Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Zoom et RGPD : guide de conformité 2026

Zoom est-il conforme au RGPD ? Analyse du DPA, des transferts hors UE, de l'IA Companion, de la rétention et configuration recommandée pour DPO.

Peu d’outils ont autant cristallisé les débats sur la conformité que Zoom. En 2020, la plateforme reconnaissait avoir présenté à tort son chiffrement comme étant « de bout en bout » – une affaire qui s’est soldée par un accord transactionnel avec la Federal Trade Commission américaine. En 2023, une modification discrète de ses conditions d’utilisation laissait penser qu’elle pourrait entraîner ses modèles d’intelligence artificielle sur le contenu des réunions, déclenchant une nouvelle controverse. Pour le responsable de traitement qui déploie Zoom dans son organisation, ces épisodes ne sont pas anecdotiques : ils dessinent la carte des points de vigilance.

Dans ma pratique de conseil auprès de DPO de PME et d’ETI, Zoom soulève des questions récurrentes que je constate souvent mal traitées : la qualification exacte de l’éditeur, la localisation effective des données, le statut de l’IA Companion, et la base légale des enregistrements de réunion. Ce guide propose une analyse juridique à jour et des recommandations de configuration actionnables.

Pour une vue d’ensemble des outils collaboratifs, voir également nos analyses de Microsoft Teams, de Slack et de Google Workspace, trois plateformes qui posent des problématiques voisines avec des réponses contractuelles différentes.

Qualification juridique : Zoom comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Zoom Communications, Inc. (entité qui a succédé à Zoom Video Communications, Inc. après son changement de dénomination) agit en qualité de sous-traitant au sens de l’article 28 du RGPD lorsqu’elle traite les données de vos réunions, webinaires, messages et enregistrements. Votre organisation détermine les finalités (réunions internes, relation client, formation) et les moyens essentiels (qui dispose d’une licence, quelles fonctionnalités sont activées, quelles durées de conservation s’appliquent). Zoom fournit l’infrastructure et traite les données selon vos instructions documentées.

Un point mérite d’être souligné d’emblée, car il distingue Zoom de concurrents comme Microsoft ou Google : l’entité contractante reste la société mère américaine. Là où Microsoft fait contracter ses clients européens avec Microsoft Ireland, Zoom s’appuie sur son entité états-unienne et encadre les flux par des mécanismes de transfert. Cette architecture ne rend pas Zoom non conforme, mais elle place la question des transferts hors UE au cœur de l’analyse, et non à sa marge.

Zoom comme responsable de traitement pour ses propres finalités

Comme la plupart des fournisseurs SaaS, Zoom se réserve la qualité de responsable de traitement pour un périmètre limité : facturation, sécurité du service, amélioration produit fondée sur des données de diagnostic. Cette dualité de rôles est admise, mais elle impose au DPO de vérifier dans le contrat le périmètre exact des traitements que Zoom opère pour son propre compte, et de s’assurer qu’il reste circonscrit à des finalités légitimes et documentées.

L’IA Companion : un traitement à analyser spécifiquement

Zoom AI Companion – l’assistant génératif intégré aux réunions (résumés, transcriptions, suggestions) – appelle un traitement distinct. Après la controverse de 2023 (voir plus bas), Zoom affirme désormais ne pas utiliser le contenu client (audio, vidéo, chat, fichiers) pour entraîner ses modèles d’IA ou ceux de tiers. L’éditeur reste donc sous-traitant pour cet usage. Il convient néanmoins de documenter spécifiquement l’activation de l’IA Companion dans votre registre des traitements et, selon la sensibilité des échanges concernés, d’envisager une analyse d’impact dédiée au titre de l’article 35.

