Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Salesforce et RGPD : guide de conformite 2026
RGPD

Salesforce et RGPD : guide de conformite 2026

Salesforce est-il conforme au RGPD ? Analyse du DPA, des transferts, de la securite et configuration recommandee.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202613 min de lecture
Sommaire
  1. Qualification juridique : Salesforce comme sous-traitant
  2. Analyse du DPA Salesforce
  3. Transferts internationaux et TIA
  4. Securite informatique
  5. Configuration recommandee pour la conformite RGPD
  6. Points d’attention specifiques a Salesforce
  7. FAQ

Salesforce est le CRM dominant a l’echelle mondiale et occupe une position de leader sur le marche francais, en particulier aupres des ETI et des grandes entreprises. La plateforme couvre la gestion commerciale (Sales Cloud), le service client (Service Cloud), le marketing automation (Marketing Cloud, Pardot), l’analytique (Tableau, CRM Analytics), et depuis peu l’intelligence artificielle generative (Einstein AI). En France, Salesforce dispose de bureaux a Paris et d’un ecosysteme de partenaires integrateurs dense.

Du point de vue des donnees personnelles, Salesforce traite potentiellement l’ensemble des donnees de votre relation client : identite des contacts et des leads, historique commercial complet, interactions de support, comportement sur vos emails marketing, donnees issues de vos applications metier connectees. Le volume et la variete des donnees traitees sont generalement plus importants que pour un CRM plus simple, en raison de l’etendue fonctionnelle de la plateforme.

Faut-il considerer Salesforce comme un risque RGPD ? Non. Salesforce est probablement la plateforme CRM la plus auditee au monde en matiere de protection des donnees. Des banques, des assureurs, des groupes pharmaceutiques et des administrations publiques l’utilisent quotidiennement. Le vrai risque de conformite ne vient pas de Salesforce lui-meme, mais de la complexite de votre implementation : applications tierces installees depuis l’AppExchange, flux de donnees entre clouds, parametrages par defaut non revises, et documentation de conformite incomplete.

Ce guide analyse point par point ce que vous devez verifier et configurer. Consultez egalement nos analyses de HubSpot et RGPD et Pipedrive et RGPD, ainsi que notre guide complet RGPD et outils.

Qualification juridique : Salesforce comme sous-traitant

Pour l’utilisation standard de ses services cloud, Salesforce agit en qualite de sous-traitant (processor) au sens de l’article 28 du RGPD. Vous, en tant que client, etes le responsable de traitement : vous decidez quelles donnees stocker dans Salesforce, pour quelles finalites, et selon quelles regles.

Cette qualification est claire pour les fonctionnalites principales : Sales Cloud (gestion des contacts, comptes, opportunites), Service Cloud (gestion des cas), et le stockage de donnees en general. Salesforce traite ces donnees exclusivement selon vos instructions et pour votre compte.

Certaines fonctionnalites peuvent neanmoins soulever des questions de qualification plus complexes :

  • Marketing Cloud et publicite : l’utilisation des fonctionnalites d’audience segmentation et de partage avec des plateformes publicitaires peut impliquer une responsabilite conjointe au sens de l’article 26.
  • Data Cloud (anciennement Salesforce CDP) : ce produit agregue des donnees provenant de sources multiples et les enrichit. Selon la configuration, la qualification de sous-traitant peut etre discutee.
  • Einstein AI : les fonctionnalites d’IA generative et predictive sont couvertes par le DPA de Salesforce, mais meritent une attention specifique (voir section Points d’attention).

Categories de donnees traitees :

  • Donnees d’identite : nom, email, telephone, adresse, entreprise, fonction, hierarchie
  • Donnees commerciales : opportunites, devis, commandes, historique d’achat, chiffre d’affaires
  • Donnees comportementales : ouvertures d’emails, clics, visites web (via Marketing Cloud/Pardot)
  • Donnees de support : cas, transcriptions de chat, enquetes de satisfaction
  • Donnees techniques : logs de connexion, adresses IP, metadata d’utilisation
  • Donnees libres : champs personnalises (potentiellement tout type de donnee)

Categories de personnes concernees : clients, prospects, leads, contacts professionnels, utilisateurs finaux du support, visiteurs web.

