Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Notion et RGPD : guide de conformité 2026
RGPD

Notion et RGPD : guide de conformité 2026

Notion est-il conforme au RGPD ? Analyse du DPA, des transferts, de Notion AI et OpenAI, sécurité et configuration recommandée.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202613 min de lecture
Sommaire
  1. Qualification juridique : Notion comme sous-traitant
  2. Analyse du DPA Notion
  3. Transferts internationaux et analyse d’impact sur les transferts (TIA)
  4. Sécurité informatique
  5. Configuration recommandée pour la conformité RGPD
  6. Points d’attention spécifiques
  7. FAQ

Notion s’est imposé en quelques années comme l’outil de gestion de connaissances et de documentation interne de référence, particulièrement dans les startups et les entreprises technologiques françaises. Bases de données, wikis, gestion de projet, documentation produit, notes de réunion : Notion concentre une quantité considérable de données personnelles dans un espace de travail unique. Depuis le lancement de Notion AI et l’hébergement européen en 2024, la question de la conformité RGPD de Notion a considérablement évolué.

L’analyse juridique de Notion présente une particularité que Slack et Google Workspace ne partagent pas au même degré : la chaîne de sous-traitance impliquant OpenAI pour les fonctionnalités d’intelligence artificielle. Cette relation de sous-traitance ultérieure crée des obligations de documentation et de transparence spécifiques qui méritent une attention particulière. Ce guide fournit une analyse complète de Notion au regard du RGPD, avec un focus sur cette question de l’IA et de la chaîne de sous-traitance.

Pour une vue d’ensemble, consultez notre guide RGPD par outil.

Qualification juridique : Notion comme sous-traitant

Le statut de sous-traitant pour les fonctionnalités principales

Notion Labs Inc. agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour les fonctionnalités principales de la plateforme : pages, bases de données, wikis, gestion de projet, commentaires, partage de fichiers. Votre organisation détermine les finalités (documentation interne, gestion de projet, base de connaissances) et les moyens essentiels (quels collaborateurs ont accès, quelles données sont stockées). Notion fournit l’infrastructure et traite les données selon vos instructions.

Cette qualification est claire et ne pose pas de difficulté particulière pour les fonctionnalités de base. Notion ne décide pas de la manière dont vous organisez vos données – c’est vous qui configurez vos espaces, vos pages et vos bases de données.

Notion AI et la chaine de sous-traitance OpenAI

C’est le point juridiquement le plus sensible. Notion AI utilise des modèles de langage pour générer du contenu, résumer des pages, traduire, répondre à des questions sur vos données. Pour ce faire, Notion transmet le contenu de vos pages à des sous-traitants ultérieurs, et notamment à OpenAI.

La qualification juridique de cette chaîne est la suivante :

  • Votre organisation = responsable de traitement
  • Notion Labs Inc. = sous-traitant
  • OpenAI = sous-traitant ultérieur (sub-processor)

OpenAI traite les données sous le DPA de Notion, pas directement sous le vôtre. Selon la documentation de Notion, sur les plans Enterprise, les données traitées par Notion AI ne sont pas utilisées pour l’entraînement des modèles d’IA. Sur les plans inférieurs (Plus, Business), il convient de vérifier attentivement les conditions applicables car les engagements peuvent différer.

Cette chaîne de sous-traitance doit être documentée dans votre registre des traitements et mentionnée dans votre politique de confidentialité interne. L’article 28(2) du RGPD exige que le sous-traitant (Notion) obtienne l’autorisation du responsable de traitement pour faire appel à un sous-traitant ultérieur (OpenAI).

Autres sous-traitants ulterieurs

Au-delà d’OpenAI, Notion fait appel à plusieurs sous-traitants ultérieurs pour son infrastructure :

  • Amazon Web Services (AWS) – hébergement de l’infrastructure (y compris le centre de données de Francfort pour l’UE)
  • Snowflake – analyse de données
  • Datadog – monitoring et observabilité

Chacun de ces prestataires doit être documenté et leur conformité évaluée dans le cadre de votre obligation de diligence.