Analyse du Global Data Processing Addendum

Le contrat de sous-traitance de Zoom est consolidé dans le Zoom Communications Global Data Processing Addendum (DPA), accessible publiquement et incorporé par défaut aux conditions de service des clients commerciaux. Mon analyse au regard des exigences de l’article 28 du RGPD :

Exigence Art. 28 RGPD Couverture dans le DPA Zoom Évaluation
Objet, durée, nature et finalité Décrits dans le DPA et les annexes Conforme
Types de données et catégories Détaillés dans les annexes de traitement Conforme
Instructions documentées Traitement sur les seules instructions du client Conforme
Confidentialité du personnel Engagement de confidentialité du personnel Conforme
Mesures de sécurité (Art. 32) Annexe de mesures techniques et organisationnelles Conforme
Sous-traitants ultérieurs Liste publiée, notification préalable, droit d’objection Conforme
Assistance pour les droits des personnes Mécanismes d’export et engagement d’assistance Conforme
Suppression ou restitution Restitution ou suppression en fin de contrat Conforme
Droit d’audit Mise à disposition de rapports de certification (SOC 2, ISO 27001) Conforme (via certifications)
Notification en cas de violation Engagement de notification sans retard injustifié Conforme

Zoom intègre depuis 2021 les clauses contractuelles types (CCT) de la Commission européenne dans son DPA, et a publié au cours du second semestre 2024 un addendum renforcé pour ses clients Entreprise et Éducation de l’EEE, fruit de négociations menées notamment dans le cadre des analyses d’impact conduites par le secteur public néerlandais (SURF). Comme pour les autres hyperscalers, le droit d’audit s’exerce principalement par la mise à disposition de rapports de certification plutôt que par audit sur site – pratique admise par la doctrine majoritaire pour les opérateurs de cette taille, mais qui doit rester cohérente avec votre politique interne d’audit des sous-traitants.

Transferts internationaux : le point central

Les mécanismes mobilisés par Zoom

Parce que l’entité contractante est américaine, le transfert de données hors UE est consubstantiel à l’usage de Zoom. L’éditeur s’appuie sur deux mécanismes cumulatifs. D’abord, le EU-US Data Privacy Framework (DPF) : Zoom est certifiée au DPF depuis 2023, et la décision d’adéquation de la Commission européenne du 10 juillet 2023 fournit une base légale pour les transferts vers les États-Unis tant que la certification est maintenue. Ensuite, les clauses contractuelles types (CCT, version 2021) restent intégrées au DPA comme mécanisme subsidiaire – protection contractuelle utile en cas d’invalidation future du DPF, scénario que l’on ne peut écarter compte tenu du précédent Schrems II et des recours déjà engagés contre le cadre actuel.

L’option de résidence des données en UE

Zoom propose, pour les comptes payants éligibles, de choisir une région de stockage et de traitement au sein de l’Union européenne pour le trafic en temps réel des réunions et webinaires. C’est une amélioration réelle, mais il faut en mesurer les limites avec précision : les données de compte et une partie des données de diagnostic continuent d’être stockées aux États-Unis, et certains flux peuvent transiter par des centres de données américains même lorsque l’option UE est activée. La résidence des données réduit donc l’exposition sans la supprimer.

Analyse d’impact sur les transferts

Les recommandations 01/2020 du Comité européen de la protection des données imposent au responsable de traitement d’évaluer lui-même l’équivalence du niveau de protection dans le pays destinataire. Pour Zoom, les éléments à documenter dans cette analyse (TIA) comprennent : la catégorisation des données effectivement transférées, les mesures techniques supplémentaires (chiffrement en transit et au repos, chiffrement de bout en bout activable pour les réunions sensibles, gestion des clés), et l’analyse du droit américain applicable – en particulier le FISA 702 – au regard de votre configuration réelle. Ce travail d’analyse structurée des transferts est précisément celui que Legiscope automatise à partir de votre cartographie d’outils.

L’épisode de 2023 : une leçon de gouvernance de l’IA

En mars 2023, Zoom a introduit dans ses conditions d’utilisation une clause autorisant l’usage des données client pour l’entraînement de modèles d’IA, sans possibilité d’opposition. La formulation, révélée en août 2023, a soulevé une difficulté de fond au regard du droit européen : entraîner des modèles sur le contenu de communications suppose une base légale solide, et le consentement – s’il est invoqué – doit être libre, ce qu’un choix entre « participer ou non à la réunion » ne permet pas de garantir. L’article 5(3) de la directive ePrivacy protège par ailleurs la confidentialité des communications contre toute interception non consentie.

