Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Notion et RGPD : guide de conformite 2026
RGPD

Notion et RGPD : guide de conformite 2026

Notion est-il conforme au RGPD ? Analyse du DPA, des transferts, de Notion AI et OpenAI, securite et configuration recommandee.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202613 min de lecture
Sommaire
  1. Qualification juridique : Notion comme sous-traitant
  2. Analyse du DPA Notion
  3. Transferts internationaux et analyse d’impact sur les transferts (TIA)
  4. Securite informatique
  5. Configuration recommandee pour la conformite RGPD
  6. Points d’attention specifiques
  7. FAQ

Notion s’est impose en quelques annees comme l’outil de gestion de connaissances et de documentation interne de reference, particulierement dans les startups et les entreprises technologiques francaises. Bases de donnees, wikis, gestion de projet, documentation produit, notes de reunion : Notion concentre une quantite considerable de donnees personnelles dans un espace de travail unique. Depuis le lancement de Notion AI et l’hebergement europeen en 2024, la question de la conformite RGPD de Notion a considerablement evolue.

L’analyse juridique de Notion presente une particularite que Slack et Google Workspace ne partagent pas au meme degre : la chaine de sous-traitance impliquant OpenAI pour les fonctionnalites d’intelligence artificielle. Cette relation de sous-traitance ulterieure cree des obligations de documentation et de transparence specifiques qui meritent une attention particuliere. Ce guide fournit une analyse complete de Notion au regard du RGPD, avec un focus sur cette question de l’IA et de la chaine de sous-traitance.

Pour une vue d’ensemble, consultez notre guide RGPD par outil.

Qualification juridique : Notion comme sous-traitant

Le statut de sous-traitant pour les fonctionnalites principales

Notion Labs Inc. agit en qualite de sous-traitant au sens de l’article 28 du RGPD pour les fonctionnalites principales de la plateforme : pages, bases de donnees, wikis, gestion de projet, commentaires, partage de fichiers. Votre organisation determine les finalites (documentation interne, gestion de projet, base de connaissances) et les moyens essentiels (quels collaborateurs ont acces, quelles donnees sont stockees). Notion fournit l’infrastructure et traite les donnees selon vos instructions.

Cette qualification est claire et ne pose pas de difficulte particuliere pour les fonctionnalites de base. Notion ne decide pas de la maniere dont vous organisez vos donnees – c’est vous qui configurez vos espaces, vos pages et vos bases de donnees.

Notion AI et la chaine de sous-traitance OpenAI

C’est le point juridiquement le plus sensible. Notion AI utilise des modeles de langage pour generer du contenu, resumer des pages, traduire, repondre a des questions sur vos donnees. Pour ce faire, Notion transmet le contenu de vos pages a des sous-traitants ulterieurs, et notamment a OpenAI.

La qualification juridique de cette chaine est la suivante :

  • Votre organisation = responsable de traitement
  • Notion Labs Inc. = sous-traitant
  • OpenAI = sous-traitant ulterieur (sub-processor)

OpenAI traite les donnees sous le DPA de Notion, pas directement sous le votre. Selon la documentation de Notion, sur les plans Enterprise, les donnees traitees par Notion AI ne sont pas utilisees pour l’entrainement des modeles d’IA. Sur les plans inferieurs (Plus, Business), il convient de verifier attentivement les conditions applicables car les engagements peuvent differer.

Cette chaine de sous-traitance doit etre documentee dans votre registre des traitements et mentionnee dans votre politique de confidentialite interne. L’article 28(2) du RGPD exige que le sous-traitant (Notion) obtienne l’autorisation du responsable de traitement pour faire appel a un sous-traitant ulterieur (OpenAI).

Autres sous-traitants ulterieurs

Au-dela d’OpenAI, Notion fait appel a plusieurs sous-traitants ulterieurs pour son infrastructure :

  • Amazon Web Services (AWS) – hebergement de l’infrastructure (y compris le centre de donnees de Francfort pour l’UE)
  • Snowflake – analyse de donnees
  • Datadog – monitoring et observabilite

Chacun de ces prestataires doit etre documente et leur conformite evaluee dans le cadre de votre obligation de diligence.

