RGPD et outils : guide de conformite par logiciel
Votre CRM, vos emails, votre cloud sont-ils conformes au RGPD ? Analyse juridique outil par outil : transferts, DPA, configuration, alternatives.
- Les 5 criteres d’evaluation RGPD d’un outil
- CRM et gestion commerciale
- Email marketing et newsletter
- Outils collaboratifs et visioconference
- Analytics et mesure d’audience
- E-commerce et paiement
- Cloud et infrastructure
- Intelligence artificielle
- RH et paie
- Publicite en ligne
- Comptabilite
- Signature electronique
- Gestion de projet
- Support client
- Comment auditer votre stack technique
- FAQ
Chaque outil que vous utilisez au quotidien – CRM, messagerie, visioconference, analytics, paiement en ligne, stockage cloud – traite des donnees personnelles pour votre compte. En droit, cela fait de vous un responsable de traitement et de l’editeur un sous-traitant au sens de l’article 28 du RGPD. Vous etes donc juridiquement tenu de verifier que chaque outil respecte le cadre reglementaire.
En pratique, cette verification est rarement faite de maniere systematique. Resultat : des transferts hors UE non encadres, des DPA jamais signes, des parametrages par defaut non conformes, et une documentation de conformite pleine de trous.
Ce guide analyse les principaux outils utilises par les entreprises francaises sous l’angle du RGPD. Pour chaque categorie, nous examinons les points critiques de conformite et fournissons une grille d’evaluation factuelle. L’objectif est simple : vous permettre de savoir, outil par outil, ou vous en etes et ce qu’il faut corriger.
Les 5 criteres d’evaluation RGPD d’un outil
Avant d’examiner chaque categorie, voici la grille d’analyse que nous appliquons systematiquement a chaque outil. Ces criteres decoulent directement des obligations du RGPD et de la jurisprudence de la CNIL.
1. Localisation du traitement et transferts hors UE
L’article 44 du RGPD interdit le transfert de donnees personnelles vers un pays tiers en l’absence de garanties appropriees. Pour les outils americains, le EU-US Data Privacy Framework (DPF) fournit une base legale depuis juillet 2023, mais sa perennite reste incertaine (recours NOYB devant la CJUE). Pour les outils dont les serveurs sont situes hors UE et hors DPF, des clauses contractuelles types (CCT) sont necessaires.
Ce qu’il faut verifier : ou sont physiquement stockees les donnees ? L’editeur est-il certifie DPF (pour les entreprises americaines) ? Des CCT sont-elles en place ? Des mesures supplementaires (chiffrement, pseudonymisation) sont-elles deployees ?
2. Contrat de sous-traitance (DPA)
L’article 28 du RGPD impose un contrat ecrit entre le responsable de traitement et chaque sous-traitant. Ce contrat – souvent appele DPA (Data Processing Agreement) ou addendum relatif au traitement des donnees – doit preciser l’objet, la duree, la nature et la finalite du traitement, le type de donnees et les categories de personnes concernees.
Ce qu’il faut verifier : l’editeur propose-t-il un DPA ? Est-il conforme aux exigences de l’article 28 ? Couvre-t-il les sous-traitants ulterieurs ? Prevoit-il des audits ?
3. Minimisation et parametrage par defaut
Le principe de minimisation (article 5(1)©) et le privacy by default (article 25(2)) imposent que l’outil ne collecte que les donnees strictement necessaires et que les parametres par defaut soient les plus protecteurs. En pratique, la plupart des outils SaaS activent par defaut des fonctionnalites intrusives (tracking cross-site, enrichissement de donnees, partage avec des tiers).
Ce qu’il faut verifier : quels parametres sont actives par defaut ? Peut-on desactiver la collecte de donnees non essentielles ? L’outil envoie-t-il des donnees a des tiers (analytics, publicite, IA) ?
4. Durees de conservation et suppression
L’article 5(1)(e) impose la limitation de la conservation. L’outil doit permettre de configurer des durees de retention et de supprimer effectivement les donnees a l’expiration.
Ce qu’il faut verifier : peut-on definir des durees de conservation ? La suppression est-elle effective (y compris dans les sauvegardes) ? Que se passe-t-il a la resiliation du contrat ?