Sous la pression, Zoom a révisé ses conditions à deux reprises en août 2023 pour affirmer qu’elle n’utilise aucun contenu client pour entraîner ses modèles d’IA. La leçon pour le DPO dépasse Zoom : toute fonctionnalité d’IA générative greffée sur un outil collaboratif doit faire l’objet d’une vérification contractuelle explicite sur le sort des données, et d’une activation maîtrisée plutôt que subie. Les conditions d’un éditeur peuvent évoluer ; la veille contractuelle fait partie de la conformité.

L’accord avec la FTC : un rappel sur l’article 32

L’affaire qui a marqué les esprits reste l’accord transactionnel conclu avec la Federal Trade Commission, finalisé le 19 janvier 2021. La FTC reprochait à Zoom d’avoir présenté son chiffrement comme étant « de bout en bout » alors qu’il offrait un niveau de protection inférieur, et d’avoir conservé certains enregistrements en clair pendant plusieurs jours sur ses serveurs. L’accord n’a comporté aucune amende, mais a imposé à Zoom un programme de sécurité audité et l’exposait à des pénalités en cas de manquement futur.

Cette affaire américaine éclaire une exigence du RGPD : l’article 32 impose des mesures de sécurité adaptées, et l’article 13 une information exacte des personnes. Présenter à ses utilisateurs un niveau de sécurité supérieur à la réalité constituerait, en droit européen, un défaut d’information loyale. Depuis, Zoom a effectivement déployé un chiffrement de bout en bout optionnel pour les réunions – fonctionnalité qu’il convient d’activer pour les échanges les plus sensibles, en connaissant ses contreparties (perte de certaines fonctions comme l’enregistrement cloud).

Configuration RGPD recommandée

Durées de conservation des enregistrements

Le paramètre le plus souvent mal maîtrisé dans mes audits est la rétention des enregistrements et transcriptions. Conserver ces contenus sans limite contrevient au principe de limitation de conservation de l’article 5(1)(e) du RGPD. Il est recommandé de définir une durée par finalité – typiquement 30 à 180 jours pour un enregistrement de réunion selon le cas d’usage – et de l’appliquer via les politiques de rétention de l’administration Zoom. Voir notre guide des durées de conservation pour les bornes indicatives par catégorie de données.

Base légale des enregistrements

L’enregistrement d’une réunion impose une information préalable des participants (article 13) et une base légale. Dans un contexte professionnel, l’enregistrement s’appuie généralement sur l’intérêt légitime de l’employeur (documentation d’une décision, formation, restitution aux absents), base qui doit être justifiée par un test de mise en balance documenté. Le recours au consentement n’est pas approprié dans la relation salariée du fait du déséquilibre hiérarchique. Zoom affiche un bandeau d’information lorsqu’un enregistrement démarre : cette notification est utile mais ne dispense pas d’une information complète en amont (finalité, durée, destinataires).

IA Companion et invités externes

L’IA Companion doit être déployée de manière maîtrisée : limiter l’activation à des populations ciblées, informer les participants de la génération de résumés et transcriptions, et désactiver la fonction pour les réunions traitant de données sensibles ou couvertes par le secret. Côté accès externes, il est recommandé de restreindre les capacités de partage et d’invitation aux besoins documentés (restriction par domaine, expiration des accès inutilisés, journalisation des partages), et d’articuler ces règles avec votre charte informatique.

