Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 29 avril 2026
Accueil/RGPD/Asana et RGPD : guide de conformité 2026
RGPD

Asana et RGPD : guide de conformité 2026

Asana est-il conforme au RGPD ? Analyse du DPA, des transferts, de la sécurité et configuration recommandée.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202611 min de lecture
Sommaire
  1. Qualification juridique : Asana comme sous-traitant
  2. Analyse du DPA Asana
  3. Transferts internationaux et analyse d’impact sur les transferts (TIA)
  4. Sécurité informatique
  5. Configuration recommandée pour la conformité RGPD
  6. Points d’attention spécifiques
  7. FAQ

Asana est l’un des outils de gestion de projet les plus populaires auprès des équipes marketing, produit et opérations des entreprises françaises. Planification de campagnes, suivi de livrables, gestion de portefeuilles de projets, workflows automatisés : Asana centralise une quantité significative d’informations opérationnelles qui incluent, presque inévitablement, des données personnelles. Noms de clients dans les titres de tâches, coordonnées dans les commentaires, fichiers contenant des listes de contacts en pièces jointes – le traitement de données personnelles dans Asana est diffus et souvent non documenté.

L’analyse RGPD d’Asana se distingue de celle de Jira par le profil des utilisateurs : là où Jira est utilisé principalement par des équipes techniques habituées à la rigueur des processus, Asana est adopté par des équipes métiers (marketing, commercial, RH) qui n’ont pas toujours le réflexe de s’interroger sur les implications RGPD de leur utilisation quotidienne de l’outil.

Pour une vue d’ensemble de la conformité des outils SaaS, consultez notre guide RGPD par outil. Voir également nos analyses de Jira et de Monday.com, deux alternatives à Asana.

Qualification juridique : Asana comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Asana Inc. agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour l’ensemble de ses services cloud. Votre organisation détermine les finalités du traitement (gestion de projet, planification marketing, suivi opérationnel) et les moyens essentiels (quels projets sont créés, quels collaborateurs y participent, quelles données y sont saisies). Asana fournit l’infrastructure technique et traite les données selon vos instructions.

Les catégories de données traitées

Asana traite des données personnelles à plusieurs niveaux :

  • Profils utilisateurs : noms, adresses email, photos de profil, fonction, équipe
  • Contenu des tâches : titres, descriptions, commentaires, pièces jointes. Les titres de tâches contiennent souvent des noms de clients ou de collaborateurs.
  • Données de timeline et de portefeuille : assignations, dates, statuts, progression
  • Données de formulaire : si les formulaires Asana sont utilisés pour collecter des informations (demandes internes, briefs)
  • Métadonnées d’activité : journal d’activité enregistrant qui a fait quoi et quand

Le cas d’Asana Intelligence (IA)

Asana Intelligence propose des fonctionnalités d’IA pour résumer des projets, générer des statuts et identifier des risques. Selon la documentation d’Asana, la fonctionnalité IA utilise les données de l’espace de travail et peut faire appel à des sous-traitants ultérieurs pour le traitement par modèles de langage. Vérifiez la politique spécifique d’Asana Intelligence et la liste des sous-traitants IA dans le DPA avant d’activer cette fonctionnalité.

Analyse du DPA Asana

Le DPA d’Asana est disponible en ligne et s’applique aux clients disposant d’un abonnement payant. Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD Couverture dans le DPA Asana Évaluation
Objet, durée, nature et finalité du traitement Définis dans le DPA et les conditions de service Conforme
Types de données et catégories de personnes Décrits dans l’annexe au DPA Conforme
Instructions documentées du responsable Traitement sur instructions documentées Conforme
Confidentialité du personnel Engagement de confidentialité pour le personnel Asana Conforme
Mesures de sécurité (Art. 32) Mesures techniques et organisationnelles dans l’annexe sécurité Conforme
Sous-traitants ultérieurs Liste publiée avec mécanisme de notification Conforme
Assistance pour les droits des personnes Engagement d’assistance dans le DPA Conforme
Suppression ou restitution en fin de contrat Suppression des données après résiliation Conforme
Droit d’audit Prévu dans le DPA (via rapports SOC 2, ISO 27001 et possibilité d’audit) Conforme
Information en cas d’instruction contrevenant au RGPD Prévu dans le DPA Conforme

Le DPA d’Asana est conforme aux exigences de l’article 28. Il est néanmoins moins détaillé que ceux de certains concurrents (Atlassian, Google) sur les mesures techniques spécifiques. Le mécanisme de notification en cas de changement de sous-traitants ultérieurs existe mais les modalités d’objection doivent être vérifiées.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des données

Asana Inc. est une société américaine basée à San Francisco. L’infrastructure est hébergée sur AWS, avec l’hébergement principal aux États-Unis. La résidence des données dans l’UE est disponible sur le plan Enterprise uniquement.

