Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Qonto et RGPD : guide de conformité 2026

Qonto est-il conforme au RGPD ? Statut de responsable de traitement, KYC/LCB-FT, hébergement, durées de conservation et droits des personnes décryptés.

Qonto équipe aujourd’hui plus de 600 000 entreprises en Europe et a déposé en 2026 une demande de licence bancaire pour devenir établissement de crédit. Si vous pilotez vos comptes professionnels sur Qonto, vous confiez à un tiers vos flux financiers, l’identité de vos dirigeants et de vos bénéficiaires effectifs, les coordonnées de vos salariés porteurs de cartes et de vos fournisseurs. La question de la conformité au RGPD n’a donc rien de théorique.

Mais attention : Qonto n’est pas un SaaS comme les autres. Contrairement à un outil tel que Slack ou Notion, qui agit en simple sous-traitant, Qonto est un établissement de paiement agréé par l’ACPR. Ce statut change radicalement l’analyse RGPD — et c’est précisément ce que beaucoup d’entreprises ignorent. Voici ce qu’il faut comprendre, et ce qu’il faut faire.

Pour une vue d’ensemble de la conformité des outils SaaS, consultez notre guide RGPD par outil.

Qualification juridique : Qonto n’est pas votre sous-traitant

Établissement de paiement = responsable de traitement

C’est le point le plus important de cette analyse, et le plus souvent mal compris. La plupart des logiciels que vous utilisez (CRM, comptabilité, messagerie) agissent comme sous-traitants au sens de l’article 28 du RGPD : ils traitent vos données selon vos instructions. Qonto, lui, agit principalement comme responsable de traitement autonome au sens de l’article 4(7).

Pourquoi ? Parce que Qonto (édité par la société OLINDA SAS, agréée par l’Autorité de contrôle prudentiel et de résolution) ne traite pas vos données « pour votre compte ». Il les traite pour exécuter ses propres obligations légales et son propre service bancaire : ouvrir un compte, vérifier l’identité du titulaire, surveiller les transactions, déclarer les opérations suspectes. C’est Qonto, et non vous, qui détermine les finalités et les moyens essentiels de ces traitements. Sa politique de confidentialité le confirme d’ailleurs explicitement : OLINDA SAS s’y présente comme responsable du traitement.

La conséquence pratique est nette : vous ne signez pas, et vous n’avez pas à exiger, un contrat de sous-traitance (DPA) avec Qonto pour le cœur du service bancaire. La relation est une relation entre deux responsables de traitement distincts. Vous êtes responsable de traitement pour vos propres finalités (gérer la trésorerie de l’entreprise, attribuer des cartes à vos salariés) ; Qonto est responsable de traitement pour le service de paiement qu’il fournit. Cette distinction, que j’observe régulièrement mal maîtrisée en audit, conditionne toute la suite.

Une zone de sous-traitance résiduelle

La réalité est rarement binaire. Pour certaines fonctionnalités périphériques — par exemple lorsque Qonto héberge des documents que vous y déposez, ou via sa brique de gestion comptable issue du rachat de Regate — une logique de sous-traitance peut réapparaître. Mais pour l’essentiel des données bancaires et d’identification, retenez la règle : Qonto est un responsable de traitement indépendant. C’est ce qui le rapproche d’un acteur comme Stripe sur le volet paiement, et l’éloigne d’un outil de productivité classique.

KYC et LCB-FT : la finalité qui domine tout

Pourquoi Qonto collecte autant de données

Qonto est soumis aux obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT), encadrées par le code monétaire et financier (articles L561-1 et suivants) sous le contrôle de l’ACPR. Ces obligations imposent une vigilance renforcée : vérification de l’identité (KYC, know your customer), identification des bénéficiaires effectifs, surveillance continue des opérations, et déclaration des soupçons à Tracfin.

Concrètement, Qonto collecte et conserve des données particulièrement sensibles sur le plan personnel :

  • Données d’identité : pièce d’identité des dirigeants et bénéficiaires effectifs, justificatifs de domicile, Kbis, statuts.
  • Données financières : relevés de compte, IBAN, transactions, bénéficiaires de virements.
  • Données comportementales : profil de risque, alertes de détection automatisée des transactions atypiques.

