Monday.com et RGPD : guide de conformite 2026

Monday.com s’est imposé comme une plateforme de travail collaborative extrêmement polyvalente, utilisée aussi bien pour la gestion de projet que comme CRM, outil de gestion RH, plateforme marketing ou gestionnaire de workflows automatisés. Cette flexibilité est à la fois la force et le défi RGPD de Monday.com : la plateforme est un “Work OS” dont le contenu dépend entièrement de la manière dont l’organisation l’utilise. Un même espace Monday.com peut contenir un tableau de suivi de projet technique parfaitement anodin et un tableau CRM avec les noms, téléphones, emails et historiques d’interaction de milliers de prospects.

Cette imprévisibilité des données traitées distingue Monday.com des outils plus spécialisés comme Jira (suivi technique) ou Asana (gestion de projet). L’analyse RGPD de Monday.com doit prendre en compte non pas un usage type, mais l’ensemble des usages possibles, car c’est l’organisation elle-même qui définit la nature des données personnelles traitées par la plateforme.

Pour une vue d’ensemble de la conformité des outils SaaS, consultez notre guide RGPD par outil.

Qualification juridique : Monday.com comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Monday.com Ltd agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour l’ensemble de ses services cloud. Votre organisation détermine les finalités du traitement (gestion de projet, CRM, suivi RH, gestion marketing) et les moyens essentiels (quels tableaux sont créés, quelles colonnes sont définies, quels utilisateurs y accèdent). Monday.com fournit l’infrastructure technique et traite les données selon vos instructions.

Les catégories de données traitées : une matrice variable

C’est le point central de l’analyse RGPD de Monday.com. Les catégories de données traitées dépendent des tableaux créés par l’organisation :

• Profils utilisateurs : noms, adresses email, photos de profil, rôles
• Données des éléments (items) : le contenu est totalement défini par l’utilisateur. Un élément peut être un ticket de projet sans donnée personnelle, ou une fiche client complète avec nom, téléphone, email, adresse, historique d’achat.
• Colonnes personnalisées : chaque colonne est un champ de données défini par l’utilisateur. Les colonnes de type “email”, “téléphone”, “personne”, “fichier” sont des vecteurs directs de données personnelles.
• Pièces jointes : documents, images, fichiers pouvant contenir des données personnelles
• Automatisations : les workflows automatisés peuvent collecter, transformer et transmettre des données personnelles entre tableaux ou vers des services tiers
• Formulaires : les formulaires Monday.com permettent de collecter des données directement auprès de personnes externes

Cette variabilité impose une approche RGPD systématique : chaque tableau contenant des données personnelles constitue un traitement distinct qui doit être documenté dans le registre des traitements.

Le cas de Monday AI

Monday.com intègre des fonctionnalités d’intelligence artificielle (Monday AI) qui utilisent OpenAI comme sous-traitant ultérieur pour le traitement par modèles de langage. La chaîne de sous-traitance est donc :

• Votre organisation = responsable de traitement
• Monday.com = sous-traitant
• OpenAI = sous-traitant ultérieur

Cette configuration est comparable à celle de Notion AI. Les données de vos tableaux peuvent être transmises à OpenAI pour générer des résumés, des suggestions ou des analyses. Cette chaîne doit être documentée et l’activation de Monday AI doit faire l’objet d’une décision explicite.