Il faut distinguer :

  • Données de contenu (tâches, projets, pièces jointes) : hébergeables dans l’UE sur le plan Enterprise
  • Données de compte (inscription, facturation) : aux États-Unis
  • Métadonnées de service : peuvent être traitées aux États-Unis

Pour les organisations utilisant les plans Starter, Advanced ou Business, toutes les données sont hébergées aux États-Unis. C’est une limitation significative que les plans inférieurs ne permettent pas de contourner.

Mécanismes de transfert

Pour les transferts vers les États-Unis, Asana s’appuie sur :

  1. EU-US Data Privacy Framework (DPF). Asana Inc. est certifiée au DPF.

  2. Clauses contractuelles types (CCT). Le DPA intègre les CCT 2021 comme mécanisme supplémentaire.

Conduite de la TIA

Les éléments à évaluer :

  • Cadre juridique américain. FISA Section 702, EO 12333, avec les garanties de l’EO 14086 dans le cadre du DPF.
  • Nature des données. Les données dans Asana sont généralement moins sensibles que dans un CRM ou un outil de paie, mais elles peuvent néanmoins inclure des noms de clients, des informations commerciales, et des données d’employés (assignations, charges de travail, évaluations de performance dans certains cas).
  • Mesures supplémentaires. Chiffrement en transit et au repos. La résidence des données UE sur le plan Enterprise réduit l’exposition. Pour les plans sans résidence UE, la TIA doit documenter que l’intégralité des données est hébergée aux États-Unis.

Sécurité informatique

Asana a développé un dispositif de sécurité adapté à son positionnement d’outil de productivité pour les équipes métiers.

Certifications et audits

  • SOC 2 Type II – audit indépendant des contrôles de sécurité
  • ISO 27001 – certification du système de management de la sécurité

Mesures techniques

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : AES-256 via AWS
  • Authentification : SSO SAML 2.0 (plans Business et Enterprise), MFA, SCIM pour le provisionnement automatique (Enterprise)
  • Gestion des permissions : permissions par équipe, par projet, tâches privées
  • Journalisation : journal d’audit des actions administratives (Enterprise)
  • Contrôle de session : durée de session configurable, déconnexion forcée à distance

Mesures organisationnelles

  • Programme de gestion des vulnérabilités
  • Tests de pénétration réguliers
  • Programme de bug bounty (HackerOne)
  • Notification des incidents de sécurité conformément au DPA

Le niveau de sécurité d’Asana est correct pour un outil de gestion de projet. Les fonctionnalités de sécurité avancées (SSO, SCIM, journal d’audit, résidence des données UE) sont cependant réservées aux plans Business et Enterprise, ce qui crée une disparité de conformité selon le plan souscrit.

Configuration recommandée pour la conformité RGPD

  1. Évaluer le plan souscrit au regard des besoins RGPD. La résidence des données UE et les fonctionnalités de sécurité avancées (SCIM, journal d’audit) ne sont disponibles que sur le plan Enterprise. Si vos tâches Asana contiennent des données personnelles significatives, le plan Enterprise peut être nécessaire pour atteindre un niveau de conformité satisfaisant.

  2. Activer la résidence des données dans l’UE. Sur le plan Enterprise, activez la résidence des données UE. Les données de contenu seront stockées dans les centres de données AWS européens.

  3. Signer et archiver le DPA. Acceptez le DPA d’Asana disponible en ligne. Conservez une copie datée dans votre documentation RGPD.

  4. Activer le SSO et le MFA. Sur les plans Business et Enterprise, activez le SSO SAML 2.0 via votre fournisseur d’identité. Rendez le MFA obligatoire. Configurez le SCIM pour automatiser le provisionnement et le déprovisionnement (Enterprise).

  5. Auditer les projets contenant des données personnelles. Passez en revue les espaces de travail et les projets Asana pour identifier ceux qui contiennent des données personnelles : projets marketing avec noms de clients, projets commerciaux avec données de prospects, projets RH avec données d’employés. Documentez chaque traitement identifié dans votre registre des traitements.

  6. Structurer les permissions par équipe. Configurez les projets avec des permissions adaptées : les projets contenant des données personnelles de clients doivent être restreints aux équipes concernées. Utilisez les équipes et les projets privés pour cloisonner les accès.

  7. Définir des politiques de rétention. Asana ne propose pas de politique de rétention automatisée native. La suppression des tâches et projets obsolètes contenant des données personnelles doit être gérée manuellement ou via l’API Asana. Définissez une procédure périodique de revue et de purge, conforme à votre politique de durée de conservation.

  8. Évaluer Asana Intelligence. Si vous envisagez d’activer Asana Intelligence, vérifiez les conditions de traitement des données par l’IA, la liste des sous-traitants ultérieurs impliqués, et l’engagement de non-utilisation des données pour l’entraînement. Désactivez la fonctionnalité si les risques ne sont pas acceptables.