Documentez cette qualification dans votre registre des traitements pour chaque Cloud Salesforce utilise, avec la base legale correspondante.

Analyse du DPA Salesforce

Le DPA de Salesforce fait partie integrante du Main Services Agreement (MSA). Il est structure autour du Data Processing Addendum, complete par des annexes specifiques a chaque service. Pour les clients Enterprise et Unlimited, le DPA est negociable – un avantage significatif par rapport aux DPA click-through des CRM plus petits.

Exigence Art. 28 Couverture Salesforce Commentaire
Objet, duree, nature du traitement Oui Defini par reference aux services souscrits et aux Order Forms
Instructions documentees du RT Oui Traitement exclusivement sur instructions documentees
Confidentialite du personnel Oui Obligations de confidentialite contractuelles pour tous les employes
Mesures de securite (Art. 32) Oui Annexe securite tres detaillee, mesures techniques et organisationnelles
Sous-traitants ulterieurs Oui Liste publique, notification prealable, droit d’objection
Assistance droits des personnes Oui Outils techniques + engagement contractuel d’assistance
Suppression/restitution en fin de contrat Oui Export des donnees + suppression dans les delais contractuels
Audits Oui Rapports de certification + possibilite d’audit sur site pour les contrats Enterprise
Transferts hors UE Oui CCT + DPF + mesures supplementaires documentees

Points forts du DPA Salesforce : c’est l’un des DPA les plus complets du marche SaaS. La couverture de l’article 28 est exhaustive. Le droit d’audit est plus large que chez la plupart des concurrents : en plus des rapports de certification, les clients Enterprise peuvent demander un audit sur site dans certaines conditions. La liste des sous-traitants ulterieurs est publique et regulierement mise a jour.

Points d’attention : la complexite documentaire est significative. Le DPA ne se lit pas isolement – il faut le combiner avec le MSA, les annexes de securite, les conditions specifiques a chaque Cloud, et les Order Forms. Pour une PME sans juriste dedie, cette complexite peut etre un obstacle. Assurez-vous de disposer d’une copie consolidee de l’ensemble contractuel.

La liste des sous-traitants ulterieurs de Salesforce est longue, refletant l’etendue de ses services. Chaque sous-traitant est identifie avec sa localisation et la nature du service. Salesforce s’engage a notifier tout changement et a accorder un delai d’objection.

Transferts internationaux et TIA

Salesforce, Inc. a son siege a San Francisco, Californie (Etats-Unis). Comme HubSpot, c’est une entreprise americaine soumise au CLOUD Act et a la juridiction des autorites americaines.

Hebergement des donnees

Salesforce offre des options d’hebergement EU robustes via Hyperforce, son architecture cloud de nouvelle generation. Les instances Hyperforce permettent un hebergement dans des data centers situes a Francfort (Allemagne) et Paris (France), sur infrastructure AWS. Pour les clients existants sur l’infrastructure classique, des instances EU sont egalement disponibles (EU Central).

L’avantage d’Hyperforce est la possibilite de garantir que les donnees au repos et en cours de traitement restent dans la region EU selectionnee. C’est un argument fort pour les organisations soumises a des exigences de localisation des donnees.

Base juridique pour les transferts

Salesforce est certifie au EU-US Data Privacy Framework (DPF). Le DPA integre les clauses contractuelles types (CCT) de la Commission europeenne (version 2021) comme mecanisme complementaire. Salesforce publie egalement un document de mesures supplementaires detaillant les garanties techniques et organisationnelles mises en place pour proteger les donnees transferees.

Analyse d’impact des transferts (TIA)

Resume pratique de la TIA pour Salesforce :

  • Legislation du pays destinataire : meme cadre que pour toute entreprise americaine – section 702 FISA, EO 12333, attenues par l’Executive Order 14086 et le mecanisme de recours du DPF (Data Protection Review Court).
  • Mesures supplementaires : chiffrement en transit (TLS 1.2/1.3) et au repos (AES-256), option Salesforce Shield pour le chiffrement cote client (Bring Your Own Key), hebergement EU via Hyperforce, acces aux donnees par le personnel Salesforce limite et journalise, engagement contractuel de contestation des demandes gouvernementales excessives.
  • Evaluation : le risque residuel est faible pour les donnees commerciales standard. L’option Salesforce Shield (chiffrement avec cle client) permet de reduire encore ce risque pour les donnees sensibles, car Salesforce ne peut pas dechiffrer les donnees sans votre cle.