Analyse du DPA Notion

Le DPA de Notion est disponible en ligne et s’applique aux clients des plans payants. Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD Couverture dans le DPA Notion Evaluation
Objet, duree, nature et finalite du traitement Definis dans le DPA et les conditions de service Conforme
Types de donnees et categories de personnes Decrits dans l’annexe au DPA Conforme
Instructions documentees du responsable Traitement sur instructions documentees Conforme
Confidentialite du personnel Engagement de confidentialite pour le personnel Notion Conforme
Mesures de securite (Art. 32) Mesures techniques et organisationnelles decrites dans l’annexe securite Conforme
Sous-traitants ulterieurs Liste publiee avec mecanisme de notification et d’objection Conforme
Assistance pour les droits des personnes Engagement d’assistance dans le DPA Conforme
Suppression ou restitution en fin de contrat Suppression des donnees apres resiliation Conforme
Droit d’audit Prevu dans le DPA (via rapports SOC 2 et possibilite d’audit) Conforme
Information en cas d’instruction contrevenant au RGPD Prevu dans le DPA Conforme

Le DPA de Notion a considerablement muri ces dernieres annees, passant d’un document minimaliste a un cadre contractuel solide. Le point fort est la transparence sur les sous-traitants ulterieurs, avec une liste publique regulierement mise a jour. Le point de vigilance concerne la couverture specifique de Notion AI dans le DPA : verifiez que les conditions de traitement par Notion AI (et par extension OpenAI) sont explicitement couvertes par les clauses de sous-traitance ulterieure.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des donnees

Notion Labs Inc. est une societe americaine basee a San Francisco. Historiquement, toutes les donnees etaient hebergees aux Etats-Unis. Depuis 2024, Notion propose un hebergement europeen via AWS Francfort pour les espaces de travail qui en font le choix. Cette evolution est significative pour les entreprises francaises.

Cependant, il faut distinguer :

  • Donnees de l’espace de travail (pages, bases de donnees, fichiers) : peuvent etre hebergees en UE
  • Donnees de Notion AI : transitent potentiellement par les serveurs d’OpenAI aux Etats-Unis
  • Donnees de compte (informations d’inscription, facturation) : restent aux Etats-Unis
  • Metadonnees de service (logs, analytics internes) : peuvent etre traitees aux Etats-Unis

Mecanismes de transfert

Pour les transferts vers les Etats-Unis, Notion s’appuie sur :

  1. EU-US Data Privacy Framework (DPF). Notion Labs Inc. est certifiee au DPF, ce qui fournit une base legale pour les transferts de donnees vers les Etats-Unis.

  2. Clauses contractuelles types (CCT). Le DPA integre les CCT 2021 comme mecanisme supplementaire.

La question specifique des transferts lies a Notion AI

L’utilisation de Notion AI ajoute un niveau de complexite aux transferts. Lorsque Notion AI est active :

  • Les donnees de vos pages sont transmises a OpenAI pour traitement
  • OpenAI est une societe americaine (San Francisco)
  • OpenAI figure sur la liste des sous-traitants ulterieurs de Notion
  • Le transfert est couvert par le DPA de Notion et les CCT/DPF

Votre TIA doit documenter specifiquement ce flux : les donnees transitent de votre espace Notion (potentiellement heberge en UE) vers les serveurs d’OpenAI aux Etats-Unis pour traitement par les modeles de langage, puis les resultats sont renvoyes dans Notion.

Conduite de la TIA

Les elements a evaluer :

  • Cadre juridique americain. FISA Section 702, EO 12333, avec les garanties de l’EO 14086 dans le cadre du DPF. Tant Notion qu’OpenAI sont des entreprises americaines soumises a ces regimes.
  • Nature des donnees. Notion stocke souvent des donnees structurees (bases de donnees de contacts, CRM internes, suivi de candidatures, notes de reunion). La sensibilite peut etre elevee.
  • Mesures supplementaires. Chiffrement en transit et au repos. L’hebergement UE reduit l’exposition pour les donnees au repos. Pour les donnees traitees par Notion AI, le chiffrement en transit vers OpenAI est assure mais les donnees sont necessairement accessibles en clair pendant le traitement par le modele.