La base légale de ces traitements n’est pas votre consentement, ni le contrat : c’est l’obligation légale au sens de l’article 6(1)© du RGPD, combinée à l’intérêt public de la lutte anti-blanchiment. C’est un raisonnement que je développe en détail dans notre analyse dédiée aux données personnelles et dispositif LCB-FT.

Le point aveugle : blocage de compte et secret de la déclaration de soupçon

Voici un point pratique que peu d’articles abordent. Lorsque Qonto gèle un compte pour des raisons LCB-FT, le titulaire se heurte souvent à un mur : impossible d’obtenir une explication. Ce n’est pas de la mauvaise volonté. L’article L561-19 du code monétaire et financier impose la confidentialité de la déclaration de soupçon : l’établissement a l’interdiction légale d’informer la personne concernée qu’une déclaration a été transmise à Tracfin.

Cela crée une limite au droit d’accès de l’article 15 du RGPD : Qonto peut légitimement refuser de communiquer certaines informations liées à la surveillance LCB-FT. C’est une exception prévue par le droit de l’Union et le droit national, et non un manquement au RGPD. Le comprendre évite bien des incompréhensions côté dirigeant.

Hébergement et transferts hors UE

Qonto est une société française et met en avant un hébergement des données au sein de l’Union européenne, une certification de sécurité ISO 27001 et le recours à des protocoles d’échange sécurisés. Tant que les données restent dans l’Espace économique européen, il n’y a pas de transfert hors UE au sens du chapitre V du RGPD.

Comme tout établissement moderne, Qonto s’appuie néanmoins sur une chaîne de prestataires techniques (hébergement cloud, anti-fraude, support, outils d’analyse). En tant que responsable de traitement, c’est à Qonto qu’il revient d’encadrer cette chaîne et, le cas échéant, de couvrir les transferts par des clauses contractuelles types assorties de mesures additionnelles. Pour les organisations les plus exposées (secteur public, données très sensibles), la question des qualifications comme SecNumCloud mérite d’être posée à l’éditeur ; à ce jour, Qonto met en avant ISO 27001 sans revendiquer systématiquement cette qualification souveraine. Vérifiez ce point dans la documentation contractuelle si la souveraineté est un critère pour vous.

Sécurité : une responsabilité partagée malgré tout

Même si Qonto est responsable de traitement, votre part de sécurité reste entière au titre de l’article 32 du RGPD. Qonto sécurise son infrastructure ; vous sécurisez vos accès et vos usages. Concrètement :

  • Gestion des comptes utilisateurs : un accès nominatif par collaborateur, suppression immédiate lors des départs, application du principe du moindre privilège (un commercial n’a pas à consulter l’ensemble des relevés).
  • Authentification forte : activer la double authentification (MFA), proscrire le partage d’identifiants. La CNIL a précisé ses attentes en la matière dans sa délibération n° 2022-100 du 21 juillet 2022.
  • Encadrement interne : une charte informatique opposable aux salariés ayant accès aux outils financiers.

En cas de violation affectant Qonto, c’est à l’établissement, en sa qualité de responsable de traitement, d’apprécier l’obligation de notification à la CNIL sous 72 heures prévue par l’article 33. Mais si la fuite provient de votre côté (compte compromis, exfiltration interne), l’obligation pèse sur vous. Pour aller plus loin, consultez notre guide sur la gestion des violations de données.

Durées de conservation : la règle des 5 ans LCB-FT

Sur le terrain des durées de conservation, Qonto obéit à un régime spécifique qui prime sur la logique de minimisation classique. Les données d’identification et les pièces KYC doivent être conservées 5 ans après la fin de la relation d’affaires (article L561-12 du code monétaire et financier), de même que les éléments relatifs aux opérations. Cette obligation légale constitue une base solide au sens de l’article 5(1)(e) : Qonto ne peut pas, et ne doit pas, effacer ces données à la simple demande de l’utilisateur.

De votre côté, n’oubliez pas que les données que vous exportez de Qonto (relevés, justificatifs) entrent dans votre propre politique de conservation et doivent figurer à votre registre des activités de traitement au titre de l’article 30. Notre guide sur les durées de conservation détaille les principaux délais à articuler.