5. Droits des personnes
Les articles 15 a 22 du RGPD conferent aux personnes concernees des droits (acces, rectification, effacement, portabilite, opposition). L’outil doit permettre au responsable de traitement de repondre a ces demandes dans le delai d’un mois.
Ce qu’il faut verifier : l’outil permet-il d’exporter les donnees d’une personne ? De les supprimer unitairement ? De rectifier une information ? De gerer les demandes d’opposition ?
CRM et gestion commerciale
Les CRM contiennent le coeur des donnees clients et prospects : identite, coordonnees, historique d’interactions, scoring, notes commerciales. C’est souvent le premier outil a auditer car il concentre le plus de donnees personnelles et le plus de risques (prospection non consentie, durees de conservation excessives, partage avec des outils tiers).
Points critiques RGPD des CRM
- Base legale de la prospection. En B2C, le consentement prealable est requis (art. 82 loi Informatique et Libertes). En B2B, l’interet legitime peut suffire si l’objet du message est en rapport avec l’activite professionnelle du destinataire, mais le droit d’opposition doit etre garanti a chaque envoi.
- Enrichissement de donnees. Certains CRM proposent des fonctionnalites d’enrichissement automatique (Clearbit, ZoomInfo). Ces pratiques doivent etre analysees au regard de la collecte loyale et de l’obligation d’information (art. 14).
- Transferts vers les Etats-Unis. HubSpot, Salesforce et Pipedrive hebergent des donnees sur des serveurs americains. Le DPF couvre ces transferts, mais des mesures supplementaires sont recommandees.
- Integrations tierces. Un CRM connecte a un outil de marketing automation, un ERP ou une plateforme publicitaire multiplie les flux de donnees. Chaque integration doit etre documentee dans le registre des traitements.
| Critere | HubSpot | Salesforce | Pipedrive | Zoho CRM |
|---|---|---|---|---|
| Siege | Cambridge, USA | San Francisco, USA | New York, USA | Chennai, Inde + UE |
| Hebergement UE disponible | Oui (Francfort) | Oui (Francfort, Paris) | Oui (Francfort) | Oui (Amsterdam) |
| DPA disponible | Oui, automatique | Oui, dans le contrat | Oui, en ligne | Oui, en ligne |
| Certifie DPF | Oui | Oui | Oui | Non applicable (option UE) |
| Suppression a la resiliation | 90 jours | 120 jours | 60 jours | 120 jours |
| Export donnees unitaire | Oui (API + interface) | Oui (API) | Oui (interface) | Oui (API + interface) |
| Sous-traitants ulterieurs | Liste publique, notification | Liste publique, notification | Liste publique | Liste publique |
Pour une analyse detaillee de chaque CRM, consultez nos guides dedies : HubSpot et RGPD, Salesforce et RGPD, Pipedrive et RGPD.
Email marketing et newsletter
L’email marketing est l’un des domaines ou le RGPD a le plus d’impact operationnel. La distinction entre opt-in et opt-out, la gestion du consentement, les mentions obligatoires dans chaque email, et le transfert des listes d’abonnes vers des plateformes americaines sont autant de points de friction quotidiens.
Points critiques RGPD de l’email marketing
- Consentement et double opt-in. La CNIL recommande le double opt-in pour la prospection B2C. En B2B, le soft opt-in est tolere pour les produits analogues, mais l’information et le droit d’opposition restent obligatoires. Consultez notre guide sur la conformite newsletter RGPD.
- Transferts. Mailchimp (Intuit) et ActiveCampaign hebergent principalement aux USA. Brevo, entreprise francaise, heberge en UE – un argument de poids.
- Listes et segmentation. Le profilage (scoring, segmentation comportementale) constitue un traitement au sens de l’article 4(4) du RGPD. S’il produit des effets juridiques ou significatifs, l’article 22 s’applique.
| Critere | Brevo (ex-Sendinblue) | Mailchimp | Sendy |
|---|---|---|---|
| Siege | Paris, France | Atlanta, USA | Auto-heberge (votre serveur) |
| Hebergement | UE (OVH) | USA + UE (AWS) | Votre infra + Amazon SES |
| DPA | Oui, automatique | Oui, en ligne | Non necessaire (vous etes RT). DPA Amazon SES requis. |
| Certifie DPF | Non applicable (UE) | Oui (Intuit) | Non applicable (auto-heberge) |
| Double opt-in natif | Oui | Oui | Oui |
| Suppression contacts | Immediate | 30 jours | Immediate (votre base de donnees) |
| Sous-traitants UE | Oui (principalement) | Non (AWS US, GCP US) | Aucun (sauf SES pour l’envoi) |
| Souverainete donnees | Partielle (SaaS francais) | Non | Totale (vous controlez tout) |
Pour approfondir : Brevo et RGPD, Mailchimp et RGPD, Sendy et RGPD, Email marketing et RGPD.
