees selon vos instructions.

Les categories de donnees traitees : une matrice variable

C’est le point central de l’analyse RGPD de Monday.com. Les categories de donnees traitees dependent des tableaux crees par l’organisation :

• Profils utilisateurs : noms, adresses email, photos de profil, roles
• Donnees des elements (items) : le contenu est totalement defini par l’utilisateur. Un element peut etre un ticket de projet sans donnee personnelle, ou une fiche client complete avec nom, telephone, email, adresse, historique d’achat.
• Colonnes personnalisees : chaque colonne est un champ de donnees defini par l’utilisateur. Les colonnes de type “email”, “telephone”, “personne”, “fichier” sont des vecteurs directs de donnees personnelles.
• Pieces jointes : documents, images, fichiers pouvant contenir des donnees personnelles
• Automatisations : les workflows automatises peuvent collecter, transformer et transmettre des donnees personnelles entre tableaux ou vers des services tiers
• Formulaires : les formulaires Monday.com permettent de collecter des donnees directement aupres de personnes externes

Cette variabilite impose une approche RGPD systematique : chaque tableau contenant des donnees personnelles constitue un traitement distinct qui doit etre documente dans le registre des traitements.

Le cas de Monday AI

Monday.com integre des fonctionnalites d’intelligence artificielle (Monday AI) qui utilisent OpenAI comme sous-traitant ulterieur pour le traitement par modeles de langage. La chaine de sous-traitance est donc :

• Votre organisation = responsable de traitement
• Monday.com = sous-traitant
• OpenAI = sous-traitant ulterieur

Cette configuration est comparable a celle de Notion AI. Les donnees de vos tableaux peuvent etre transmises a OpenAI pour generer des resumes, des suggestions ou des analyses. Cette chaine doit etre documentee et l’activation de Monday AI doit faire l’objet d’une decision explicite.

Analyse du DPA Monday.com

Le DPA de Monday.com est disponible en ligne et couvre l’ensemble des produits de la plateforme (Work Management, CRM, Dev, Service). Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD	Couverture dans le DPA Monday.com	Evaluation
Objet, duree, nature et finalite du traitement	Definis dans le DPA et les conditions de service	Conforme
Types de donnees et categories de personnes	Decrits dans l’annexe au DPA	Conforme
Instructions documentees du responsable	Traitement sur instructions documentees	Conforme
Confidentialite du personnel	Engagement de confidentialite pour le personnel Monday.com	Conforme
Mesures de securite (Art. 32)	Mesures techniques et organisationnelles dans l’annexe securite	Conforme
Sous-traitants ulterieurs	Liste publiee avec mecanisme de notification et d’objection	Conforme
Assistance pour les droits des personnes	Engagement d’assistance dans le DPA	Conforme
Suppression ou restitution en fin de contrat	Suppression des donnees apres resiliation	Conforme
Droit d’audit	Prevu dans le DPA (via rapports SOC 2, ISO 27001 et possibilite d’audit)	Conforme
Information en cas d’instruction contrevenant au RGPD	Prevu dans le DPA	Conforme

Le DPA de Monday.com est complet et regulierement mis a jour. Il couvre explicitement les sous-traitants ulterieurs, dont OpenAI pour les fonctionnalites d’IA. Le point de vigilance concerne la description des categories de donnees traitees dans l’annexe : etant donne la flexibilite de la plateforme, l’annexe du DPA decrit les categories en termes generiques. C’est a vous, en tant que responsable de traitement, de documenter precisement les donnees que vous stockez effectivement dans Monday.com.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des donnees

Monday.com est une entreprise internationale disposant de bureaux en Europe et aux Etats-Unis. L’infrastructure est hebergee sur AWS, avec des options d’hebergement aux Etats-Unis et dans l’UE. La residence des donnees dans l’UE est disponible.

Il faut distinguer :

• Donnees de contenu (elements, colonnes, pieces jointes) : hebergeables dans l’UE
• Donnees de compte (inscription, facturation) : peuvent rester aux Etats-Unis
• Donnees traitees par Monday AI : transitent vers OpenAI aux Etats-Unis

Mecanismes de transfert

Pour les transferts hors UE, Monday.com s’appuie sur :

1. EU-US Data Privacy Framework (DPF). Monday.com est certifie au DPF.

2. Clauses contractuelles types (CCT). Le DPA integre les CCT 2021 comme mecanisme supplementaire.

La question specifique des transferts lies a Monday AI

L’utilisation de Monday AI implique un transfert de donnees vers OpenAI aux Etats-Unis. La chaine de transfert est : vos donnees dans Monday.com (potentiellement hebergees dans l’UE) -> serveurs d’OpenAI aux Etats-Unis -> resultats renvoyes dans Monday.com.