  9. Former les équipes métiers. Les utilisateurs d’Asana sont souvent des équipes marketing, commerciales ou RH qui ne sont pas sensibilisées aux enjeux RGPD. Formez-les à ne pas saisir de données personnelles inutiles dans les titres de tâches, à ne pas joindre de fichiers contenant des listes de contacts non pseudonymisées, et à utiliser les projets privés pour les données sensibles.

  10. Mettre en place une procédure de réponse aux droits. Prévoyez comment localiser et extraire les données d’une personne dans Asana : tâches assignées, tâches mentionnant la personne, commentaires, pièces jointes. L’API Asana permet d’automatiser partiellement cette recherche. Le droit à l’effacement (art. 17) nécessite la suppression du contenu dans les tâches et commentaires, pas seulement la désactivation du compte.

Points d’attention spécifiques

L’usage CRM informel par les équipes commerciales

Asana est fréquemment utilisé par les équipes commerciales comme outil de suivi des opportunités et des prospects. Des tâches contenant le nom du prospect, son email, son numéro de téléphone, l’historique des échanges, le montant du deal potentiel se multiplient dans les projets commerciaux. Ce traitement est rarement documenté dans le registre des traitements, et les données sont conservées indéfiniment. Ce “CRM sauvage” doit être identifié, documenté et encadré.

L’absence de résidence des données UE sur les plans non-Enterprise

La résidence des données dans l’UE n’est disponible que sur le plan Enterprise d’Asana. Pour les plans Starter, Advanced et Business, l’intégralité des données est hébergée aux États-Unis. Cette limitation est significative et doit être prise en compte dans la TIA. Pour les organisations qui ne peuvent pas justifier un plan Enterprise, la conformité repose entièrement sur les mécanismes de transfert (DPF, CCT) sans la mesure supplémentaire de la résidence des données UE.

Les formulaires Asana comme points de collecte de données

Les formulaires Asana permettent de créer des points de collecte d’informations (briefs, demandes internes, formulaires de feedback). Si ces formulaires collectent des données personnelles, ils constituent des traitements distincts qui doivent être documentés. L’information des personnes concernées (art. 13) doit être assurée au moment de la collecte.

L’intégration d’Asana avec Slack réplique les données de tâches (noms, descriptions, responsables) dans un environnement de messagerie – documentez ce flux croisé.

FAQ

Asana est-il conforme au RGPD ?

Asana fournit les éléments contractuels et techniques de base pour une utilisation conforme : DPA, certification DPF, certifications SOC 2 et ISO 27001, chiffrement. La conformité effective dépend fortement du plan souscrit : le plan Enterprise offre la résidence des données UE, le SCIM et le journal d’audit, qui sont des éléments importants. Sur les plans inférieurs, la conformité est possible mais repose davantage sur les mécanismes de transfert et sur la rigueur organisationnelle.

Asana peut-il être utilisé sans le plan Enterprise ?

Oui, à condition de documenter rigoureusement les transferts vers les États-Unis dans votre TIA et de mettre en place des mesures compensatoires organisationnelles : gestion manuelle des accès, procédure de purge des données, sensibilisation des utilisateurs. Le plan Enterprise offre cependant des garanties techniques (résidence UE, SCIM, audit log) qui facilitent significativement la conformité. L’évaluation doit se faire au regard de la sensibilité des données traitées dans Asana.

Faut-il réaliser une AIPD pour Asana ?

Une analyse d’impact est recommandée si Asana est utilisé pour des traitements impliquant des données personnelles à grande échelle : gestion de campagnes marketing ciblant de nombreux individus, suivi de recrutement, gestion de projets clients avec données personnelles. Pour un usage standard de gestion de projet interne sans données personnelles significatives, l’AIPD n’est pas formellement requise. L’activation d’Asana Intelligence peut justifier une AIPD si des données personnelles sont traitées par l’IA.

Comment migrer d’Asana vers un outil avec résidence UE native ?

Si la résidence des données UE est une exigence et que le plan Enterprise Asana n’est pas envisageable, des alternatives comme Jira (résidence UE disponible sur tous les plans cloud) ou Monday.com (résidence UE disponible) peuvent être évaluées. La migration nécessite l’export des données depuis Asana (via l’API ou les fonctions d’export CSV), la suppression des données dans Asana après migration, et la mise à jour du registre des traitements.

Articles lies

RGPD

Article 16 RGPD : le droit de rectification expliqué

29 avril 2026 · 13 min
RGPD

Article 32 RGPD : sécurité du traitement décryptée

29 avril 2026 · 15 min
RGPD

Article 12 RGPD : modalités d'exercice des droits

28 avril 2026 · 16 min