Analyse du DPA Monday.com

Le DPA de Monday.com est disponible en ligne et couvre l’ensemble des produits de la plateforme (Work Management, CRM, Dev, Service). Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD	Couverture dans le DPA Monday.com	Évaluation
Objet, durée, nature et finalité du traitement	Définis dans le DPA et les conditions de service	Conforme
Types de données et catégories de personnes	Décrits dans l’annexe au DPA	Conforme
Instructions documentées du responsable	Traitement sur instructions documentées	Conforme
Confidentialité du personnel	Engagement de confidentialité pour le personnel Monday.com	Conforme
Mesures de sécurité (Art. 32)	Mesures techniques et organisationnelles dans l’annexe sécurité	Conforme
Sous-traitants ultérieurs	Liste publiée avec mécanisme de notification et d’objection	Conforme
Assistance pour les droits des personnes	Engagement d’assistance dans le DPA	Conforme
Suppression ou restitution en fin de contrat	Suppression des données après résiliation	Conforme
Droit d’audit	Prévu dans le DPA (via rapports SOC 2, ISO 27001 et possibilité d’audit)	Conforme
Information en cas d’instruction contrevenant au RGPD	Prévu dans le DPA	Conforme

Le DPA de Monday.com est complet et régulièrement mis à jour. Il couvre explicitement les sous-traitants ultérieurs, dont OpenAI pour les fonctionnalités d’IA. Le point de vigilance concerne la description des catégories de données traitées dans l’annexe : étant donné la flexibilité de la plateforme, l’annexe du DPA décrit les catégories en termes génériques. C’est à vous, en tant que responsable de traitement, de documenter précisément les données que vous stockez effectivement dans Monday.com.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des données

Monday.com est une entreprise internationale disposant de bureaux en Europe et aux États-Unis. L’infrastructure est hébergée sur AWS, avec des options d’hébergement aux États-Unis et dans l’UE. La résidence des données dans l’UE est disponible.

Il faut distinguer :

• Données de contenu (éléments, colonnes, pièces jointes) : hébergeables dans l’UE
• Données de compte (inscription, facturation) : peuvent rester aux États-Unis
• Données traitées par Monday AI : transitent vers OpenAI aux États-Unis

Mécanismes de transfert

Pour les transferts hors UE, Monday.com s’appuie sur :

1. EU-US Data Privacy Framework (DPF). Monday.com est certifié au DPF.

2. Clauses contractuelles types (CCT). Le DPA intègre les CCT 2021 comme mécanisme supplémentaire.

La question spécifique des transferts liés à Monday AI

L’utilisation de Monday AI implique un transfert de données vers OpenAI aux États-Unis. La chaîne de transfert est : vos données dans Monday.com (potentiellement hébergées dans l’UE) -> serveurs d’OpenAI aux États-Unis -> résultats renvoyés dans Monday.com.

Ce flux doit être explicitement documenté dans votre TIA. Si les tableaux traités par Monday AI contiennent des données personnelles, le transfert vers OpenAI constitue un transfert international qui doit être justifié.

Conduite de la TIA

Les éléments à évaluer :

• Cadre juridique américain. FISA Section 702, EO 12333, avec les garanties de l’EO 14086 dans le cadre du DPF. OpenAI (sous-traitant ultérieur) est également soumis à ce cadre.
• Nature des données. Étant donné la flexibilité de Monday.com, les données peuvent aller de l’information de projet anonyme à des fiches clients complètes avec coordonnées personnelles. La TIA doit prendre en compte le niveau de sensibilité maximal des données effectivement stockées.
• Mesures supplémentaires. Chiffrement en transit et au repos. Résidence des données UE pour le contenu. Pour Monday AI, les données sont nécessairement accessibles en clair pendant le traitement par le modèle de langage.

Sécurité informatique

Monday.com a développé un programme de sécurité solide, reflétant les exigences de ses clients entreprises.

Certifications et audits

• SOC 2 Type II – audit indépendant des contrôles de sécurité
• ISO 27001 – certification du système de management de la sécurité
• ISO 27018 – protection des données personnelles dans le cloud

Mesures techniques

• Chiffrement en transit : TLS 1.2+ pour toutes les communications
• Chiffrement au repos : AES-256 via AWS
• Authentification : SSO SAML 2.0, MFA, SCIM pour le provisionnement automatique
• Gestion des permissions : permissions granulaires par espace de travail, par tableau, par colonne
• Journalisation : journal d’audit des actions (Enterprise)
• Résidence des données : choix de la région d’hébergement (UE ou US)
• Contrôle des sessions : durée de session configurable, politiques de mot de passe

