Zendesk et RGPD : guide de conformite 2026

Zendesk est la plateforme de support client la plus repandue dans les entreprises SaaS et les PME numeriques en France. Tickets de support, live chat, centre d’aide, messagerie, telephonie – Zendesk centralise l’ensemble des interactions entre votre entreprise et vos clients. Et c’est precisement la que reside l’enjeu RGPD : un outil de support client traite par nature des donnees personnelles, souvent dans des volumes et avec une diversite que vous ne controlez pas entierement.

Le probleme specifique de Zendesk est que vos clients decident eux-memes quelles donnees ils vous envoient dans les tickets. Un client qui colle son numero de carte bancaire dans un message de support, qui joint une copie de sa piece d’identite, ou qui decrit un probleme de sante dans un ticket – c’est une realite quotidienne. Zendesk devient alors le receptacle de donnees sensibles que vous n’avez pas demandees et que vous devez neanmoins proteger.

Ce guide analyse la conformite RGPD de Zendesk sous l’angle du DPA, des transferts, de la securite et de la configuration operationnelle. Pour une vue d’ensemble, consultez notre guide RGPD par outil. Voir egalement nos analyses de Salesforce (qui inclut Service Cloud, concurrent direct de Zendesk) et de Slack (souvent utilise en complement de Zendesk pour le support interne).

Qualification juridique : Zendesk comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Zendesk Inc. agit en qualite de sous-traitant au sens de l’article 28 du RGPD pour l’ensemble de ses services principaux (Support, Chat, Guide, Talk, Messaging). Votre organisation est le responsable de traitement : vous determinez les finalites (gestion du support client, resolution des demandes, suivi de la satisfaction) et les moyens essentiels (choix de l’outil, configuration des formulaires, regles de routage).

Zendesk fournit l’infrastructure et l’application, traite les donnees selon vos instructions, et ne determine pas les finalites du traitement. C’est une relation de sous-traitance classique, identique dans son principe a celle d’un hebergeur cloud ou d’un CRM.

Categories de donnees traitees

La particularite de Zendesk est l’etendue et l’imprevisibilite des donnees traitees :

Donnees structurees (controlables) :

• Nom, prenom, email, telephone du demandeur
• Nom de l’entreprise, fonction
• Historique des tickets et des interactions
• Metadonnees : date, heure, canal, agent assigne, statut, priorite
• Donnees de satisfaction (CSAT, NPS)

Donnees non structurees (difficilement controlables) :

• Contenu libre des messages de support : les clients peuvent ecrire tout et n’importe quoi
• Pieces jointes : captures d’ecran, documents, fichiers pouvant contenir des donnees personnelles ou sensibles
• Transcriptions de chat et d’appels telephoniques
• Donnees partagees via le centre d’aide (formulaires, commentaires)

Categories de personnes concernees : clients, prospects, utilisateurs finaux, employes (pour le support interne), partenaires.

Cette imprevisibilite du contenu est le defi RGPD numero un de Zendesk. Contrairement a un CRM ou vous definissez les champs, un systeme de tickets recoit des donnees libres que vous ne pouvez pas filtrer a priori.

Le cas de Zendesk AI

Zendesk a deploye des fonctionnalites d’intelligence artificielle (Answer Bot, Intelligence Triage, suggestions de reponses automatiques, resume de tickets). Selon la documentation de Zendesk, ces fonctionnalites traitent les donnees dans le cadre du DPA existant. Zendesk s’engage a ne pas utiliser les donnees client pour entrainer ses modeles d’IA de base.

Neanmoins, l’activation de Zendesk AI sur des tickets pouvant contenir des donnees sensibles (sante, donnees financieres) merite une analyse specifique. Documentez l’utilisation de l’IA dans votre registre et dans votre information aux personnes.

Analyse du DPA Zendesk

Le Zendesk Data Processing Agreement est disponible en ligne et automatiquement applicable aux clients. Depuis le rachat de Zendesk par un consortium de capital-investissement en 2022, l’entite juridique a change, mais le DPA reste fonctionnellement similaire. Voici notre analyse.

