Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Trello et RGPD : guide de conformité 2026

Trello est-il conforme au RGPD ? Analyse du DPA Atlassian, des transferts, des tableaux publics et configuration recommandée.

Trello est l’outil de gestion visuelle le plus répandu dans les PME françaises : sa simplicité — des cartes que l’on déplace d’une colonne à l’autre — explique son adoption massive par des équipes qui n’ont jamais reçu de formation à la protection des données. Or, ce sont précisément ces tableaux Kanban informels qui posent les problèmes RGPD les plus concrets : pipelines de recrutement contenant des CV et des évaluations de candidats, suivis commerciaux avec coordonnées de prospects, listes de tâches mentionnant nommément des clients. Et, spécificité redoutable de Trello, des tableaux rendus publics par inadvertance et indexés par Google.

Trello appartient à Atlassian, éditeur également de Jira. Le socle contractuel et technique de conformité est donc le même que celui de Jira, mais les usages diffèrent radicalement : là où Jira est manié par des équipes techniques rigoureuses, Trello est adopté par des équipes métiers qui improvisent leurs propres tableaux sans gouvernance. Pour une vue d’ensemble, consultez notre guide RGPD par outil, ainsi que nos analyses des alternatives Asana et Monday.com.

Qualification juridique : Trello comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Atlassian agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour le service Trello. Votre organisation détermine les finalités (gestion de projet, suivi de recrutement, organisation d’équipe) et les moyens essentiels (quels tableaux sont créés, qui y est invité, quelles données y sont saisies). Atlassian fournit l’infrastructure et traite les données selon vos instructions documentées.

Les catégories de données traitées

Trello traite des données personnelles à plusieurs niveaux :

  • Profils utilisateurs : noms, adresses email, photos de profil, fuseau horaire
  • Contenu des cartes : titres, descriptions, commentaires, listes de contrôle, pièces jointes. Les titres de cartes contiennent souvent des noms de personnes (candidats, clients, collaborateurs).
  • Données d’organisation des tableaux : assignations de membres, dates d’échéance, étiquettes, historique des déplacements de cartes
  • Métadonnées d’activité : journal indiquant qui a fait quoi et quand
  • Données des Power-Ups : selon les intégrations activées, des données transitent vers des services tiers

Le cas particulier du recrutement

Trello est massivement détourné en outil de suivi de candidatures : une colonne « Candidatures reçues », une colonne « Entretien », une colonne « Refusé ». Ce pipeline contient des CV, des lettres de motivation, des appréciations d’entretien et parfois des annotations subjectives. Ce traitement relève de finalités RH sensibles : information des candidats (art. 13), durée de conservation limitée (la CNIL recommande une conservation des candidatures non retenues n’excédant pas deux ans après le dernier contact, sauf consentement), et vigilance sur les commentaires d’évaluation. Un tableau de recrutement Trello non encadré est l’un des angles morts RGPD les plus fréquents que je rencontre en conseil.

Analyse du DPA Atlassian

Le Data Processing Addendum d’Atlassian couvre Trello et est disponible en ligne. Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD Couverture dans le DPA Atlassian Évaluation
Objet, durée, nature et finalité du traitement Définis dans le DPA et les conditions de service Conforme
Types de données et catégories de personnes Décrits dans le DPA Conforme
Instructions documentées du responsable Traitement sur instructions documentées Conforme
Confidentialité du personnel Engagement de confidentialité du personnel Atlassian Conforme
Mesures de sécurité (Art. 32) Mesures techniques et organisationnelles annexées Conforme
Sous-traitants ultérieurs Liste publiée (page Subprocessors) avec mécanisme de notification Conforme
Assistance pour les droits des personnes Engagement d’assistance dans le DPA Conforme
Suppression ou restitution en fin de contrat Suppression après résiliation Conforme
Droit d’audit Rapports SOC 2 / ISO + possibilité d’audit Conforme
Information en cas d’instruction contrevenant au RGPD Prévu dans le DPA Conforme

Le DPA d’Atlassian est solide et conforme aux exigences de l’article 28. Atlassian intègre les clauses contractuelles types (CCT) de 2021 comme mécanisme de transfert. Le point de vigilance ne tient pas au DPA lui-même, mais à la profusion de sous-traitants ultérieurs introduits par les Power-Ups, sur lesquels j’y reviens plus bas.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des données et résidence

Atlassian est un groupe dont les traitements impliquent des infrastructures aux États-Unis. Pour les transferts hors UE, Atlassian s’appuie sur deux mécanismes cumulés :

  1. EU-US Data Privacy Framework (DPF). Atlassian est auto-certifiée au DPF, à son extension britannique et au cadre suisse-américain.
  2. Clauses contractuelles types (CCT). Le DPA intègre les CCT 2021.