Recommandation pratique : privilegiez un hebergement Hyperforce EU, activez Salesforce Shield si vous traitez des donnees sensibles, documentez votre TIA, et conservez une strategie de repli basee sur les CCT. Consultez notre guide sur le transfert de donnees hors UE pour approfondir.

Securite informatique

Salesforce dispose de l’un des programmes de securite les plus matures de l’industrie SaaS, atteste par un portefeuille de certifications particulierement etendu :

  • SOC 2 Type II : audit annuel sur la securite, la disponibilite, la confidentialite et l’integrite des traitements
  • ISO 27001 : certification du SGSI (systeme de gestion de la securite de l’information)
  • ISO 27018 : norme specifique a la protection des donnees personnelles dans le cloud
  • CSA STAR : certification de securite cloud (Cloud Security Alliance)
  • FedRAMP : autorisation du gouvernement federal americain (le niveau d’exigence est tres eleve)
  • Chiffrement : AES-256 au repos, TLS 1.2/1.3 en transit, option Shield pour le chiffrement applicatif avec cle client
  • Authentification : MFA obligatoire depuis fevrier 2022, SSO via SAML/OAuth
  • Salesforce Shield : module complementaire offrant Event Monitoring (journalisation avancee), Field Audit Trail (historique des modifications sur 10 ans), et Platform Encryption (chiffrement cote client)
  • Programme de securite : equipe dediee de plusieurs centaines de personnes, programme de bug bounty, red teaming interne

Salesforce investit massivement dans la securite – l’entreprise consacre une part significative de ses revenus annuels a la cybersecurite. Ce niveau de protection est incomparablement superieur a ce qu’une entreprise francaise typique pourrait deployer. Votre obligation au titre de l’article 32 du RGPD est de verifier et de documenter ces mesures, pas de les reproduire. Conservez le rapport SOC 2 le plus recent dans votre dossier de conformite et verifiez son perimetre par rapport aux services que vous utilisez.

Configuration recommandee pour la conformite RGPD

  1. Verifier et archiver le DPA. Obtenez une copie complete du Data Processing Addendum applicable a votre contrat. Pour les clients Enterprise, negociez les clauses specifiques a vos besoins. Archivez le DPA avec vos Order Forms dans votre dossier de conformite.

  2. Choisir un hebergement EU. Pour les nouvelles implementations, selectionnez une instance Hyperforce EU (Francfort ou Paris). Pour les instances existantes, evaluez la migration vers Hyperforce EU avec votre partenaire integrateur.

  3. Configurer les durees de conservation. Salesforce ne supprime pas automatiquement les donnees anciennes. Mettez en place des politiques de retention via des flows automatises ou des outils tiers (Ownbackup, Odaseva) pour supprimer ou archiver les enregistrements obsoletes conformement a votre politique de duree de conservation.

  4. Activer Salesforce Shield (si necessaire). Pour les donnees sensibles ou les secteurs reglementees, activez Platform Encryption avec votre propre cle de chiffrement (BYOK). Activez Event Monitoring pour la journalisation avancee des acces.

  5. Auditer les applications AppExchange. Chaque application tierce installee depuis l’AppExchange accede potentiellement aux donnees personnelles de votre org. Listez toutes les applications installees (Setup > Installed Packages), verifiez le DPA de chaque editeur, et desinstallez les applications inutilisees.

  6. Configurer les profils et permissions. Appliquez le principe du moindre privilege via les profiles, permission sets et permission set groups. Utilisez le Field-Level Security pour restreindre l’acces aux champs contenant des donnees sensibles. Activez le MFA pour tous les utilisateurs (c’est obligatoire depuis 2022).

  7. Parametrer le consentement. Si vous utilisez Marketing Cloud ou Pardot, configurez les centres de preferences et les mecanismes de consentement conformement aux recommandations de la CNIL. Salesforce offre des objets standard (Individual, Contact Point Consent) pour gerer le consentement de maniere granulaire.