La question de la souveraineté

Pour les administrations et les organisations traitant des données particulièrement sensibles, la question dépasse la seule conformité formelle. Dès 2020, dans ses conseils sur les outils de visioconférence, la CNIL recommandait de privilégier les solutions protectrices de la vie privée et citait Tixeo, éditeur français dont la solution est qualifiée SecNumCloud par l’ANSSI – la CNIL utilise d’ailleurs elle-même cet outil pour ses propres échanges. Ayant travaillé six ans au sein de la DCSSI (devenue l’ANSSI), je considère que cette dimension de souveraineté mérite d’être pesée explicitement : pour des réunions stratégiques, médicales ou intéressant la sécurité, une solution qualifiée SecNumCloud offre une garantie d’immunité aux lois extraterritoriales que Zoom, par construction, ne peut pas apporter. Ce n’est pas un verdict contre Zoom pour l’usage courant, mais une invitation à segmenter les usages selon la sensibilité.

Droits des personnes et notification de violation

L’exercice du droit d’accès sur un environnement Zoom peut nécessiter la recherche dans des enregistrements, transcriptions, messages et journaux de connexion ; la procédure doit être formalisée et testée avant la première demande réelle. En cas de violation affectant Zoom (compromission de compte, fuite d’enregistrement), la procédure de notification à la CNIL sous 72 heures reste applicable : Zoom s’engage à vous notifier sans retard injustifié, mais la qualification et la décision de notification demeurent de votre responsabilité.

Ce qu’il faut retenir

  • Zoom Communications, Inc. est sous-traitant au sens de l’article 28 du RGPD ; son DPA est solide et intègre les CCT 2021, mais l’entité contractante américaine place les transferts hors UE au cœur de l’analyse.
  • La conformité des transferts repose sur le Data Privacy Framework (Zoom certifiée depuis 2023) et, à titre subsidiaire, sur les CCT ; une analyse d’impact des transferts (TIA) reste recommandée.
  • L’option de résidence des données en UE réduit l’exposition pour le trafic des réunions, mais les données de compte et de diagnostic restent partiellement aux États-Unis.
  • Les enregistrements exigent une information préalable (article 13) et une base légale documentée – généralement l’intérêt légitime testé ; la rétention par défaut doit être bornée.
  • L’IA Companion appelle une activation maîtrisée et une vérification contractuelle ; pour les données les plus sensibles, une solution souveraine qualifiée SecNumCloud mérite d’être envisagée.

FAQ

Zoom est-il conforme au RGPD ?

Oui, dans sa configuration contractuelle standard pour un usage professionnel courant. Le DPA de Zoom couvre les exigences de l’article 28, intègre les clauses contractuelles types, et l’éditeur est certifié au Data Privacy Framework. La conformité effective dépend néanmoins du paramétrage par le client (rétention, enregistrements, IA Companion, accès externes) et de la documentation dans le registre des traitements.

Où sont stockées les données Zoom ?

Par défaut, une partie des données peut être traitée aux États-Unis. Zoom propose aux comptes payants éligibles de choisir une région de stockage en UE pour le trafic en temps réel des réunions et webinaires, mais les données de compte et une partie des données de diagnostic restent stockées aux États-Unis, et certains flux peuvent y transiter même avec l’option UE activée.

L’IA Companion de Zoom respecte-t-elle le RGPD ?

Zoom affirme depuis 2023 ne pas utiliser le contenu des réunions pour entraîner ses modèles d’IA. Son usage reste néanmoins un traitement à documenter : information des participants, base légale, et le cas échéant analyse d’impact au titre de l’article 35 lorsque des données sensibles sont en jeu. Il est recommandé de désactiver la fonction pour les réunions confidentielles.

Peut-on enregistrer une réunion Zoom sans consentement ?

L’enregistrement ne requiert pas le consentement au sens du RGPD dans un contexte professionnel, mais il impose une information préalable des participants (article 13) et une base légale. L’intérêt légitime de l’employeur est généralement mobilisé, à condition de documenter un test de mise en balance démontrant la proportionnalité de la mesure.


Envie de mettre Zoom et vos autres outils en conformité sans y passer des semaines ? Recevez nos analyses de conformité chaque semaine : décisions CNIL décryptées, modèles de configuration et retours d’expérience de DPO.