Ce flux doit etre explicitement documente dans votre TIA. Si les tableaux traites par Monday AI contiennent des donnees personnelles, le transfert vers OpenAI constitue un transfert international qui doit etre justifie.

Conduite de la TIA

Les elements a evaluer :

• Cadre juridique americain. FISA Section 702, EO 12333, avec les garanties de l’EO 14086 dans le cadre du DPF. OpenAI (sous-traitant ulterieur) est egalement soumis a ce cadre.
• Nature des donnees. Etant donne la flexibilite de Monday.com, les donnees peuvent aller de l’information de projet anonyme a des fiches clients completes avec coordonnees personnelles. La TIA doit prendre en compte le niveau de sensibilite maximal des donnees effectivement stockees.
• Mesures supplementaires. Chiffrement en transit et au repos. Residence des donnees UE pour le contenu. Pour Monday AI, les donnees sont necessairement accessibles en clair pendant le traitement par le modele de langage.

Securite informatique

Monday.com a developpe un programme de securite solide, refletant les exigences de ses clients entreprises.

Certifications et audits

• SOC 2 Type II – audit independant des controles de securite
• ISO 27001 – certification du systeme de management de la securite
• ISO 27018 – protection des donnees personnelles dans le cloud

Mesures techniques

• Chiffrement en transit : TLS 1.2+ pour toutes les communications
• Chiffrement au repos : AES-256 via AWS
• Authentification : SSO SAML 2.0, MFA, SCIM pour le provisionnement automatique
• Gestion des permissions : permissions granulaires par espace de travail, par tableau, par colonne
• Journalisation : journal d’audit des actions (Enterprise)
• Residence des donnees : choix de la region d’hebergement (UE ou US)
• Controle des sessions : duree de session configurable, politiques de mot de passe

Mesures organisationnelles

• Programme de gestion des vulnerabilites
• Tests de penetration reguliers par des auditeurs independants
• Programme de bug bounty (HackerOne)
• Equipe de securite dediee
• Notification des incidents de securite conformement au DPA

Le niveau de securite de Monday.com est satisfaisant et comparable a celui de ses concurrents directs (Asana, Jira). La disponibilite de la residence des donnees UE, de l’ISO 27018 et de la certification DPF sont des atouts. L’ensemble des fonctionnalites de securite avancees sont accessibles sur les plans Enterprise.

Configuration recommandee pour la conformite RGPD

1. Activer la residence des donnees dans l’UE. Configurez l’hebergement des donnees dans l’UE lors de la creation du compte ou via les parametres d’administration. Cette option fixe la localisation des donnees de contenu dans les centres de donnees AWS europeens.

2. Signer et archiver le DPA. Acceptez le DPA de Monday.com disponible en ligne. Conservez une copie datee. Verifiez que le DPA couvre explicitement les fonctionnalites d’IA et la sous-traitance OpenAI.

3. Activer le SSO et le MFA. Configurez le SSO SAML 2.0 via votre fournisseur d’identite. Rendez le MFA obligatoire. Configurez le SCIM pour automatiser la gestion des comptes.

4. Realiser un audit complet des tableaux. C’est l’etape la plus importante et la plus specifique a Monday.com. Passez en revue tous les tableaux de l’espace de travail pour identifier ceux qui contiennent des donnees personnelles. Pour chaque tableau identifie, documentez : les categories de donnees (colonnes), les categories de personnes concernees, la finalite, la base legale, la duree de conservation.

5. Structurer les espaces de travail par niveau de sensibilite. Creez des espaces de travail distincts pour les donnees a haute sensibilite (CRM, RH) et les donnees operationnelles sans donnees personnelles (gestion de projet technique). Configurez les permissions en consequence.

6. Evaluer et configurer Monday AI. Prenez une decision explicite sur l’activation de Monday AI. Si vous l’activez, documentez la chaine de sous-traitance (Monday.com -> OpenAI) dans votre registre, informez les utilisateurs, et evaluez si les donnees des tableaux concernes sont compatibles avec un transfert vers OpenAI. Pour les tableaux CRM ou RH, la desactivation de Monday AI est la position la plus prudente.

7. Encadrer les automatisations. Les automatisations Monday.com peuvent envoyer des donnees vers des services tiers (email, Slack, webhooks). Auditez les automatisations existantes pour identifier celles qui transmettent des donnees personnelles et verifiez que chaque destinataire est un sous-traitant documente.

8. Configurer les formulaires avec information prealable. Si vous utilisez les formulaires Monday.com pour collecter des donnees aupres de personnes externes, assurez-vous que l’information prealable (art. 13 du RGPD) est presentee avant la collecte : identite du responsable, finalite, base legale, duree de conservation, droits des personnes.