La résidence des données (data residency) permet d’épingler le contenu produit « in-scope » dans une région donnée, dont l’Union européenne. Attention toutefois : la couverture de la résidence des données pour Trello est plus limitée que pour Jira ou Confluence, et elle ne porte que sur certaines catégories de contenu au repos. Les données de compte, certaines métadonnées et les traitements opérés par les sous-traitants ultérieurs ne sont pas nécessairement épinglés dans l’UE. Vérifiez précisément le périmètre de la résidence des données applicable à Trello pour votre plan avant de la documenter comme mesure supplémentaire.

Conduite de la TIA

Les éléments à évaluer :

  • Cadre juridique américain. FISA Section 702, EO 12333, avec les garanties de l’EO 14086 dans le cadre du DPF.
  • Nature des données. Dans Trello, les données peuvent être plus sensibles qu’il n’y paraît : données de candidats en recrutement, appréciations de performance, données de clients ou de prospects.
  • Mesures supplémentaires. Chiffrement en transit et au repos, résidence des données UE pour le contenu éligible, minimisation stricte (ne pas saisir de données inutiles dans les cartes). La TIA doit documenter honnêtement le périmètre réel de la résidence des données.

Sécurité informatique

Atlassian a développé un dispositif de sécurité mature, partagé entre ses produits cloud.

Certifications et audits

  • SOC 2 Type II — audit indépendant des contrôles de sécurité
  • ISO/IEC 27001 — système de management de la sécurité
  • ISO/IEC 27018 — protection des données personnelles dans le cloud
  • PCI DSS — pour les données de paiement

Mesures techniques

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : AES-256
  • Authentification : SSO SAML et provisionnement SCIM via Atlassian Guard (anciennement Atlassian Access), MFA
  • Gestion des permissions : tableaux privés, restreints à un espace de travail, ou publics ; permissions par espace de travail
  • Journalisation : journal d’audit au niveau de l’organisation (administration Atlassian)

Mesures organisationnelles

  • Programme de gestion des vulnérabilités et tests de pénétration
  • Programme de bug bounty
  • Notification des incidents de sécurité conformément au DPA

Le niveau de sécurité technique d’Atlassian est élevé. La faiblesse de Trello en matière de conformité ne vient pas de l’infrastructure, mais de la gouvernance des usages : la facilité de création de tableaux et le réglage de visibilité publique transfèrent l’essentiel du risque vers l’organisation utilisatrice.

Le risque spécifique des tableaux publics

C’est le point d’attention le plus caractéristique de Trello. Un tableau Trello peut être réglé sur trois niveaux de visibilité : privé, espace de travail, ou public. Un tableau public est accessible par URL à toute personne, et indexable par les moteurs de recherche. De nombreuses fuites de données documentées proviennent de tableaux Trello rendus publics par erreur, contenant identifiants, coordonnées, données clients ou candidats, puis indexés par Google et retrouvables par simple requête.

Au regard du RGPD, l’exposition publique de données personnelles via un tableau Trello mal configuré constitue une violation de données au sens de l’article 4(12), susceptible de déclencher l’obligation de notification à la CNIL sous 72 heures (art. 33) et, le cas échéant, l’information des personnes concernées (art. 34). La mesure préventive est simple mais doit être imposée par politique interne : interdire la visibilité publique par défaut et auditer périodiquement les tableaux exposés.

Configuration recommandée pour la conformité RGPD

  1. Signer et archiver le DPA. Acceptez le DPA d’Atlassian disponible en ligne et conservez une copie datée dans votre documentation RGPD.

  2. Interdire les tableaux publics. Au niveau de l’organisation (Atlassian Guard / administration), restreignez ou interdisez la visibilité publique des tableaux. Réalisez un audit immédiat des tableaux actuellement publics et repassez-les en privé.

  3. Activer la résidence des données UE pour le contenu éligible. Vérifiez le périmètre exact de la data residency Trello pour votre plan et épinglez le contenu in-scope dans l’UE. Documentez honnêtement ce qui n’est pas couvert.

  4. Activer le SSO, le MFA et le SCIM. Via Atlassian Guard, imposez le SSO SAML et le MFA, et automatisez le provisionnement/déprovisionnement avec SCIM pour éviter les comptes orphelins.

  5. Auditer et encadrer les Power-Ups. Chaque Power-Up activé connecte Trello à un service tiers via OAuth et constitue potentiellement un sous-traitant ultérieur — ou un responsable de traitement distinct. Établissez une liste blanche de Power-Ups autorisés, vérifiez les permissions demandées, et documentez les flux vers Slack, Google Drive ou un CRM.

  6. Encadrer le pipeline de recrutement. Si Trello sert au suivi de candidatures, documentez ce traitement, assurez l’information des candidats (art. 13), limitez la conservation des candidatures non retenues (CNIL : deux ans maximum après le dernier contact sauf consentement), et purgez régulièrement. Reportez-vous à votre politique de durée de conservation.