Mesures organisationnelles

• Programme de gestion des vulnérabilités
• Tests de pénétration réguliers par des auditeurs indépendants
• Programme de bug bounty (HackerOne)
• Équipe de sécurité dédiée
• Notification des incidents de sécurité conformément au DPA

Le niveau de sécurité de Monday.com est satisfaisant et comparable à celui de ses concurrents directs (Asana, Jira). La disponibilité de la résidence des données UE, de l’ISO 27018 et de la certification DPF sont des atouts. L’ensemble des fonctionnalités de sécurité avancées sont accessibles sur les plans Enterprise.

Configuration recommandée pour la conformité RGPD

1. Activer la résidence des données dans l’UE. Configurez l’hébergement des données dans l’UE lors de la création du compte ou via les paramètres d’administration. Cette option fixe la localisation des données de contenu dans les centres de données AWS européens.

2. Signer et archiver le DPA. Acceptez le DPA de Monday.com disponible en ligne. Conservez une copie datée. Vérifiez que le DPA couvre explicitement les fonctionnalités d’IA et la sous-traitance OpenAI.

3. Activer le SSO et le MFA. Configurez le SSO SAML 2.0 via votre fournisseur d’identité. Rendez le MFA obligatoire. Configurez le SCIM pour automatiser la gestion des comptes.

4. Réaliser un audit complet des tableaux. C’est l’étape la plus importante et la plus spécifique à Monday.com. Passez en revue tous les tableaux de l’espace de travail pour identifier ceux qui contiennent des données personnelles. Pour chaque tableau identifié, documentez : les catégories de données (colonnes), les catégories de personnes concernées, la finalité, la base légale, la durée de conservation.

5. Structurer les espaces de travail par niveau de sensibilité. Créez des espaces de travail distincts pour les données à haute sensibilité (CRM, RH) et les données opérationnelles sans données personnelles (gestion de projet technique). Configurez les permissions en conséquence.

6. Évaluer et configurer Monday AI. Prenez une décision explicite sur l’activation de Monday AI. Si vous l’activez, documentez la chaîne de sous-traitance (Monday.com -> OpenAI) dans votre registre, informez les utilisateurs, et évaluez si les données des tableaux concernés sont compatibles avec un transfert vers OpenAI. Pour les tableaux CRM ou RH, la désactivation de Monday AI est la position la plus prudente.

7. Encadrer les automatisations. Les automatisations Monday.com peuvent envoyer des données vers des services tiers (email, Slack, webhooks). Auditez les automatisations existantes pour identifier celles qui transmettent des données personnelles et vérifiez que chaque destinataire est un sous-traitant documenté.

8. Configurer les formulaires avec information préalable. Si vous utilisez les formulaires Monday.com pour collecter des données auprès de personnes externes, assurez-vous que l’information préalable (art. 13 du RGPD) est présentée avant la collecte : identité du responsable, finalité, base légale, durée de conservation, droits des personnes.

9. Définir des politiques de rétention par tableau. Monday.com ne propose pas de politique de rétention automatisée. Définissez manuellement une politique de rétention pour chaque type de tableau contenant des données personnelles et prévoyez une procédure périodique de purge.

10. Mettre en place une procédure de réponse aux droits. La variété des données dans Monday.com rend la réponse aux droits complexe. Prévoyez comment retrouver toutes les données d’une personne à travers l’ensemble des tableaux : éléments, colonnes, commentaires, fichiers. L’API Monday.com permet d’automatiser cette recherche. Documentez la procédure et désignez un référent.

