Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Slack et RGPD : guide de conformite 2026
RGPD

Slack et RGPD : guide de conformite 2026

Slack est-il conforme au RGPD ? Analyse du DPA, des transferts de donnees, de la securite et configuration recommandee.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202612 min de lecture
Sommaire
  1. Qualification juridique : Slack comme sous-traitant
  2. Analyse du DPA Slack/Salesforce
  3. Transferts internationaux et analyse d’impact sur les transferts (TIA)
  4. Securite informatique
  5. Configuration recommandee pour la conformite RGPD
  6. Points d’attention specifiques
  7. FAQ

Slack est devenu l’outil de communication interne de reference pour de nombreuses entreprises francaises, des startups aux grandes ETI. Depuis son rachat par Salesforce en 2021, la plateforme traite quotidiennement des volumes massifs de donnees personnelles : messages, fichiers partages, profils utilisateurs, metadonnees de connexion et d’interaction. Pour le responsable de traitement, la question n’est pas de savoir s’il faut utiliser Slack – c’est souvent un acquis operationnel – mais de savoir comment l’utiliser en conformite avec le RGPD.

Dans mon experience de conseil en protection des donnees, Slack pose des problematiques specifiques que beaucoup d’organisations sous-estiment. La conservation illimitee des messages par defaut, les flux de donnees lies a Slack Connect entre organisations distinctes, et plus recemment l’introduction de Slack AI, creent des zones de risque qu’il convient d’analyser methodiquement. Ce guide fournit une analyse juridique complete de Slack au regard du RGPD, avec des recommandations de configuration actionables.

Pour une vue d’ensemble de la conformite des outils SaaS, consultez notre guide RGPD par outil. Voir egalement nos analyses de Google Workspace et Notion, deux autres outils collaboratifs frequemment utilises conjointement avec Slack.

Qualification juridique : Slack comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Slack Technologies LLC (filiale de Salesforce Inc.) agit en qualite de sous-traitant au sens de l’article 28 du RGPD pour les fonctionnalites principales de la plateforme. Votre organisation determine les finalites du traitement (communication interne, gestion de projet, collaboration) et les moyens essentiels (quels employes ont acces, quels canaux sont crees, quelles donnees y transitent). Slack fournit l’infrastructure technique et traite les donnees selon vos instructions.

Cette qualification est claire pour les fonctionnalites de base : messagerie instantanee, partage de fichiers, canaux et appels. Slack ne decide pas qui envoie quoi a qui – c’est vous, en tant qu’employeur et responsable de traitement.

Le cas de Slack AI

Slack AI, disponible en complement payant, merite une analyse specifique. Selon la documentation de Slack, cette fonctionnalite traite les donnees exclusivement au sein de l’infrastructure Slack, dans l’espace de travail du client. Les donnees ne sont pas envoyees a des modeles de langage externes. La qualification de sous-traitant reste donc inchangee : Slack traite vos donnees sur votre instruction (l’activation de la fonctionnalite IA) et dans le perimetre de votre espace de travail.

Neanmoins, il convient de verifier dans le DPA si les conditions de traitement des fonctionnalites IA sont explicitement couvertes, notamment en termes de finalites autorisees et de mesures de securite specifiques.

Slack Connect : un point de vigilance

Slack Connect permet de creer des canaux partages entre deux organisations distinctes. Du point de vue du RGPD, cela cree une situation de responsabilite conjointe ou de transmission entre responsables de traitement. Chaque organisation reste responsable de traitement pour ses propres employes, mais le partage d’informations entre les deux espaces doit etre encadre. Il est recommande de documenter ces flux dans votre registre des traitements.

Analyse du DPA Slack/Salesforce

Depuis le rachat par Salesforce, le contrat de sous-traitance de Slack est encadre par le Salesforce Data Processing Addendum (DPA). Ce document est disponible en ligne et s’applique automatiquement aux clients Slack. Voici notre analyse au regard des exigences de l’article 28 du RGPD.

Exigence Art. 28 RGPD Couverture dans le DPA Salesforce/Slack Evaluation
Objet, duree, nature et finalite du traitement Definis dans le DPA et les conditions de service Conforme
Types de donnees et categories de personnes Decrit dans l’annexe au DPA (messages, fichiers, profils, metadonnees) Conforme
Instructions documentees du responsable Le DPA prevoit un traitement sur instructions documentees Conforme
Confidentialite du personnel Engagement de confidentialite pour les employes de Salesforce Conforme
Mesures de securite (Art. 32) Annexe securite detaillee (chiffrement, controles d’acces, surveillance) Conforme
Sous-traitants ulterieurs Liste publiee et mise a jour ; mecanisme de notification et d’objection Conforme
Assistance pour les droits des personnes Engagement d’assistance dans le DPA Conforme
Suppression ou restitution en fin de contrat Suppression des donnees apres resiliation, delai precise Conforme
Droit d’audit Prevu dans le DPA, avec modalites d’exercice definies Conforme (via rapports SOC)
Information en cas d’instruction contrevenant au RGPD Prevu dans le DPA Conforme