Analyse du DPA Notion

Le DPA de Notion est disponible en ligne et s’applique aux clients des plans payants. Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD Couverture dans le DPA Notion Évaluation
Objet, durée, nature et finalité du traitement Définis dans le DPA et les conditions de service Conforme
Types de données et catégories de personnes Décrits dans l’annexe au DPA Conforme
Instructions documentées du responsable Traitement sur instructions documentées Conforme
Confidentialité du personnel Engagement de confidentialité pour le personnel Notion Conforme
Mesures de sécurité (Art. 32) Mesures techniques et organisationnelles décrites dans l’annexe sécurité Conforme
Sous-traitants ultérieurs Liste publiée avec mécanisme de notification et d’objection Conforme
Assistance pour les droits des personnes Engagement d’assistance dans le DPA Conforme
Suppression ou restitution en fin de contrat Suppression des données après résiliation Conforme
Droit d’audit Prévu dans le DPA (via rapports SOC 2 et possibilité d’audit) Conforme
Information en cas d’instruction contrevenant au RGPD Prévu dans le DPA Conforme

Le DPA de Notion a considérablement mûri ces dernières années, passant d’un document minimaliste à un cadre contractuel solide. Le point fort est la transparence sur les sous-traitants ultérieurs, avec une liste publique régulièrement mise à jour. Le point de vigilance concerne la couverture spécifique de Notion AI dans le DPA : vérifiez que les conditions de traitement par Notion AI (et par extension OpenAI) sont explicitement couvertes par les clauses de sous-traitance ultérieure.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des données

Notion Labs Inc. est une société américaine basée à San Francisco. Historiquement, toutes les données étaient hébergées aux États-Unis. Depuis 2024, Notion propose un hébergement européen via AWS Francfort pour les espaces de travail qui en font le choix. Cette évolution est significative pour les entreprises françaises.

Cependant, il faut distinguer :

  • Données de l’espace de travail (pages, bases de données, fichiers) : peuvent être hébergées en UE
  • Données de Notion AI : transitent potentiellement par les serveurs d’OpenAI aux États-Unis
  • Données de compte (informations d’inscription, facturation) : restent aux États-Unis
  • Métadonnées de service (logs, analytics internes) : peuvent être traitées aux États-Unis

Mécanismes de transfert

Pour les transferts vers les États-Unis, Notion s’appuie sur :

  1. EU-US Data Privacy Framework (DPF). Notion Labs Inc. est certifiée au DPF, ce qui fournit une base légale pour les transferts de données vers les États-Unis.

  2. Clauses contractuelles types (CCT). Le DPA intègre les CCT 2021 comme mécanisme supplémentaire.

La question spécifique des transferts liés à Notion AI

L’utilisation de Notion AI ajoute un niveau de complexité aux transferts. Lorsque Notion AI est activé :

  • Les données de vos pages sont transmises à OpenAI pour traitement
  • OpenAI est une société américaine (San Francisco)
  • OpenAI figure sur la liste des sous-traitants ultérieurs de Notion
  • Le transfert est couvert par le DPA de Notion et les CCT/DPF

Votre TIA doit documenter spécifiquement ce flux : les données transitent de votre espace Notion (potentiellement hébergé en UE) vers les serveurs d’OpenAI aux États-Unis pour traitement par les modèles de langage, puis les résultats sont renvoyés dans Notion.

Conduite de la TIA

Les éléments à évaluer :

  • Cadre juridique américain. FISA Section 702, EO 12333, avec les garanties de l’EO 14086 dans le cadre du DPF. Tant Notion qu’OpenAI sont des entreprises américaines soumises à ces régimes.
  • Nature des données. Notion stocke souvent des données structurées (bases de données de contacts, CRM internes, suivi de candidatures, notes de réunion). La sensibilité peut être élevée.
  • Mesures supplémentaires. Chiffrement en transit et au repos. L’hébergement UE réduit l’exposition pour les données au repos. Pour les données traitées par Notion AI, le chiffrement en transit vers OpenAI est assuré mais les données sont nécessairement accessibles en clair pendant le traitement par le modèle.

Sécurité informatique

Notion a significativement renforcé son dispositif de sécurité ces dernières années, en partie pour répondre aux exigences de ses clients entreprises.