Outils collaboratifs et visioconference
La generalisation du teletravail a fait de Slack, Teams, Zoom et Google Workspace des outils critiques qui traitent des volumes considerables de donnees : messages, fichiers partages, enregistrements de reunions, metadonnees de connexion.
Points critiques RGPD des outils collaboratifs
- Conservation des messages. La plupart des outils conservent les messages indefiniment par defaut. Il faut configurer des politiques de retention alignees sur vos durees de conservation.
- Enregistrement des reunions. L’enregistrement d’une visioconference constitue un traitement de donnees personnelles (voix, image). Le consentement des participants est requis, et l’information prealable obligatoire.
- Fonctionnalites IA. Les nouvelles fonctionnalites d’IA (resumes automatiques, transcription) impliquent souvent le transfert de donnees vers des serveurs tiers. Microsoft Copilot, Google Gemini et Slack AI traitent le contenu des messages pour generer des reponses – ce qui souleve des questions de finalite et de sous-traitance.
- Charte informatique. L’utilisation de ces outils doit etre encadree par une charte informatique precisant les regles d’usage, les mesures de surveillance et les droits des salaries.
| Critere | Microsoft Teams | Slack | Zoom | Google Workspace |
|---|---|---|---|---|
| Siege | Redmond, USA | San Francisco, USA | San Jose, USA | Mountain View, USA |
| Hebergement UE | Oui (data residency) | Oui (Francfort, option) | Oui (Francfort, option) | Oui (data regions) |
| DPA | Oui (DPA Microsoft) | Oui, automatique | Oui, en ligne | Oui (DPA Google Cloud) |
| Certifie DPF | Oui | Oui (Salesforce) | Oui | Oui |
| Retention configurable | Oui (politique retention) | Oui (plan Enterprise) | Oui (plan Business+) | Oui (Vault) |
| IA et donnees | Copilot : traitement dans le tenant | Slack AI : donnees restent dans Slack | AI Companion : opt-in | Gemini : opt-in par admin |
| Chiffrement E2E | Non par defaut | Non par defaut | Oui (option) | Non par defaut |
Pour approfondir : Slack et RGPD, Google Workspace et RGPD, Notion et RGPD.
Analytics et mesure d’audience
L’utilisation de Google Analytics en France a fait l’objet de multiples mises en demeure de la CNIL. La question n’est pas resolue par le DPF : les obligations de consentement pour les cookies demeurent, et la CNIL maintient que GA4 ne beneficie pas de l’exemption de consentement reservee aux outils de mesure strictement necessaires.
Points critiques RGPD de l’analytics
- Consentement cookies. Les traceurs de mesure d’audience non exempts (GA4, Hotjar, Mixpanel) necessitent le consentement prealable de l’utilisateur (art. 82 loi Informatique et Libertes). Seuls les outils configures conformement aux conditions de la CNIL (finalite limitee, pas de recoupement, pas de transfert) peuvent etre exempts. Consultez notre guide sur les cookies et RGPD.
- Perte de donnees liee au consentement. Avec des taux de consentement cookies de 40-70% en France, les outils dependants du consentement perdent 30-60% du trafic mesure. Le server-side tracking reduit cette perte mais ne l’elimine pas.