Le DPA de Salesforce est globalement robuste et couvre les exigences formelles de l’article 28. Le point d’attention principal concerne le droit d’audit : comme beaucoup de fournisseurs SaaS, Salesforce privilegie la mise a disposition de rapports de certification (SOC 2, ISO 27001) plutot qu’un audit physique sur site. C’est une pratique de marche acceptee, mais qui doit etre evaluee au regard de vos propres exigences de conformite.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des donnees

Slack Technologies LLC est une societe americaine dont le siege est a San Francisco. Par defaut, les donnees sont hebergees aux Etats-Unis. Cependant, pour les clients Enterprise Grid, Slack propose une option de residence des donnees dans l’Union europeenne (centre de donnees a Francfort, Allemagne). Cette option couvre les messages, fichiers et certaines metadonnees.

Mecanismes de transfert

Pour les transferts de donnees vers les Etats-Unis, Salesforce s’appuie sur deux mecanismes :

  1. EU-US Data Privacy Framework (DPF). Salesforce Inc. et ses filiales, dont Slack, sont certifiees au DPF. La decision d’adequation de la Commission europeenne du 10 juillet 2023 fournit une base legale pour ces transferts, tant que la certification est maintenue.

  2. Clauses contractuelles types (CCT). Le DPA integre egalement les CCT de la Commission europeenne (version 2021) comme mecanisme de transfert supplementaire, en cas d’invalidation du DPF.

Analyse d’impact sur les transferts (TIA)

Meme avec le DPF en vigueur, il est recommande de documenter une TIA (Transfer Impact Assessment). Les points a evaluer sont les suivants :

  • Cadre juridique americain. La section 702 du FISA et l’Executive Order 12333 autorisent des acces aux donnees par les agences de renseignement americaines. L’Executive Order 14086, pris en accompagnement du DPF, introduit des garanties de proportionnalite et un mecanisme de recours (Data Protection Review Court).
  • Nature des donnees. Les messages Slack peuvent contenir des donnees sensibles (donnees RH, informations juridiques, echanges strategiques). Plus la sensibilite est elevee, plus les mesures supplementaires sont justifiees.
  • Mesures supplementaires. Chiffrement en transit (TLS 1.2+) et au repos (AES-256). Pour les plans Enterprise, la gestion des cles de chiffrement par le client (Slack EKM – Enterprise Key Management) constitue une mesure supplementaire significative.

Si votre organisation traite des donnees particulierement sensibles via Slack, l’activation de la residence UE combinee a l’Enterprise Key Management est la configuration qui offre le niveau de protection le plus eleve.

Securite informatique

Slack met en oeuvre un dispositif de securite conforme aux standards du marche. Voici les elements principaux :

Certifications et audits

  • SOC 2 Type II – audit independant des controles de securite, disponibilite et confidentialite
  • SOC 3 – rapport public resumant les conclusions du SOC 2
  • ISO 27001 – certification du systeme de management de la securite de l’information

Mesures techniques

  • Chiffrement en transit : TLS 1.2 minimum pour toutes les communications
  • Chiffrement au repos : AES-256 pour les donnees stockees
  • Enterprise Key Management (EKM) : gestion des cles par le client via AWS KMS (Enterprise Grid uniquement)
  • Authentification : support SAML 2.0 / SSO, authentification a deux facteurs (2FA)
  • Journalisation : logs d’audit des actions administratives et des acces
  • Controles d’acces : gestion granulaire des permissions par canal, par role et par utilisateur

Mesures organisationnelles

  • Programme de gestion des vulnerabilites et bug bounty
  • Plan de reponse aux incidents avec notification dans les 72 heures (conforme a l’article 33 du RGPD)
  • Tests de penetration reguliers par des tiers independants

Le niveau de securite de Slack est globalement satisfaisant pour un usage professionnel courant. Pour des traitements a haut risque, l’activation de l’EKM et du SSO est fortement recommandee.

Configuration recommandee pour la conformite RGPD

Voici la checklist de parametrage a appliquer dans votre espace Slack pour assurer un niveau de conformite adequat.

  1. Activer la residence des donnees en UE. Disponible sur Enterprise Grid, cette option force le stockage des donnees dans le centre de donnees de Francfort. Contactez votre commercial Slack pour l’activation.

  2. Configurer les politiques de retention des messages. Par defaut, Slack conserve tous les messages indefiniment. Definissez une duree de conservation coherente avec votre politique interne (par exemple 12 ou 24 mois) conformement au principe de limitation de la conservation. Configurez la retention au niveau de l’espace de travail et, si necessaire, par canal.

  3. Signer et archiver le DPA. Verifiez que le Salesforce DPA est en vigueur pour votre contrat. Conservez une copie dans votre documentation RGPD.