9. Definir des politiques de retention par tableau. Monday.com ne propose pas de politique de retention automatisee. Definissez manuellement une politique de retention pour chaque type de tableau contenant des donnees personnelles et prevoyez une procedure periodique de purge.

10. Mettre en place une procedure de reponse aux droits. La variete des donnees dans Monday.com rend la reponse aux droits complexe. Prevoyez comment retrouver toutes les donnees d’une personne a travers l’ensemble des tableaux : elements, colonnes, commentaires, fichiers. L’API Monday.com permet d’automatiser cette recherche. Documentez la procedure et designez un referent.

Points d’attention specifiques

Le “Work OS” : une flexibilite qui complique la conformite

La force de Monday.com est sa flexibilite : n’importe qui peut creer un tableau avec n’importe quelles colonnes. Cette meme flexibilite est un defi RGPD. Un collaborateur du service marketing peut creer en cinq minutes un tableau “Prospects” avec des colonnes nom, email, telephone, entreprise, montant du deal, sans en informer le DPO. Ces tableaux constituent des traitements de donnees personnelles non documentes, non encadres, sans duree de conservation definie. La gouvernance de Monday.com doit inclure des regles claires sur la creation de tableaux contenant des donnees personnelles.

Monday AI et OpenAI : la chaine de sous-traitance

Monday AI utilise OpenAI comme sous-traitant ulterieur. Lorsqu’un utilisateur active une fonctionnalite IA sur un tableau, les donnees de ce tableau peuvent etre transmises a OpenAI pour traitement. Si le tableau contient des donnees personnelles (ce qui est frequemment le cas pour les tableaux CRM ou RH), ces donnees sont envoyees a un sous-traitant ulterieur americain. Cette chaine de sous-traitance doit etre documentee dans le registre, et l’activation de Monday AI sur des tableaux contenant des donnees personnelles sensibles doit faire l’objet d’une evaluation specifique. Les memes precautions que pour Notion AI s’appliquent.

L’utilisation comme CRM : un traitement a part entiere

Monday.com propose un produit “Monday Sales CRM” qui transforme la plateforme en veritable CRM. Ce traitement implique la collecte et le stockage de donnees de prospects et de clients (noms, emails, telephones, historique d’interactions, montants des deals) et doit etre documente comme un traitement specifique dans le registre. La base legale (interet legitime, consentement), les droits des personnes et la duree de conservation doivent etre definis pour ce traitement.

FAQ

Monday.com est-il conforme au RGPD ?

Monday.com fournit les elements contractuels et techniques necessaires a une utilisation conforme : DPA complet, residence des donnees UE, certification DPF, certifications SOC 2, ISO 27001, ISO 27018, chiffrement. La conformite effective depend de votre utilisation de la plateforme : la flexibilite de Monday.com impose une rigueur accrue dans la documentation des traitements, la gestion des permissions et les politiques de retention. La responsabilite incombe au responsable de traitement.

Monday AI est-il compatible avec le RGPD ?

Monday AI peut etre utilise dans un cadre RGPD a condition de documenter la chaine de sous-traitance (Monday.com -> OpenAI), d’informer les utilisateurs, et de s’assurer que les tableaux traites par l’IA ne contiennent pas de donnees personnelles dont le transfert vers OpenAI serait disproportionne. Pour les tableaux CRM ou RH, la desactivation de Monday AI sur ces espaces est recommandee. Pour les tableaux de gestion de projet sans donnees personnelles sensibles, l’utilisation est moins problematique.

Comment documenter les traitements Monday.com dans le registre ?

Etant donne la flexibilite de Monday.com, la documentation dans le registre des traitements doit se faire par usage et non par outil. Si Monday.com est utilise comme CRM, creez une fiche “Gestion de la relation client via Monday.com”. Si Monday.com est utilise pour le suivi RH, creez une fiche “Suivi des collaborateurs via Monday.com”. Chaque fiche doit decrire les colonnes utilisees (categories de donnees), les personnes concernees, la finalite, la base legale et la duree de conservation.

Comment repondre a une demande d’effacement dans Monday.com ?

Pour repondre a une demande d’effacement (art. 17), il faut : identifier toutes les occurrences de la personne dans l’ensemble des tableaux (elements, colonnes, commentaires, fichiers), supprimer ou anonymiser les donnees concernees, verifier les automatisations et les integrations qui auraient pu dupliquer les donnees vers d’autres services. L’API Monday.com permet de rechercher et de modifier les elements par programme. Attention : la corbeille Monday.com conserve les elements supprimes pendant un certain delai. Assurez-vous que les donnees sont definitivement purgees.