Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Zapier et RGPD : guide de conformité 2026

Zapier est-il conforme au RGPD ? Sous-traitant, DPA, transfert de données aux États-Unis, Data Privacy Framework et configuration recommandée.

Zapier connecte plus de 7 000 applications et déplace, sans intervention humaine, des données d’un outil à l’autre : un nouveau prospect dans votre formulaire part vers votre CRM, votre messagerie et votre tableur en quelques secondes. Le problème, c’est que ces données sont presque toujours des données personnelles, et qu’elles transitent par les serveurs d’une société américaine.

Contrairement à un outil français comme Qonto ou Pennylane, Zapier ne vous offre pas le confort d’un hébergement européen. La question n’est donc pas seulement « Zapier signe-t-il un DPA ? », mais « qu’est-ce que j’autorise réellement à sortir de l’Union européenne, et à quelles conditions ? ».

Pour une vue d’ensemble, consultez notre guide sur la conformité RGPD des outils et logiciels.

Zapier est un sous-traitant : ce que ça implique pour vous

Quand vous construisez un « Zap », c’est vous qui décidez des finalités (synchroniser des prospects, alimenter un CRM, déclencher un email) et des moyens essentiels du traitement. Vous êtes donc responsable de traitement, et Zapier, Inc. agit comme sous-traitant au sens de l’article 28 du RGPD.

Cette qualification n’est pas une formalité. L’article 28 impose qu’un contrat de sous-traitance écrit encadre la relation, à défaut de quoi les deux parties s’exposent. Concrètement, en tant que responsable de traitement, vous devez :

  • signer le DPA (Data Processing Addendum) de Zapier, disponible en ligne ;
  • inscrire le traitement à votre registre des activités de traitement (finalité, données concernées, sous-traitant : Zapier, Inc.) ;
  • informer les personnes concernées que leurs données sont traitées, et le cas échéant transférées hors UE (article 13 du RGPD) ;
  • disposer d’une base légale valable pour chaque traitement automatisé.

La particularité de Zapier, c’est qu’il se place au centre de votre chaîne de sous-traitance. Il ne traite pas un type de donnée bien identifié comme le ferait un logiciel de paie : il transporte tout ce que vous lui confiez, depuis et vers d’autres sous-traitants. Votre registre doit refléter cette réalité de plateforme d’intermédiation.

Le vrai sujet : le transfert de données vers les États-Unis

C’est ici que se joue l’essentiel de la conformité. Zapier, Inc. est une société américaine qui stocke et traite les données aux États-Unis, ainsi que chez ses propres sous-traitants. Toute donnée qui transite par un Zap quitte donc, en principe, l’Espace économique européen — ce qui déclenche le chapitre V du RGPD sur les transferts hors UE.

Pour encadrer ces flux, Zapier s’appuie sur deux mécanismes complémentaires :

  1. Le Data Privacy Framework (DPF) : Zapier est auto-certifié auprès du Département du commerce américain au titre du cadre UE–États-Unis. Tant que sa certification est active et que la décision d’adéquation de la Commission tient, ces transferts bénéficient d’un cadre juridique allégé.
  2. Les clauses contractuelles types (CCT) : intégrées à son DPA, elles prennent le relais pour les flux non couverts par le DPF (notamment vers ses sous-traitants ou en cas d’invalidation du cadre).

Un point d’attention de fond, en 2026 : le Data Privacy Framework reste juridiquement fragile. Le Tribunal de l’Union européenne a, le 3 septembre 2025, rejeté le recours du député Philippe Latombe et confirmé la validité de la décision d’adéquation. Mais un pourvoi est pendant devant la Cour de justice de l’UE (affaire C-703/25 P). Or la CJUE a déjà invalidé deux dispositifs successifs (Safe Harbor en 2015, Privacy Shield en 2020, arrêts Schrems I et II). Construire toute votre architecture de transfert sur le seul DPF serait donc imprudent : c’est la raison pour laquelle les CCT du DPA de Zapier constituent un filet de sécurité indispensable.

Faut-il une analyse d’impact des transferts ?

Pour un usage à faible volume et sans données sensibles, le couple DPF + CCT est généralement suffisant. Mais dès que vos Zaps traitent des volumes importants de données personnelles ou des catégories particulières (santé, données RH détaillées), il est recommandé de documenter une analyse d’impact des transferts (Transfer Impact Assessment), au-delà du modèle que Zapier publie. Si le traitement présente un risque élevé pour les personnes, c’est une analyse d’impact relative à la protection des données complète qui peut s’imposer.

La minimisation : le piège silencieux de l’automatisation

C’est, dans mon expérience, le point le plus négligé. Un Zap mal paramétré recopie l’intégralité d’un enregistrement d’une application à l’autre, alors que la finalité n’en nécessite qu’une fraction. Vous vouliez transférer un email et un nom ? Le Zap embarque aussi le numéro de téléphone, l’historique des achats et trois champs de commentaire libre.

Le principe de minimisation (article 5(1)© du RGPD) impose pourtant de ne traiter que les données adéquates, pertinentes et limitées à la finalité. En pratique :

  • cartographiez chaque Zap : quelle donnée entre, quelle donnée sort, vers quel outil ;
  • filtrez les champs au niveau de chaque action plutôt que de tout recopier ;
  • proscrivez les données sensibles des Zaps non conçus pour cela : un automatisme qui pousse des données de santé ou des opinions vers un outil non sécurisé crée un risque hors de proportion avec le gain de temps.