Certifications et audits

  • SOC 2 Type II – audit indépendant des contrôles de sécurité et disponibilité
  • ISO 27001 – certification du système de management de la sécurité

Mesures techniques

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : AES-256 via AWS
  • Authentification : support SAML 2.0 / SSO (plans Business et Enterprise), authentification à deux facteurs (2FA)
  • Gestion des permissions : permissions granulaires par espace, page et base de données
  • Journalisation : journal d’audit des actions dans l’espace de travail (Enterprise)
  • SCIM : provisionnement et déprovisionnement automatique des comptes (Enterprise)

Mesures organisationnelles

  • Programme de gestion des vulnérabilités
  • Programme de bug bounty
  • Tests de pénétration réguliers
  • Notification des incidents de sécurité conformément au DPA

Le niveau de sécurité de Notion est correct pour un usage professionnel standard. Il reste néanmoins en retrait par rapport à des acteurs comme Google Workspace ou Slack sur certains points : pas de chiffrement côté client (les données sont accessibles à Notion), pas d’option de gestion des clés par le client, et un nombre de certifications plus limité. Pour les données hautement sensibles, cette limitation doit être prise en compte.

Configuration recommandée pour la conformité RGPD

  1. Activer l’hébergement européen. Depuis 2024, Notion propose le stockage des données en UE (AWS Francfort). Activez cette option dans les paramètres de l’espace de travail. Pour les espaces existants, une migration est possible via les paramètres du plan.

  2. Signer et archiver le DPA. Acceptez le DPA de Notion disponible en ligne. Conservez une copie datée dans votre documentation RGPD. Vérifiez que le DPA couvre explicitement Notion AI si vous utilisez cette fonctionnalité.

  3. Configurer le SSO et le 2FA. Sur les plans Business et Enterprise, activez le SSO SAML 2.0 via votre fournisseur d’identité. Rendez le 2FA obligatoire pour tous les utilisateurs. Configurez le SCIM pour automatiser le provisionnement et le déprovisionnement des comptes.

  4. Évaluer et configurer Notion AI. Prenez une décision explicite sur l’activation de Notion AI. Si vous l’activez, documentez le traitement dans votre registre, incluez OpenAI dans votre chaîne de sous-traitance, et informez les utilisateurs. Si les données traitées sont trop sensibles pour être envoyées à OpenAI, désactivez Notion AI.

  5. Structurer les permissions. Configurez les espaces de travail avec une logique de moindre privilège : les pages contenant des données personnelles (RH, recrutement, données clients) doivent avoir des permissions restreintes. Utilisez les groupes d’utilisateurs pour gérer les accès par équipe.

  6. Auditer les bases de données contenant des données personnelles. Notion est souvent utilisé comme CRM léger, outil de suivi de candidatures ou base de contacts. Identifiez toutes les bases de données contenant des données personnelles et documentez-les dans votre registre des traitements.

  7. Définir une politique de rétention. Notion ne propose pas de politique de rétention automatisée comparable à Google Vault ou aux politiques de rétention Slack. La suppression des données obsolètes doit être gérée manuellement ou via l’API. Définissez une procédure périodique de revue et de purge.

  8. Restreindre le partage externe. Configurez les paramètres de partage pour éviter que les pages contenant des données personnelles soient partagées publiquement (option “Share to Web”). Restreignez les invitations d’externes au niveau administrateur.

  9. Mettre à jour la documentation interne. Mettez à jour votre charte informatique pour inclure les règles d’utilisation de Notion : types de données autorisés, interdiction de stocker certaines catégories de données sensibles, règles de partage, information sur Notion AI.

  10. Mettre en place une procédure de réponse aux droits. Prévoyez comment localiser et extraire les données d’une personne dans Notion pour répondre à une demande d’accès (art. 15), d’effacement (art. 17) ou de portabilité (art. 20). L’API Notion peut être utilisée pour automatiser partiellement ces extractions.