Securite informatique

Notion a significativement renforce son dispositif de securite ces dernieres annees, en partie pour repondre aux exigences de ses clients entreprises.

Certifications et audits

  • SOC 2 Type II – audit independant des controles de securite et disponibilite
  • ISO 27001 – certification du systeme de management de la securite

Mesures techniques

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : AES-256 via AWS
  • Authentification : support SAML 2.0 / SSO (plans Business et Enterprise), authentification a deux facteurs (2FA)
  • Gestion des permissions : permissions granulaires par espace, page et base de donnees
  • Journalisation : journal d’audit des actions dans l’espace de travail (Enterprise)
  • SCIM : provisionnement et deprovisionnement automatique des comptes (Enterprise)

Mesures organisationnelles

  • Programme de gestion des vulnerabilites
  • Programme de bug bounty
  • Tests de penetration reguliers
  • Notification des incidents de securite conformement au DPA

Le niveau de securite de Notion est correct pour un usage professionnel standard. Il reste neanmoins en retrait par rapport a des acteurs comme Google Workspace ou Slack sur certains points : pas de chiffrement cote client (les donnees sont accessibles a Notion), pas d’option de gestion des cles par le client, et un nombre de certifications plus limite. Pour les donnees hautement sensibles, cette limitation doit etre prise en compte.

Configuration recommandee pour la conformite RGPD

  1. Activer l’hebergement europeen. Depuis 2024, Notion propose le stockage des donnees en UE (AWS Francfort). Activez cette option dans les parametres de l’espace de travail. Pour les espaces existants, une migration est possible via les parametres du plan.

  2. Signer et archiver le DPA. Acceptez le DPA de Notion disponible en ligne. Conservez une copie datee dans votre documentation RGPD. Verifiez que le DPA couvre explicitement Notion AI si vous utilisez cette fonctionnalite.

  3. Configurer le SSO et le 2FA. Sur les plans Business et Enterprise, activez le SSO SAML 2.0 via votre fournisseur d’identite. Rendez le 2FA obligatoire pour tous les utilisateurs. Configurez le SCIM pour automatiser le provisionnement et le deprovisionnement des comptes.

  4. Evaluer et configurer Notion AI. Prenez une decision explicite sur l’activation de Notion AI. Si vous l’activez, documentez le traitement dans votre registre, incluez OpenAI dans votre chaine de sous-traitance, et informez les utilisateurs. Si les donnees traitees sont trop sensibles pour etre envoyees a OpenAI, desactivez Notion AI.

  5. Structurer les permissions. Configurez les espaces de travail avec une logique de moindre privilege : les pages contenant des donnees personnelles (RH, recrutement, donnees clients) doivent avoir des permissions restreintes. Utilisez les groupes d’utilisateurs pour gerer les acces par equipe.

  6. Auditer les bases de donnees contenant des donnees personnelles. Notion est souvent utilise comme CRM leger, outil de suivi de candidatures ou base de contacts. Identifiez toutes les bases de donnees contenant des donnees personnelles et documentez-les dans votre registre des traitements.

  7. Definir une politique de retention. Notion ne propose pas de politique de retention automatisee comparable a Google Vault ou aux politiques de retention Slack. La suppression des donnees obsoletes doit etre geree manuellement ou via l’API. Definissez une procedure periodique de revue et de purge.

  8. Restreindre le partage externe. Configurez les parametres de partage pour eviter que les pages contenant des donnees personnelles soient partagees publiquement (option “Share to Web”). Restreignez les invitations d’externes au niveau administrateur.

  9. Mettre a jour la documentation interne. Mettez a jour votre charte informatique pour inclure les regles d’utilisation de Notion : types de donnees autorises, interdiction de stocker certaines categories de donnees sensibles, regles de partage, information sur Notion AI.

  10. Mettre en place une procedure de reponse aux droits. Prevoyez comment localiser et extraire les donnees d’une personne dans Notion pour repondre a une demande d’acces (art. 15), d’effacement (art. 17) ou de portabilite (art. 20). L’API Notion peut etre utilisee pour automatiser partiellement ces extractions.