Points d’attention spécifiques

Le “Work OS” : une flexibilité qui complique la conformité

La force de Monday.com est sa flexibilité : n’importe qui peut créer un tableau avec n’importe quelles colonnes. Cette même flexibilité est un défi RGPD. Un collaborateur du service marketing peut créer en cinq minutes un tableau “Prospects” avec des colonnes nom, email, téléphone, entreprise, montant du deal, sans en informer le DPO. Ces tableaux constituent des traitements de données personnelles non documentés, non encadrés, sans durée de conservation définie. La gouvernance de Monday.com doit inclure des règles claires sur la création de tableaux contenant des données personnelles.

Monday AI et OpenAI : la chaîne de sous-traitance

Monday AI utilise OpenAI comme sous-traitant ultérieur. Lorsqu’un utilisateur active une fonctionnalité IA sur un tableau, les données de ce tableau peuvent être transmises à OpenAI pour traitement. Si le tableau contient des données personnelles (ce qui est fréquemment le cas pour les tableaux CRM ou RH), ces données sont envoyées à un sous-traitant ultérieur américain. Cette chaîne de sous-traitance doit être documentée dans le registre, et l’activation de Monday AI sur des tableaux contenant des données personnelles sensibles doit faire l’objet d’une évaluation spécifique. Les mêmes précautions que pour Notion AI s’appliquent.

L’utilisation comme CRM : un traitement à part entière

Monday.com propose un produit “Monday Sales CRM” qui transforme la plateforme en véritable CRM. Ce traitement implique la collecte et le stockage de données de prospects et de clients (noms, emails, téléphones, historique d’interactions, montants des deals) et doit être documenté comme un traitement spécifique dans le registre. La base légale (intérêt légitime, consentement), les droits des personnes et la durée de conservation doivent être définis pour ce traitement.

Les automatisations Monday.com vers Slack diffusent des données de projet dans un outil tiers – chaque intégration doit être documentée dans votre registre.

FAQ

Monday.com est-il conforme au RGPD ?

Monday.com fournit les éléments contractuels et techniques nécessaires à une utilisation conforme : DPA complet, résidence des données UE, certification DPF, certifications SOC 2, ISO 27001, ISO 27018, chiffrement. La conformité effective dépend de votre utilisation de la plateforme : la flexibilité de Monday.com impose une rigueur accrue dans la documentation des traitements, la gestion des permissions et les politiques de rétention. La responsabilité incombe au responsable de traitement.

Monday AI est-il compatible avec le RGPD ?

Monday AI peut être utilisé dans un cadre RGPD à condition de documenter la chaîne de sous-traitance (Monday.com -> OpenAI), d’informer les utilisateurs, et de s’assurer que les tableaux traités par l’IA ne contiennent pas de données personnelles dont le transfert vers OpenAI serait disproportionné. Pour les tableaux CRM ou RH, la désactivation de Monday AI sur ces espaces est recommandée. Pour les tableaux de gestion de projet sans données personnelles sensibles, l’utilisation est moins problématique.

Comment documenter les traitements Monday.com dans le registre ?

Étant donné la flexibilité de Monday.com, la documentation dans le registre des traitements doit se faire par usage et non par outil. Si Monday.com est utilisé comme CRM, créez une fiche “Gestion de la relation client via Monday.com”. Si Monday.com est utilisé pour le suivi RH, créez une fiche “Suivi des collaborateurs via Monday.com”. Chaque fiche doit décrire les colonnes utilisées (catégories de données), les personnes concernées, la finalité, la base légale et la durée de conservation.

Comment répondre à une demande d’effacement dans Monday.com ?

Pour répondre à une demande d’effacement (art. 17), il faut : identifier toutes les occurrences de la personne dans l’ensemble des tableaux (éléments, colonnes, commentaires, fichiers), supprimer ou anonymiser les données concernées, vérifier les automatisations et les intégrations qui auraient pu dupliquer les données vers d’autres services. L’API Monday.com permet de rechercher et de modifier les éléments par programme. Attention : la corbeille Monday.com conserve les éléments supprimés pendant un certain délai. Assurez-vous que les données sont définitivement purgées.