  8. Documenter dans le registre. Creez une fiche dans votre registre des traitements pour chaque Cloud Salesforce utilise (Sales Cloud, Service Cloud, Marketing Cloud, etc.), avec les finalites, bases legales, categories de donnees, durees de conservation, transferts et mesures de securite specifiques.

Points d’attention specifiques a Salesforce

Einstein AI et IA generative

Salesforce a deploye largement ses fonctionnalites d’intelligence artificielle sous la marque Einstein : Einstein GPT, Einstein Copilot, predictive scoring, recommandations automatiques. La question de la conformite RGPD se pose a deux niveaux.

Premierement, le DPA de Salesforce couvre explicitement les fonctionnalites Einstein. Salesforce s’engage a ce que les donnees clients ne soient pas utilisees pour entrainer ses modeles d’IA de base. Les modeles generatifs s’appuient sur l’Einstein Trust Layer, qui applique des mesures de protection (masquage des donnees sensibles, zero data retention aupres des fournisseurs de modeles).

Deuxiemement, vous devez evaluer si l’utilisation de l’IA generative sur des donnees personnelles est compatible avec vos finalites de traitement et votre base legale. L’utilisation d’Einstein pour generer des recommandations commerciales basees sur les donnees de vos contacts doit etre documentee dans votre registre.

AppExchange : l’ecosysteme a risque

L’AppExchange est le marketplace d’applications tierces de Salesforce, avec plus de 5 000 applications disponibles. C’est la source de risque RGPD la plus sous-estimee dans l’ecosysteme Salesforce. Chaque application installee est potentiellement un sous-traitant additionnel avec sa propre localisation, sa propre politique de securite, et ses propres sous-traitants ulterieurs. L’article 28 du RGPD exige un contrat avec chacun d’entre eux.

En pratique : auditez trimestriellement vos applications installees, supprimez celles que vous n’utilisez plus, et maintenez un registre des DPA pour chaque application active.

Data Cloud et flux de donnees complexes

Data Cloud (anciennement Salesforce CDP) agregre des donnees provenant de sources multiples (CRM, site web, applications tierces, donnees offline) et les unifie dans un profil client 360. Cette fonctionnalite cree des flux de donnees complexes qui doivent etre soigneusement documentes : sources de donnees, finalites de l’unification, bases legales applicables, et durees de conservation par source.

FAQ

Salesforce est-il conforme au RGPD ?

Salesforce fournit un cadre contractuel et technique solide pour une utilisation conforme au RGPD : DPA complet et negociable, hebergement EU via Hyperforce, certifications de securite etendues, outils de gestion du consentement et des droits. La conformite effective depend toutefois de votre implementation : configuration des permissions, gestion des applications tierces, documentation des traitements, et parametrage des durees de conservation.

Faut-il signer un DPA avec Salesforce ?

Oui. Le DPA fait partie de votre contrat Salesforce (Main Services Agreement). Pour les contrats standard, il s’applique automatiquement. Pour les contrats Enterprise, vous pouvez negocier des clauses specifiques – c’est recommande si vous traitez des donnees sensibles ou si votre secteur impose des exigences particulieres. Conservez une copie du DPA signe dans votre dossier de conformite.

Salesforce transfere-t-il des donnees hors de l’UE ?

Cela depend de votre configuration. Avec un hebergement Hyperforce EU, les donnees au repos et en traitement restent en Europe. Certains flux peuvent neanmoins impliquer des transferts vers les Etats-Unis (support technique, certaines fonctionnalites IA). Salesforce est certifie DPF et applique les CCT. Documentez ces transferts dans votre TIA et activez l’hebergement EU pour minimiser les flux transatlantiques.

Les applications AppExchange sont-elles couvertes par le DPA Salesforce ?

Non. Le DPA de Salesforce couvre uniquement les services Salesforce. Chaque application tierce installee depuis l’AppExchange est un sous-traitant independant. Vous devez verifier et conserver le DPA de chaque editeur d’application separement. C’est un point frequemment neglige qui peut constituer une non-conformite a l’article 28 du RGPD.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min