Points d’attention specifiques

La chaine Notion AI / OpenAI : le noeud juridique

C’est le point le plus critique pour la conformite RGPD de Notion. Lorsqu’un utilisateur sollicite Notion AI, le contenu de la page (ou les pages referencees pour une recherche) est envoye a OpenAI pour traitement. Cela signifie :

  • Des donnees personnelles potentiellement presentes dans vos pages sont transmises a un sous-traitant ulterieur americain
  • Le traitement par le modele de langage necessite un acces en clair aux donnees
  • Sur les plans Enterprise, OpenAI s’engage a ne pas utiliser ces donnees pour l’entrainement. Sur les plans inferieurs, cette garantie merite verification
  • La liste des sous-traitants ulterieurs de Notion peut evoluer (changement de fournisseur d’IA)

Pour les entreprises traitant des donnees sensibles via Notion, la desactivation de Notion AI est la position la plus prudente. Pour les autres, l’activation doit etre accompagnee d’une documentation rigoureuse et d’une information claire aux utilisateurs.

Les bases de donnees Notion : un CRM sauvage

Notion est frequemment utilise comme CRM informel, outil de recrutement, ou base de contacts. Des bases de donnees contenant noms, emails, numeros de telephone, notes d’entretien, evaluations de candidats se multiplient dans les espaces de travail sans que personne ne les ait documentes dans le registre des traitements. Chaque base de donnees contenant des donnees personnelles constitue un traitement au sens du RGPD et doit etre identifiee et documentee.

L’absence de politique de retention automatisee

Contrairement a Slack (politiques de retention configurables) et Google Workspace (Google Vault), Notion ne propose pas de mecanisme automatise de suppression des donnees apres une duree determinee. La conformite au principe de limitation de conservation repose donc entierement sur des procedures manuelles. C’est une faiblesse structurelle que l’administrateur doit compenser par des processus internes rigoureux.

FAQ

Notion est-il conforme au RGPD ?

Notion fournit les elements contractuels et techniques de base pour une utilisation conforme : DPA, hebergement UE, certifications SOC 2 et ISO 27001, chiffrement. La conformite effective depend de votre configuration et surtout de votre decision concernant Notion AI. Un Notion avec l’hebergement UE active, le SSO configure, les permissions structurees et Notion AI desactive (ou active avec documentation complete) peut etre utilise de maniere conforme. La responsabilite incombe au responsable de traitement.

Notion AI est-il compatible avec le RGPD ?

Notion AI peut etre utilise dans un cadre RGPD a condition de documenter rigoureusement la chaine de sous-traitance (Notion -> OpenAI), de verifier que le DPA couvre ce traitement, d’informer les utilisateurs, et de s’assurer que les donnees les plus sensibles ne sont pas traitees par l’IA. Sur les plans Enterprise, l’engagement de non-utilisation des donnees pour l’entrainement apporte une garantie supplementaire. Pour les organisations traitant des donnees sensibles (sante, judiciaire, secret professionnel), la desactivation de Notion AI est recommandee.

Faut-il realiser une AIPD pour Notion ?

Une analyse d’impact est recommandee dans les cas suivants : utilisation de Notion comme base de donnees RH ou de recrutement a grande echelle, activation de Notion AI sur des donnees sensibles, utilisation de Notion pour le suivi de patients ou de clients dans un contexte juridique ou medical. Pour un usage standard de gestion de projet et de documentation technique, l’AIPD n’est pas formellement requise mais reste une bonne pratique si Notion AI est active, compte tenu de la chaine de sous-traitance OpenAI.

Comment supprimer les donnees d’une personne dans Notion ?

Notion ne propose pas de fonctionnalite native de suppression globale des donnees d’une personne (contrairement a un CRM classique). Pour repondre a une demande d’effacement (art. 17), il faut : identifier toutes les pages et bases de donnees contenant des donnees de la personne (en utilisant la recherche), supprimer manuellement les entrees concernees, vider la corbeille de l’espace de travail (les pages supprimees restent 30 jours dans la corbeille). Pour les espaces volumineux, l’API Notion peut aider a automatiser la recherche. Documentez la procedure et le delai de traitement dans votre registre.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min