Points d’attention spécifiques

La chaîne Notion AI / OpenAI : le noeud juridique

C’est le point le plus critique pour la conformité RGPD de Notion. Lorsqu’un utilisateur sollicite Notion AI, le contenu de la page (ou les pages référencées pour une recherche) est envoyé à OpenAI pour traitement. Cela signifie :

  • Des données personnelles potentiellement présentes dans vos pages sont transmises à un sous-traitant ultérieur américain
  • Le traitement par le modèle de langage nécessite un accès en clair aux données
  • Sur les plans Enterprise, OpenAI s’engage à ne pas utiliser ces données pour l’entraînement. Sur les plans inférieurs, cette garantie mérite vérification
  • La liste des sous-traitants ultérieurs de Notion peut évoluer (changement de fournisseur d’IA)

Pour les entreprises traitant des données sensibles via Notion, la désactivation de Notion AI est la position la plus prudente. Pour les autres, l’activation doit être accompagnée d’une documentation rigoureuse et d’une information claire aux utilisateurs.

Les bases de données Notion : un CRM sauvage

Notion est fréquemment utilisé comme CRM informel, outil de recrutement, ou base de contacts. Des bases de données contenant noms, emails, numéros de téléphone, notes d’entretien, évaluations de candidats se multiplient dans les espaces de travail sans que personne ne les ait documentés dans le registre des traitements. Chaque base de données contenant des données personnelles constitue un traitement au sens du RGPD et doit être identifiée et documentée.

L’absence de politique de rétention automatisée

Contrairement à Slack (politiques de rétention configurables) et Google Workspace (Google Vault), Notion ne propose pas de mécanisme automatisé de suppression des données après une durée déterminée. La conformité au principe de limitation de conservation repose donc entièrement sur des procédures manuelles. C’est une faiblesse structurelle que l’administrateur doit compenser par des processus internes rigoureux.

L’utilisation de Notion conjointement avec Jira ou Asana pour la gestion de projet multiplie les emplacements où des données personnelles peuvent se retrouver.

FAQ

Notion est-il conforme au RGPD ?

Notion fournit les éléments contractuels et techniques de base pour une utilisation conforme : DPA, hébergement UE, certifications SOC 2 et ISO 27001, chiffrement. La conformité effective dépend de votre configuration et surtout de votre décision concernant Notion AI. Un Notion avec l’hébergement UE activé, le SSO configuré, les permissions structurées et Notion AI désactivé (ou activé avec documentation complète) peut être utilisé de manière conforme. La responsabilité incombe au responsable de traitement.

Notion AI est-il compatible avec le RGPD ?

Notion AI peut être utilisé dans un cadre RGPD à condition de documenter rigoureusement la chaîne de sous-traitance (Notion -> OpenAI), de vérifier que le DPA couvre ce traitement, d’informer les utilisateurs, et de s’assurer que les données les plus sensibles ne sont pas traitées par l’IA. Sur les plans Enterprise, l’engagement de non-utilisation des données pour l’entraînement apporte une garantie supplémentaire. Pour les organisations traitant des données sensibles (santé, judiciaire, secret professionnel), la désactivation de Notion AI est recommandée.

Faut-il réaliser une AIPD pour Notion ?

Une analyse d’impact est recommandée dans les cas suivants : utilisation de Notion comme base de données RH ou de recrutement à grande échelle, activation de Notion AI sur des données sensibles, utilisation de Notion pour le suivi de patients ou de clients dans un contexte juridique ou médical. Pour un usage standard de gestion de projet et de documentation technique, l’AIPD n’est pas formellement requise mais reste une bonne pratique si Notion AI est activé, compte tenu de la chaîne de sous-traitance OpenAI.

Comment supprimer les données d’une personne dans Notion ?

Notion ne propose pas de fonctionnalité native de suppression globale des données d’une personne (contrairement à un CRM classique). Pour répondre à une demande d’effacement (art. 17), il faut : identifier toutes les pages et bases de données contenant des données de la personne (en utilisant la recherche), supprimer manuellement les entrées concernées, vider la corbeille de l’espace de travail (les pages supprimées restent 30 jours dans la corbeille). Pour les espaces volumineux, l’API Notion peut aider à automatiser la recherche. Documentez la procédure et le délai de traitement dans votre registre.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformité cloud infrastructure

9 avril 2026 · 16 min