- Alternatives conformes. Matomo (auto-heberge, exemption CNIL possible), Plausible (UE, pas de cookies) et AT Internet/Piano (francais, exemption CNIL) sont des alternatives a considerer.
| Critere | Google Analytics 4 | Matomo (auto-heberge) | Plausible | AT Internet / Piano |
|---|---|---|---|---|
| Siege | USA | Nouvelle-Zelande (auto-heberge : votre serveur) | Estonie, UE | France |
| Transfert hors UE | Oui (USA) | Non (votre infra) | Non (UE) | Non (France) |
| Consentement requis | Oui (traceurs non exempts) | Non si configure conformement | Non (pas de cookies) | Non si configure conformement |
| DPA | Oui (DPA Google) | Non necessaire (RT = vous) | Oui, en ligne | Oui |
| Donnees partagees | Google Ads, benchmarking | Non | Non | Non |
| Precision sans consentement | ~40-70% du trafic | ~100% | ~100% | ~100% |
Pour approfondir : GA4 et RGPD, Google Analytics et RGPD, Google Tag Manager et RGPD.
E-commerce et paiement
Les plateformes e-commerce et les processeurs de paiement traitent les donnees les plus sensibles du point de vue financier : coordonnees bancaires, adresses de livraison, historique d’achats. Le RGPD s’articule ici avec le droit de la consommation (CGV, droit de retractation) et les normes PCI-DSS pour la securite des paiements.
Points critiques RGPD du e-commerce
- Donnees de paiement. Le processeur de paiement (Stripe, PayPal, Adyen) est sous-traitant au sens du RGPD. Un DPA est obligatoire. La tokenisation reduit les risques mais ne dispense pas de l’obligation de transparence.
- Panier abandonne et remarketing. La relance automatique des paniers abandonnes constitue un traitement de donnees personnelles. La base legale depend du contexte : interet legitime si le client a un compte, consentement dans les autres cas.
- Plugins et traceurs. Un site e-commerce moyen utilise 10 a 30 traceurs tiers (analytics, retargeting, chatbot, avis clients). Chaque traceur est un sous-traitant qui doit etre documente. Consultez notre guide RGPD e-commerce.
| Critere | Shopify | WooCommerce | Stripe | PayPal |
|---|---|---|---|---|
| Siege | Ottawa, Canada | Open source (votre serveur) | San Francisco, USA | San Jose, USA |
| Hebergement | Canada + UE (option) | Votre infra | USA + UE | USA + UE |
| DPA | Oui, automatique | Non necessaire (RT = vous) | Oui, en ligne | Oui, en ligne |
| Certifie DPF | Non (Canada – adequation UE) | Non applicable | Oui | Oui |
| Donnees partagees | Shopify Audiences (opt-in) | Depend des plugins | Non (sauf Radar, opt-in) | Non par defaut |
| PCI-DSS | Oui (niveau 1) | Depend de l’hebergeur | Oui (niveau 1) | Oui (niveau 1) |
Pour approfondir : Shopify et conformite, WooCommerce et RGPD, Stripe et RGPD.
Cloud et infrastructure
Le choix du fournisseur cloud determine le cadre juridique de l’ensemble des traitements de l’organisation. La question des transferts hors UE, de la qualification des parties (responsable, sous-traitant, responsable conjoint) et de la souverainete des donnees est centrale.
Points critiques RGPD du cloud
- Localisation et souverainete. Les trois hyperscalers (AWS, Azure, GCP) proposent des regions UE, mais le CLOUD Act americain permet theoriquement aux autorites americaines d’acceder aux donnees hebergees par des entreprises US, meme en UE. C’est l’un des arguments en faveur des fournisseurs souverains (OVH, Scaleway, Outscale).
- Qualification juridique. Pour le IaaS/PaaS, le fournisseur est generalement sous-traitant. Pour le SaaS, la qualification peut varier. Consultez notre guide sur le contrat de sous-traitance RGPD.
- SecNumCloud. La qualification SecNumCloud de l’ANSSI certifie un niveau de securite eleve et l’immunite face aux legislations extra-europeennes. C’est la reference pour les donnees sensibles et les administrations.
| Critere | AWS | Microsoft Azure | Google Cloud | OVH | Scaleway |
|---|---|---|---|---|---|
| Siege | USA | USA | USA | France | France |
| Regions UE | Francfort, Paris, Dublin, etc. | France, Allemagne, Pays-Bas | Belgique, Allemagne, Finlande | Gravelines, Strasbourg | Paris, Amsterdam |
| DPA | Oui | Oui | Oui | Oui | Oui |
| Certifie DPF | Oui | Oui | Oui | Non applicable | Non applicable |
| SecNumCloud | Non | Non | Non | Oui (offre dediee) | En cours |
| CLOUD Act | Oui (soumis) | Oui (soumis) | Oui (soumis) | Non | Non |
Pour approfondir : AWS et RGPD, Google Cloud et RGPD, Securite cloud.