  7. Inscrire Trello au registre des traitements. Recensez les usages réels de Trello — gestion de projet, recrutement, suivi commercial — dans votre registre des traitements. Le « Kanban sauvage » non documenté est la principale source de non-conformité.

  8. Définir une politique de rétention et de purge. Trello ne propose pas de purge automatisée native. Définissez une procédure périodique de revue et de suppression des cartes et tableaux obsolètes contenant des données personnelles.

  9. Former les équipes métiers. Sensibilisez les utilisateurs à ne pas saisir de données personnelles inutiles dans les cartes, à ne jamais rendre un tableau public sans validation, et à ne pas joindre de fichiers contenant des listes de contacts non nécessaires.

  10. Préparer la réponse aux droits. Prévoyez comment localiser les données d’une personne dans Trello (cartes assignées, mentions, commentaires, pièces jointes) pour répondre à une demande d’accès ou d’effacement. L’API Trello permet d’automatiser partiellement cette recherche.

Points d’attention spécifiques

Atlassian Intelligence dans Trello

Les fonctionnalités d’IA (Atlassian Intelligence) disponibles sur les plans Premium et Enterprise permettent de résumer des cartes, générer des descriptions et assister la rédaction. Avant activation, vérifiez les conditions de traitement des données par l’IA, la liste des sous-traitants ultérieurs impliqués et l’engagement de non-utilisation des données clients pour l’entraînement des modèles. Si des données personnelles significatives sont traitées par ces fonctions, une analyse d’impact peut être justifiée.

Le Kanban comme CRM ou base RH informelle

Comme Asana, Trello est fréquemment détourné en CRM informel (suivi de prospects) ou en base RH (suivi de candidats, d’entretiens annuels). Ces traitements échappent souvent au registre, sont conservés indéfiniment et ne font l’objet d’aucune information des personnes. Ils doivent être identifiés, documentés et encadrés au même titre qu’un outil métier dédié.

Les Power-Ups, angle mort de la cartographie

La page Subprocessors d’Atlassian couvre les sous-traitants d’Atlassian, mais pas les éditeurs tiers de Power-Ups. Chaque Power-Up activé étend votre chaîne de sous-traitance sans figurer dans la documentation Atlassian. Cartographier les Power-Ups activés est indispensable pour maîtriser la chaîne de traitement.

Ce qu’il faut retenir

  • Atlassian (éditeur de Trello) est sous-traitant au sens de l’article 28 ; le DPA, le DPF, les CCT et les certifications (SOC 2, ISO 27001, ISO 27018) fournissent un socle de conformité solide.
  • Le risque principal de Trello n’est pas technique mais organisationnel : tableaux publics indexables, Kanban de recrutement non encadrés, Power-Ups non cartographiés.
  • Un tableau public exposant des données personnelles constitue une violation de données (art. 4(12)) potentiellement notifiable à la CNIL sous 72 heures.
  • La résidence des données UE est plus limitée pour Trello que pour Jira/Confluence : vérifiez le périmètre réel avant de la documenter dans votre TIA.
  • Inscrivez les usages réels de Trello au registre des traitements, encadrez le recrutement, et imposez l’interdiction des tableaux publics par défaut.

FAQ

Trello est-il conforme au RGPD ?

Trello fournit, via Atlassian, les éléments contractuels et techniques d’une utilisation conforme : DPA conforme à l’article 28, certification DPF, CCT, certifications SOC 2, ISO 27001 et ISO 27018, chiffrement. La conformité effective dépend surtout de la gouvernance de l’organisation : configuration des visibilités, encadrement des Power-Ups, documentation des usages et formation des équipes.

Un tableau Trello public est-il un risque RGPD ?

Oui, c’est le risque le plus caractéristique de Trello. Un tableau réglé sur « public » est accessible par URL et indexable par les moteurs de recherche. S’il contient des données personnelles, son exposition constitue une violation de données pouvant nécessiter une notification à la CNIL sous 72 heures. Il est recommandé d’interdire la visibilité publique par défaut au niveau de l’organisation.

Peut-on utiliser Trello pour gérer un recrutement ?

Techniquement oui, mais ce traitement RH doit être encadré : information des candidats (art. 13), durée de conservation limitée (la CNIL recommande de ne pas conserver les candidatures non retenues au-delà de deux ans après le dernier contact, sauf consentement), vigilance sur les commentaires d’évaluation, et inscription au registre des traitements. Un pipeline de recrutement Trello non documenté est une non-conformité fréquente.

Faut-il réaliser une AIPD pour Trello ?

Une analyse d’impact est recommandée si Trello est utilisé pour des traitements à risque élevé : suivi de recrutement à grande échelle, évaluation de personnes, ou activation d’Atlassian Intelligence sur des données personnelles significatives. Pour un usage standard de gestion de projet interne sans données sensibles, l’AIPD n’est pas formellement requise.