Task history : Zapier garde une copie de vos données

Autre point structurant : Zapier conserve un historique des tâches (task history) qui contient une copie des données ayant transité par chaque Zap, à des fins de débogage et de relecture. Ce n’est pas un flux qui s’évapore : c’est un stock de données personnelles hébergé aux États-Unis.

La durée de rétention de cet historique dépend de votre offre. Vous devez donc :

  • vérifier la durée de conservation applicable à votre plan et la faire figurer dans votre registre ;
  • éviter de faire transiter par Zapier des données dont la simple journalisation poserait problème ;
  • tenir compte de ce stock lorsque vous répondez à une demande d’effacement : les données peuvent subsister dans l’historique au-delà de leur suppression dans vos applications.

Quelle base légale pour vos automatisations ?

Zapier n’est qu’un moyen technique : la base légale se détermine au regard de la finalité du traitement sous-jacent, pas de l’outil.

  • Pour synchroniser des données clients nécessaires à l’exécution d’un contrat, la base est l’article 6(1)(b).
  • Pour des automatisations internes d’efficacité opérationnelle (alimenter un tableau de bord, notifier une équipe), l’intérêt légitime (article 6(1)(f)) est souvent adapté, après mise en balance.
  • Pour des automatisations de prospection commerciale (ajout à une séquence d’emails marketing), c’est le consentement (article 6(1)(a)) qui s’impose le plus souvent.

Le réflexe à avoir : un Zap qui change la finalité des données (par exemple, faire basculer un prospect « support » vers une liste « marketing ») peut constituer un traitement ultérieur incompatible. Vérifiez la compatibilité avant d’automatiser.

Configuration recommandée pour un Zapier conforme

Au terme de cet examen, voici la marche à suivre que je recommande à mes clients :

  • Signez le DPA de Zapier et conservez-en une copie datée, avec ses CCT.
  • Consultez et suivez la liste des sous-traitants ultérieurs publiée par Zapier (AWS notamment) ; intégrez-les à votre registre et à votre contrat de sous-traitance interne.
  • Cartographiez chaque Zap actif : finalité, données, applications source et destination, base légale.
  • Filtrez les champs transmis pour respecter la minimisation ; bannissez les données sensibles des automatisations standard.
  • Documentez les transferts (DPF + CCT) et, pour les flux à risque, formalisez une analyse d’impact des transferts.
  • Paramétrez et surveillez l’historique des tâches ; intégrez-le à votre procédure de réponse aux droits des personnes.
  • Informez les personnes concernées du transfert hors UE dans votre politique de confidentialité.

C’est précisément ce type de cartographie — qualifier chaque outil, rattacher son DPA, tracer les transferts et les sous-traitants ultérieurs — que Legiscope automatise, pour éviter qu’une automatisation invisible ne devienne un angle mort de votre conformité.

Ce qu’il faut retenir

  • Zapier est un sous-traitant (article 28 RGPD) : vous restez responsable de traitement et devez signer son DPA, disponible en ligne.
  • Les données sortent de l’UE : Zapier les héberge aux États-Unis. Le transfert repose sur le Data Privacy Framework (auto-certification) complété par les clauses contractuelles types de son DPA.
  • Le DPF est fragile : confirmé par le Tribunal de l’UE en septembre 2025 (affaire Latombe), mais un pourvoi est pendant devant la CJUE (C-703/25 P). Les CCT restent le filet de sécurité.
  • La minimisation est le vrai risque opérationnel : un Zap recopie facilement bien plus de données que nécessaire. Filtrez les champs et excluez les données sensibles.
  • L’historique des tâches stocke vos données aux États-Unis : vérifiez sa durée de rétention et tenez-en compte pour les demandes d’effacement.

FAQ

Zapier est-il conforme au RGPD ?

Zapier fournit les éléments permettant un usage conforme : un DPA conforme à l’article 28 intégrant les clauses contractuelles types, une auto-certification au Data Privacy Framework et une liste publiée de ses sous-traitants. La conformité finale dépend toutefois de votre configuration : signature du DPA, encadrement des transferts, minimisation des champs et information des personnes relèvent de votre responsabilité de responsable de traitement.

Les données qui passent par Zapier sont-elles transférées hors d’Europe ?

Oui. Zapier, Inc. stocke et traite les données aux États-Unis, ainsi que chez ses sous-traitants. Tout flux passant par un Zap constitue donc en principe un transfert hors UE, encadré par le Data Privacy Framework et, à titre complémentaire, par les clauses contractuelles types figurant dans le DPA de Zapier.

Faut-il une analyse d’impact pour utiliser Zapier ?

Pas systématiquement. Pour des automatisations à faible volume sans données sensibles, le couple DPF + CCT suffit généralement. En revanche, dès que vos Zaps traitent des volumes importants ou des catégories particulières de données, il est recommandé de documenter une analyse d’impact des transferts, voire une AIPD complète si le traitement présente un risque élevé pour les personnes.

Quelle base légale choisir pour une automatisation Zapier ?

Tout dépend de la finalité du traitement, pas de l’outil. L’exécution d’un contrat (article 6(1)(b)) couvre les synchronisations nécessaires au service ; l’intérêt légitime (article 6(1)(f)) convient aux automatisations internes après mise en balance ; la prospection commerciale relève généralement du consentement (article 6(1)(a)), à recueillir séparément.


Vous souhaitez recevoir nos analyses de conformité chaque semaine ? Abonnez-vous à notre newsletter pour décrypter, outil par outil, ce que le RGPD exige réellement de vous.