Exigence Art. 28	Couverture Zendesk	Evaluation
Instructions documentees (28(3)(a))	Traitement sur instructions documentees du client	Conforme
Confidentialite du personnel (28(3)(b))	Engagement de confidentialite pour les employes et sous-traitants	Conforme
Mesures de securite (28(3)©)	Annexe securite avec mesures techniques et organisationnelles	Conforme
Sous-traitants ulterieurs (28(3)(d))	Liste publiee, notification prealable, droit d’objection	Conforme
Assistance droits des personnes (28(3)(e))	Outils d’export et de suppression + engagement contractuel	Conforme
Assistance securite et AIPD (28(3)(f))	Cooperation prevue dans le DPA	Conforme
Suppression ou restitution (28(3)(g))	Suppression des donnees en fin de contrat dans le delai contractuel	Conforme
Audits (28(3)(h))	Rapports SOC 2 et certifications mis a disposition + engagement d’audit	Conforme (via rapports)

Points forts du DPA Zendesk :

• DPA automatiquement applicable, sans demarche supplementaire.
• Couverture formelle de toutes les exigences de l’article 28.
• Liste de sous-traitants ulterieurs publiee et mise a jour.

Points d’attention :

• Changement de propriete : l’acquisition par le capital-investissement en 2022 a souleve des questions sur la continuite des engagements de conformite. En pratique, le DPA est reste en place, mais surveillez les evolutions des conditions contractuelles.
• Sous-traitants ulterieurs : Zendesk utilise AWS et GCP comme fournisseurs d’infrastructure, plus divers prestataires d’analyse et de support. Chaque sous-traitant ajoute un maillon a la chaine de conformite. Verifiez la liste regulierement.
• Droit d’audit : comme la plupart des SaaS, Zendesk privilegie la mise a disposition de rapports de certification plutot qu’un audit physique.

Transferts internationaux et evaluation d’impact du transfert

Localisation des donnees

Zendesk Inc. a son siege a San Francisco, Californie (Etats-Unis). Zendesk propose des options de localisation des donnees dans l’UE :

• Centre de donnees Francfort (Allemagne) et Dublin (Irlande) pour les plans Enterprise et superieur.
• La localisation UE couvre les donnees de tickets, les profils utilisateurs et les pieces jointes.
• Certaines metadonnees et certaines fonctionnalites peuvent neanmoins impliquer un traitement aux Etats-Unis.

Mecanismes de transfert

1. EU-US Data Privacy Framework : Zendesk Inc. est certifie DPF.
2. Clauses contractuelles types : integrees au DPA comme mecanisme subsidiaire.
3. Mesures supplementaires : chiffrement en transit et au repos, controles d’acces.

Elements de TIA

• Cadre juridique americain : meme analyse que pour tout fournisseur americain – section 702 FISA, EO 12333, attenues par l’EO 14086.
• Nature des donnees : c’est le point critique pour Zendesk. Les tickets de support peuvent contenir n’importe quel type de donnees personnelles, y compris des donnees sensibles. Un ticket de support sante, un ticket mentionnant un litige juridique, un ticket contenant des donnees bancaires – tous transitent par Zendesk. La sensibilite potentielle des donnees est plus elevee que pour un CRM standard.
• Mesures supplementaires : chiffrement AES-256 au repos, TLS en transit. Pas de chiffrement cote client natif (contrairement a Salesforce Shield ou Slack EKM).
• Localisation UE : si activee, reduit significativement le perimetre des transferts.

Recommandation : activez la localisation UE des que votre plan le permet. Pour les organisations traitant des donnees particulierement sensibles dans les tickets (sante, juridique, financier), evaluez si Zendesk offre un niveau de protection suffisant ou si une solution avec chiffrement cote client est necessaire.

Securite informatique

Certifications et audits

Zendesk dispose d’un programme de securite solide, atteste par les certifications suivantes :

• SOC 2 Type II : audit independant couvrant securite, disponibilite et confidentialite
• ISO 27001 : systeme de management de la securite de l’information
• ISO 27018 : protection des donnees personnelles dans le cloud
• ISO 27701 : systeme de management de la vie privee (certification notable, identique a celle de Google Cloud)
• CSA STAR : Cloud Security Alliance