Intelligence artificielle
L’utilisation d’outils d’IA generative en entreprise souleve des questions RGPD specifiques : les donnees saisies dans les prompts peuvent constituer des donnees personnelles, les modeles sont entraines sur des corpus massifs dont la licéité est discutee, et les outputs peuvent generer des informations inexactes sur des personnes identifiables.
Points critiques RGPD de l’IA
- Donnees dans les prompts. Toute donnee personnelle saisie dans un prompt est transmise au fournisseur d’IA. Si le fournisseur utilise ces donnees pour entrainer son modele, il n’est plus sous-traitant mais potentiellement responsable conjoint. C’est un point que la CNIL a explicitement souleve.
- Versions entreprise vs grand public. Claude for Business et Copilot for Microsoft 365 offrent des garanties contractuelles (pas d’entrainement sur les donnees, DPA, hebergement UE) que les versions grand public n’offrent pas.
- AI Act. Le reglement europeen sur l’IA ajoute des obligations supplementaires pour les systemes a haut risque. L’utilisation d’IA dans le recrutement, le scoring ou la surveillance implique des obligations de transparence, d’audit et de documentation technique.
Note sur OpenAI / ChatGPT. Nous ne recommandons pas l’utilisation de ChatGPT (OpenAI) pour le traitement de donnees personnelles en entreprise. Les pratiques d’OpenAI en matiere de collecte et de reutilisation des donnees, les conditions d’utilisation changeantes, l’opacite sur les jeux de donnees d’entrainement et les multiples incidents de securite rapportes depuis 2023 constituent des facteurs de risque RGPD significatifs. La CNIL italienne (Garante) a deja temporairement interdit ChatGPT en 2023, et plusieurs autorites europeennes ont ouvert des enquetes. Pour les organisations soucieuses de leur conformite, nous conseillons de privilegier des alternatives dont la posture en matiere de protection des donnees est plus rigoureuse et documentee.
| Critere | Claude (Anthropic) | Copilot (Microsoft) | Gemini (Google) |
|---|---|---|---|
| Siege | San Francisco, USA | Redmond, USA | Mountain View, USA |
| Hebergement UE (version entreprise) | Oui (AWS EU) | Oui (Azure EU) | Oui (GCP EU) |
| DPA entreprise | Oui (API/Business) | Oui (M365) | Oui (Workspace) |
| Entrainement sur donnees | Non (API/Business) / Non (Free) | Non (M365) | Non (Workspace) / Opt-out (Free) |
| Certifie DPF | Oui | Oui (Microsoft) | Oui (Google) |
| Journalisation | Oui (API) | Oui (M365 audit) | Oui (Workspace audit) |
Pour approfondir : Claude et RGPD, IA et RGPD, Decisions automatisees.
RH et paie
Les logiciels RH traitent les donnees les plus sensibles de l’entreprise : bulletins de paie, coordonnees bancaires (IBAN), numeros de securite sociale, arrets maladie, affiliation syndicale, situation de handicap. Ces donnees relevent pour partie de l’article 9 du RGPD (donnees sensibles) et imposent un niveau de protection renforce. La CNIL a sanctionne Amazon France Logistique a hauteur de 32 millions d’euros en 2024 pour surveillance excessive des salaries – un rappel que les donnees RH sont sous haute surveillance reglementaire.
| Critere | PayFit | Personio | BambooHR | Workday | Silae |
|---|---|---|---|---|---|
| Siege | Paris, France | Munich, Allemagne | Utah, USA | Californie, USA | France |
| Hebergement UE | Oui (AWS Francfort + OVH) | Oui (AWS Francfort) | USA (limite) | Oui (Dublin, Francfort) | Oui (France) |
| DPA | Oui | Oui (standard allemand) | Oui | Oui (negociable) | Oui |
| Certifie DPF | Non applicable (UE) | Non applicable (UE) | Oui | Oui | Non applicable (UE) |
| Donnees sensibles Art. 9 | Oui (sante, bancaire) | Oui (sante, bancaire) | Oui (sante, bancaire) | Oui (sante, bancaire) | Oui (sante, bancaire) |
| CLOUD Act | Non | Non | Oui | Oui | Non |
Pour approfondir : PayFit et RGPD, Personio et RGPD, BambooHR et RGPD, Workday et RGPD, Silae et RGPD.