Droits des personnes : ce que vous pouvez (et ne pouvez pas) demander

Le statut de responsable de traitement de Qonto a une conséquence directe sur l’exercice des droits. Vos salariés porteurs de cartes, vos dirigeants, vos bénéficiaires effectifs peuvent adresser leurs demandes (accès, rectification, portabilité) directement à Qonto, et non par votre intermédiaire, pour les données que l’établissement traite en propre.

Deux limites structurantes encadrent toutefois ces droits. D’abord, le droit à l’effacement de l’article 17 cède devant l’obligation de conservation LCB-FT de 5 ans : on ne peut exiger la suppression de données que la loi impose de garder. Ensuite, comme évoqué, le secret de la déclaration de soupçon restreint le droit d’accès sur le volet surveillance anti-blanchiment. Ces restrictions sont prévues par les textes et ne traduisent aucune non-conformité.

Facturation électronique : l’angle 2026

Qonto s’est positionné, comme Pennylane, sur la réforme de la facturation électronique en s’immatriculant comme Plateforme Agréée (PA, l’ancienne appellation « Plateforme de Dématérialisation Partenaire » ou PDP) auprès de l’administration fiscale. À compter du 1er septembre 2026, toutes les entreprises devront pouvoir recevoir des factures électroniques, les grandes entreprises et ETI devant les émettre via une plateforme agréée (obligation étendue aux PME et TPE au 1er septembre 2027).

Du point de vue du RGPD, cette activité ajoute une finalité : la transmission de données de facturation à la DGFiP (e-invoicing) et de certaines données de transaction au titre du e-reporting. Pensez à intégrer cette transmission dans vos mentions d’information au titre de l’article 13 et à inscrire le traitement correspondant à votre registre.

Ce qu’il faut retenir

  • Qonto est responsable de traitement, pas sous-traitant : pour le cœur du service bancaire, vous ne signez pas de DPA — vous êtes deux responsables de traitement indépendants au sens de l’article 4(7).
  • La LCB-FT domine : la collecte massive de données KYC repose sur l’obligation légale (article 6(1)©) et la lutte anti-blanchiment, pas sur votre consentement.
  • Le blocage de compte a une explication juridique : le secret de la déclaration de soupçon (art. L561-19 CMF) limite légalement le droit d’accès.
  • Conservation de 5 ans : les pièces KYC sont conservées 5 ans après la fin de la relation, ce qui fait obstacle au droit à l’effacement.
  • La sécurité reste partagée : Qonto sécurise l’infrastructure (ISO 27001), mais le MFA et la gestion des accès relèvent de vous (article 32).

FAQ

Qonto est-il conforme au RGPD ?

Qonto, en tant qu’établissement de paiement agréé par l’ACPR, présente les garanties attendues : hébergement européen, certification ISO 27001, base légale claire pour ses traitements KYC/LCB-FT. Sa conformité en tant que responsable de traitement n’exonère cependant pas la vôtre : vous restez responsable de la sécurité de vos accès, de l’information de vos salariés et de la tenue de votre registre.

Faut-il signer un DPA (contrat de sous-traitance) avec Qonto ?

Non, pas pour le service bancaire. Qonto agit comme responsable de traitement autonome, et non comme sous-traitant au sens de l’article 28. La relation est une relation entre deux responsables de traitement distincts, qui ne nécessite pas de contrat de sous-traitance pour le cœur de l’activité de paiement.

Pourquoi Qonto peut-il bloquer un compte sans s’expliquer ?

Parce que les obligations LCB-FT lui imposent de surveiller les opérations et de déclarer les soupçons à Tracfin. L’article L561-19 du code monétaire et financier interdit à l’établissement de révéler l’existence d’une déclaration de soupçon. Cette confidentialité limite légitimement le droit d’accès sur ce point précis ; ce n’est pas une violation du RGPD.

Combien de temps Qonto conserve-t-il mes données ?

Les données d’identification (KYC) et les éléments relatifs aux opérations sont conservés 5 ans après la fin de la relation d’affaires, conformément à l’article L561-12 du code monétaire et financier. Cette obligation légale fait obstacle à une demande d’effacement anticipée pour ces données.


Recevez nos analyses conformité chaque semaine. Décryptages RGPD, décisions CNIL, échéances réglementaires : abonnez-vous à notre newsletter pour garder une longueur d’avance.