Mesures techniques

• Chiffrement en transit : TLS 1.2+ pour toutes les communications
• Chiffrement au repos : AES-256 pour les donnees stockees
• Authentification : SSO via SAML 2.0, authentification a deux facteurs (2FA)
• Controles d’acces : gestion des roles et des permissions par agent et par groupe
• Journalisation : audit logs des actions administratives (plans Enterprise)
• Redondance : infrastructure hebergee sur AWS et GCP avec haute disponibilite

Limites

• Pas de chiffrement cote client : contrairement a Salesforce Shield ou Slack EKM, Zendesk ne propose pas de solution de chiffrement ou le client gere ses propres cles. C’est une limitation significative pour les organisations traitant des donnees hautement sensibles.
• Acces par le support Zendesk : les agents de support Zendesk peuvent avoir besoin d’acceder a vos donnees pour resoudre un incident. Cette situation est encadree par le DPA mais merite d’etre evaluee dans votre TIA.

Configuration recommandee pour la conformite RGPD

1. Activer la localisation des donnees en UE. Contactez Zendesk pour activer l’hebergement dans le centre de donnees de Francfort ou Dublin. C’est la mesure la plus impactante pour reduire les transferts hors UE.

2. Archiver le DPA. Telechargez et conservez une copie du Zendesk DPA dans votre dossier de conformite. Verifiez qu’il couvre bien les services que vous utilisez (Support, Chat, Guide, Talk, Explore, Zendesk AI).

3. Configurer les durees de retention. Zendesk permet de configurer la suppression automatique des tickets apres une duree definie (plans Enterprise). Definissez une duree coherente avec votre politique de conservation des donnees. Pour les plans inferieurs, mettez en place un processus manuel de purge periodique.

4. Activer le 2FA et le SSO. Rendez l’authentification a deux facteurs obligatoire pour tous les agents. Configurez le SSO via votre fournisseur d’identite (Okta, Azure AD, Google) pour un controle centralise.

5. Restreindre les acces par role. Configurez les roles Zendesk (agent, administrateur, agent light) avec le principe du moindre privilege. Limitez l’acces aux tickets sensibles via les groupes et les restrictions de visibilite.

6. Limiter les applications tierces. Le Zendesk Marketplace propose des centaines d’applications tierces. Chaque application accedant aux donnees de tickets est un sous-traitant additionnel. Auditez les applications installees, supprimez celles qui ne sont pas utilisees, et verifiez le DPA de chaque editeur.

7. Configurer les formulaires de contact. Limitez les champs obligatoires dans vos formulaires de demande au strict necessaire (nom, email, objet, description). Ajoutez un avertissement visible invitant les clients a ne pas inclure de donnees sensibles dans leurs messages (numeros de carte, donnees de sante, pieces d’identite).

8. Mettre a jour la politique de confidentialite. Mentionnez Zendesk comme sous-traitant dans votre politique de confidentialite, avec les categories de donnees traitees, les finalites, les transferts hors UE, et les droits des personnes.

9. Documenter dans le registre. Ajoutez Zendesk a votre registre des traitements : finalite (gestion du support client), base legale (execution du contrat ou interet legitime), categories de donnees, sous-traitance, transferts, retention, securite.

10. Preparer la reponse aux droits. Configurez la fonctionnalite RGPD native de Zendesk (suppression et anonymisation des utilisateurs finaux, export des donnees) pour repondre aux demandes d’acces (art. 15) et d’effacement (art. 17). Testez la procedure avant de recevoir une demande reelle.

Points d’attention specifiques

Les donnees sensibles non sollicitees : le vrai defi

C’est le probleme le plus difficile de Zendesk du point de vue RGPD. Vos clients vont inevitablement inclure des donnees sensibles dans leurs tickets. Un client sante qui decrit ses symptomes. Un client qui envoie une photo de sa carte d’identite. Un employe qui signale un probleme RH. Vous ne pouvez pas empecher ces transmissions, mais vous devez les gerer.

Recommandations pratiques :

• Avertissement dans les formulaires : ajoutez un texte clair demandant aux clients de ne pas transmettre de donnees sensibles (numeros de carte, donnees de sante, pieces d’identite) sauf si strictement necessaire.
• Formation des agents : formez vos agents a identifier et supprimer les donnees sensibles non necessaires dans les tickets (caviarder un numero de carte bancaire, supprimer une piece jointe contenant une carte d’identite).
• Processus de purge : mettez en place un processus regulier d’identification et de suppression des donnees sensibles dans les tickets clotures.
• Champs personnalises sensibles : si vous creez des champs personnalises pour des donnees sensibles, restreignez-en l’acces au minimum d’agents necessaire.