Publicite en ligne
La publicite digitale presente un profil RGPD radicalement different des autres categories d’outils. Les plateformes publicitaires (Meta, LinkedIn) ne sont pas des sous-traitants mais des responsables conjoints au sens de l’article 26 du RGPD. Cela signifie que l’annonceur et la plateforme determinent conjointement les finalites et les moyens du traitement – avec une responsabilite partagee en cas de manquement. La CJUE l’a confirme dans l’arret Fashion ID (C-40/17).
| Critere | LinkedIn Ads | Meta Ads (Facebook/Instagram) |
|---|---|---|
| Qualification RGPD | Responsable conjoint (Art. 26) | Responsable conjoint (Art. 26) |
| Siege | USA (Microsoft) | USA |
| Sanctions record | Limitees | 2+ milliards EUR (1.2Md transferts, 390M consentement, 265M scraping) |
| Pixel/Tag | Insight Tag (consentement requis) | Meta Pixel (consentement requis) |
| Audiences personnalisees | Matched Audiences = partage de donnees | Custom Audiences = partage de donnees |
| Base legale publicite comportementale | Interet legitime (conteste apres CJUE C-252/21) | Consentement obligatoire (CJUE C-252/21) |
| Certifie DPF | Oui (Microsoft) | Oui |
Pour approfondir : LinkedIn Ads et RGPD, Meta Ads et RGPD.
Comptabilite
Les logiciels comptables traitent des donnees personnelles contenues dans les factures (nom, adresse, coordonnees bancaires), les fiches clients et fournisseurs, et – pour les modules paie – les donnees salariales. L’entree en vigueur de la facturation electronique obligatoire en septembre 2026 renforce les enjeux RGPD de ces outils.
| Critere | Sage |
|---|---|
| Siege | Newcastle, Royaume-Uni |
| Hebergement UE | Oui (cloud) / Votre infra (on-premise) |
| DPA | Oui |
| Adequation UK | Oui (decision juin 2021, revision periodique) |
| Modules paie | Oui (Sage Paie = donnees sensibles) |
| PDP facturation electronique | Candidat |
Pour approfondir : Sage et RGPD.
Signature electronique
Les plateformes de signature electronique traitent des donnees d’identification des signataires (nom, email, adresse IP, horodatage) et – surtout – le contenu integral des documents signes. Ces documents peuvent contenir n’importe quel type de donnee personnelle : contrats de travail avec salaire, accords de confidentialite, consentements medicaux. Le traitement est donc imprevisible par nature.
| Critere | DocuSign | Adobe Sign |
|---|---|---|
| Siege | San Francisco, USA | San Jose, USA |
| Hebergement UE | Oui (Francfort, Business+) | Oui (AWS EU) |
| DPA | Oui | Oui (DPA Adobe) |
| Certifie DPF | Oui | Oui |
| eIDAS | Oui | Oui |
| Retention par defaut | Illimitee (a configurer) | Illimitee (a configurer) |
| Donnees traitees | Identite signataire + contenu document | Identite signataire + contenu document |
Pour approfondir : DocuSign et RGPD, Adobe Sign et RGPD.
Gestion de projet
Les outils de gestion de projet contiennent des donnees personnelles que les organisations documentent rarement : noms de clients dans les titres de taches, coordonnees dans les commentaires, pieces jointes avec des informations sensibles. Plus l’outil est flexible (Monday.com comme “Work OS”), plus le type de donnees traitees est imprevisible.
| Critere | Jira (Atlassian) | Asana | Monday.com |
|---|---|---|---|
| Siege | Sydney, Australie | San Francisco, USA | International |
| Hebergement UE | Oui (data residency) | Oui (Enterprise uniquement) | Oui (AWS EU) |
| DPA | Oui | Oui | Oui |
| Certifie DPF | Oui (operations US) | Oui | Oui |
| IA et sous-traitants | Atlassian Intelligence (opt-in) | Asana Intelligence (opt-in) | Monday AI (OpenAI sous-traitant) |
| Donnees imprevisibles | Logs, stack traces, donnees client en debug | Noms clients, segments, contacts | CRM, RH, projets – depend de l’usage |
Pour approfondir : Jira et RGPD, Asana et RGPD, Monday.com et RGPD.