  4. Activer l’authentification a deux facteurs (2FA) obligatoire. Dans les parametres de securite, rendez le 2FA obligatoire pour tous les utilisateurs. Privilegiez le SSO via votre fournisseur d’identite (Okta, Azure AD, Google) pour un controle centralise.

  5. Restreindre les applications tierces. Limitez les applications (bots, integrations) que les utilisateurs peuvent installer. Chaque application tierce accedant aux donnees Slack est un sous-traitant additionnel a documenter. Utilisez la liste blanche d’applications approuvees.

  6. Encadrer Slack Connect. Definissez une politique interne sur l’utilisation de Slack Connect. Approuvez les canaux partages au niveau administrateur. Documentez chaque partenaire externe avec lequel vous partagez un canal dans votre registre des traitements.

  7. Configurer les parametres de Slack AI. Si vous utilisez Slack AI, verifiez que la fonctionnalite est activee en connaissance de cause par l’administrateur. Informez les utilisateurs que l’IA accede au contenu des messages pour generer ses reponses.

  8. Mettre a jour votre charte informatique. Integrez les regles d’utilisation de Slack dans votre charte informatique : types de donnees autorises, interdiction de partager des donnees sensibles non chiffrees, regles de nommage des canaux, etc.

  9. Documenter le traitement dans le registre. Ajoutez Slack a votre registre des activites de traitement avec les elements suivants : finalite, categories de donnees, categories de personnes, destinataires, transferts hors UE, duree de conservation, mesures de securite.

  10. Mettre en place une procedure de reponse aux demandes de droits. Prevoyez comment extraire les donnees d’un utilisateur (export Slack) pour repondre a une demande d’acces (art. 15) ou d’effacement (art. 17).

Points d’attention specifiques

Conservation par defaut : le piege le plus frequent

Le parametre par defaut de Slack – conservation illimitee de tous les messages – est directement contraire au principe de limitation de conservation de l’article 5(1)(e) du RGPD. Or, dans beaucoup d’organisations, personne ne modifie ce parametre. Resultat : des annees de messages contenant des donnees personnelles, des echanges RH, des informations medicales parfois, s’accumulent sans aucune politique de purge. C’est un risque majeur en cas de controle CNIL ou de violation de donnees.

Slack Connect et la chaine de responsabilite

Lorsque vous utilisez Slack Connect, les messages sont visibles par les deux organisations. Si un employe de votre partenaire commercial partage des donnees personnelles de ses clients dans un canal commun, votre organisation y a acces. Cette situation doit etre anticipee contractuellement et documentee dans le registre. La CNIL pourrait considerer qu’il existe une responsabilite conjointe (art. 26) selon la configuration mise en place.

Slack AI et l’information des utilisateurs

Meme si Slack AI ne transmet pas les donnees a des modeles externes, le fait qu’une intelligence artificielle accede au contenu des messages doit etre porte a la connaissance des utilisateurs en vertu du principe de transparence (art. 13). Mettez a jour votre politique de confidentialite interne et votre charte informatique en consequence.

FAQ

Slack est-il conforme au RGPD ?

Slack fournit les outils et engagements contractuels necessaires a une utilisation conforme au RGPD (DPA, residence UE, chiffrement, certifications). Toutefois, la conformite depend largement de votre configuration. Un Slack avec les parametres par defaut – conservation illimitee, pas de 2FA, applications tierces non controlees – n’est pas conforme. La responsabilite incombe au responsable de traitement, c’est-a-dire votre organisation.

Faut-il realiser une analyse d’impact (AIPD) pour Slack ?

L’analyse d’impact n’est pas systematiquement requise pour Slack dans un usage standard (messagerie interne). En revanche, elle est recommandee si vous traitez des donnees sensibles via Slack, si vous utilisez Slack a grande echelle pour la surveillance des employes (analytics d’activite), ou si vous activez Slack AI sur des canaux contenant des donnees RH ou medicales. En cas de doute, la CNIL recommande de realiser l’AIPD.

Peut-on utiliser Slack pour echanger des donnees de sante ?

L’utilisation de Slack pour des donnees de sante est fortement deconseillee sans mesures supplementaires significatives. Les donnees de sante sont des donnees sensibles au sens de l’article 9 du RGPD. Si l’echange est incontournable, il faut a minima : activer la residence UE, utiliser l’Enterprise Key Management, restreindre l’acces au canal concerne, et documenter une AIPD. En pratique, un outil dedie et certifie HDS (Hebergement de Donnees de Sante) est preferable.

Que se passe-t-il si le Data Privacy Framework est invalide ?

En cas d’invalidation du DPF (scenario “Schrems III”), Salesforce a prevu dans son DPA le basculement automatique vers les clauses contractuelles types (CCT) comme mecanisme de transfert alternatif. Si vous avez active la residence des donnees en UE, l’impact sera egalement reduit car les donnees principales restent dans l’EEE. C’est pourquoi il est recommande d’activer la residence UE des que votre plan le permet, independamment de la validite du DPF.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min