Zendesk AI et la transparence

Si vous activez les fonctionnalites IA de Zendesk (Answer Bot, suggestions, resume, triage), informez-en vos clients. L’article 13 du RGPD impose la transparence sur les traitements automatises. Ajoutez une mention dans votre politique de confidentialite et, si possible, un avertissement dans l’interface de chat indiquant que l’IA peut etre utilisee pour traiter la demande.

Verifiez egalement les conditions de Zendesk concernant l’utilisation des donnees par l’IA. Zendesk s’engage actuellement a ne pas utiliser les donnees client pour entrainer ses modeles de base, mais cette politique peut evoluer. Surveillez les mises a jour des conditions de service.

Sous-traitants ulterieurs : la chaine de dependance

Zendesk s’appuie sur AWS et GCP pour son infrastructure, plus divers prestataires pour l’analytics, le monitoring et le support. Chaque sous-traitant ajoute un maillon a la chaine de responsabilite. Consultez regulierement la liste des sous-traitants ulterieurs de Zendesk et documentez les changements. Si un nouveau sous-traitant est localise dans un pays sans decision d’adequation, evaluez l’impact sur votre TIA.

Retention par defaut : meme piege que Slack

Par defaut, Zendesk conserve les tickets indefiniment. C’est contraire au principe de limitation de la conservation (art. 5(1)(e) du RGPD). Des annees de tickets de support contenant potentiellement des donnees sensibles s’accumulent sans purge. Definissez une politique de retention et, sur les plans qui le permettent, automatisez la suppression. Pour les plans sans retention automatisee, planifiez des purges manuelles trimestrielles.

FAQ

Zendesk est-il conforme au RGPD ?

Zendesk fournit un cadre contractuel et technique adequat : DPA conforme a l’article 28, certifications solides (SOC 2, ISO 27001, ISO 27701), localisation UE disponible, certification DPF. La conformite effective depend de votre configuration : localisation UE activee, retention configuree, applications tierces auditees, agents formes a la gestion des donnees sensibles. Le risque specifique de Zendesk est le contenu non controle des tickets – c’est un point que vous devez gerer operationnellement. Les outils de conformite RGPD comme Legiscope permettent d’auditer cette configuration.

Les tickets de support sont-ils des donnees personnelles ?

Oui, dans la grande majorite des cas. Un ticket contient au minimum l’identite du demandeur (nom, email) et le contenu de sa demande. Ce contenu constitue une donnee personnelle des lors qu’il permet d’identifier directement ou indirectement une personne physique. Les tickets doivent etre traites comme des donnees personnelles au sens de l’article 4 du RGPD et soumis a l’ensemble des obligations du reglement (base legale, information, conservation limitee, securite, droits des personnes).

Faut-il une AIPD pour Zendesk ?

L’analyse d’impact n’est pas systematiquement requise pour un usage standard de Zendesk (support client B2B). En revanche, elle est recommandee si vos tickets contiennent regulierement des donnees sensibles (secteur sante, juridique, financier), si vous traitez un volume important de tickets (traitement a grande echelle), ou si vous activez Zendesk AI sur des tickets sensibles. En cas de doute, la CNIL recommande de realiser l’AIPD.

Que faire si un client envoie des donnees sensibles dans un ticket ?

Premiement, formez vos agents a identifier les donnees sensibles (numeros de carte, donnees de sante, pieces d’identite). Deuxiemement, supprimez ou caviardez les donnees non necessaires au traitement de la demande. Troisiemement, si les donnees sensibles sont necessaires (cas d’un support sante, par exemple), documentez la base legale (generalement le consentement explicite ou l’execution du contrat) et restreignez l’acces au ticket. Quatriemement, ajoutez un avertissement dans vos formulaires de contact demandant aux clients de ne pas envoyer de donnees sensibles sauf necessite absolue. Consultez notre analyse des LinkedIn Ads et RGPD et Meta Ads et RGPD pour des problematiques de conformite complementaires.