Support client
Les outils de support client presentent une particularite RGPD unique : vous ne controlez pas ce que vos clients ecrivent dans les tickets. Un client peut coller un numero de carte bancaire, un scan de piece d’identite ou des informations medicales dans un ticket de support. Le sous-traitant traite donc des donnees potentiellement sensibles de maniere imprevisible.
| Critere | Zendesk |
|---|---|
| Siege | San Francisco, USA |
| Hebergement UE | Oui (Francfort, Dublin) |
| DPA | Oui |
| Certifie DPF | Oui |
| Zendesk AI | Donnees utilisees pour reponses IA (verifier entrainement) |
| Retention | Configurable (plans superieurs) |
Pour approfondir : Zendesk et RGPD.
Comment auditer votre stack technique
La verification outil par outil est necessaire mais insuffisante. Ce qui compte, c’est la vision globale : combien d’outils traitent des donnees personnelles ? Combien ont un DPA signe ? Combien transferent des donnees hors UE ? Combien sont documentes dans votre registre ?
La methode en 4 etapes
Etape 1 : Inventorier. Listez tous les outils SaaS et logiciels utilises dans l’organisation. Incluez les outils installes par des collaborateurs individuels (shadow IT). Un audit typique revele 2 a 3 fois plus d’outils que ce que le DSI pense avoir.
Etape 2 : Qualifier. Pour chaque outil, determinez : traite-t-il des donnees personnelles ? Si oui, en quelle qualite (sous-traitant, responsable conjoint) ? Ou sont hebergees les donnees ? Un DPA est-il en place ?
Etape 3 : Documenter. Ajoutez chaque outil au registre des traitements. Conservez les DPA signes. Documentez les transferts hors UE et les garanties associees.
Etape 4 : Corriger. Signez les DPA manquants. Configurez les parametres de confidentialite (desactivez le partage de donnees, configurez les durees de retention, activez le chiffrement). Remplacez les outils non conformes par des alternatives.
Quand l’audit depasse la capacite humaine
A partir de 20-30 outils (ce qui est le cas de la majorite des PME), la gestion manuelle de cette conformite – DPA, registre, transferts, durees de conservation – devient un travail a temps plein. C’est precisement ce que les logiciels de conformite RGPD automatisent : cartographie des traitements, suivi des sous-traitants, alertes sur les DPA manquants, documentation centralisee.
FAQ
Dois-je signer un DPA avec chaque outil SaaS ?
Oui, des lors que l’outil traite des donnees personnelles pour votre compte. L’article 28 du RGPD l’impose. La plupart des editeurs SaaS proposent un DPA en ligne – il suffit souvent de l’accepter dans les parametres du compte. Si un editeur ne propose pas de DPA, c’est un signal d’alerte serieux.
Un outil heberge en UE est-il automatiquement conforme ?
Non. L’hebergement en UE resout la question des transferts, mais pas les autres obligations : DPA, minimisation, durees de conservation, droits des personnes. Un outil peut etre heberge a Paris et etre non conforme si ses parametres par defaut collectent des donnees excessives ou si aucun DPA n’est en place.
Que faire si un outil utilise des sous-traitants hors UE ?
Verifiez que des garanties appropriees sont en place pour chaque sous-traitant (DPF, CCT, mesures supplementaires). L’outil doit vous informer de ses sous-traitants ulterieurs et vous permettre de vous opposer a tout nouveau sous-traitant (article 28(2) RGPD).
Les outils d’IA generative sont-ils compatibles avec le RGPD ?
Oui, a condition d’utiliser les versions entreprise qui garantissent la non-utilisation des donnees pour l’entrainement, proposent un DPA et offrent un hebergement UE. Les versions gratuites grand public ne sont pas adaptees au traitement de donnees personnelles en contexte professionnel.
Automatisez votre conformite RGPD
Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.
Decouvrir Legiscope →