RGPD et outils : guide de conformite par logiciel
Votre CRM, vos emails, votre cloud sont-ils conformes au RGPD ? Analyse juridique outil par outil : transferts, DPA, configuration, alternatives.
- Les 5 critères d’évaluation RGPD d’un outil
- CRM et gestion commerciale
- Email marketing et newsletter
- Outils collaboratifs et visioconférence
- Analytics et mesure d’audience
- E-commerce et paiement
- Cloud et infrastructure
- Intelligence artificielle
- RH et paie
- Publicité en ligne
- Comptabilité
- Signature électronique
- Gestion de projet
- Support client
- Comment auditer votre stack technique
- FAQ
Chaque outil que vous utilisez au quotidien – CRM, messagerie, visioconférence, analytics, paiement en ligne, stockage cloud – traite des données personnelles pour votre compte. En droit, cela fait de vous un responsable de traitement et de l’éditeur un sous-traitant au sens de l’article 28 du RGPD. Vous êtes donc juridiquement tenu de vérifier que chaque outil respecte le cadre réglementaire.
En pratique, cette vérification est rarement faite de manière systématique. Résultat : des transferts hors UE non encadrés, des DPA jamais signés, des paramétrages par défaut non conformes, et une documentation de conformité pleine de trous.
Ce guide analyse les principaux outils utilisés par les entreprises françaises sous l’angle du RGPD. Pour chaque catégorie, nous examinons les points critiques de conformité et fournissons une grille d’évaluation factuelle. L’objectif est simple : vous permettre de savoir, outil par outil, où vous en êtes et ce qu’il faut corriger.
Les 5 critères d’évaluation RGPD d’un outil
Avant d’examiner chaque catégorie, voici la grille d’analyse que nous appliquons systématiquement à chaque outil. Ces critères découlent directement des obligations du RGPD et de la jurisprudence de la CNIL.
1. Localisation du traitement et transferts hors UE
L’article 44 du RGPD interdit le transfert de données personnelles vers un pays tiers en l’absence de garanties appropriées. Pour les outils américains, le EU-US Data Privacy Framework (DPF) fournit une base légale depuis juillet 2023, mais sa pérennité reste incertaine (recours NOYB devant la CJUE). Pour les outils dont les serveurs sont situés hors UE et hors DPF, des clauses contractuelles types (CCT) sont nécessaires.
Ce qu’il faut vérifier : où sont physiquement stockées les données ? L’éditeur est-il certifié DPF (pour les entreprises américaines) ? Des CCT sont-elles en place ? Des mesures supplémentaires (chiffrement, pseudonymisation) sont-elles déployées ?
2. Contrat de sous-traitance (DPA)
L’article 28 du RGPD impose un contrat écrit entre le responsable de traitement et chaque sous-traitant. Ce contrat – souvent appelé DPA (Data Processing Agreement) ou addendum relatif au traitement des données – doit préciser l’objet, la durée, la nature et la finalité du traitement, le type de données et les catégories de personnes concernées.
Ce qu’il faut vérifier : l’éditeur propose-t-il un DPA ? Est-il conforme aux exigences de l’article 28 ? Couvre-t-il les sous-traitants ultérieurs ? Prévoit-il des audits ?
3. Minimisation et paramétrage par défaut
Le principe de minimisation (article 5(1)©) et le privacy by default (article 25(2)) imposent que l’outil ne collecte que les données strictement nécessaires et que les paramètres par défaut soient les plus protecteurs. En pratique, la plupart des outils SaaS activent par défaut des fonctionnalités intrusives (tracking cross-site, enrichissement de données, partage avec des tiers).
Ce qu’il faut vérifier : quels paramètres sont activés par défaut ? Peut-on désactiver la collecte de données non essentielles ? L’outil envoie-t-il des données à des tiers (analytics, publicité, IA) ?
4. Durées de conservation et suppression
L’article 5(1)(e) impose la limitation de la conservation. L’outil doit permettre de configurer des durées de rétention et de supprimer effectivement les données à l’expiration.
Ce qu’il faut vérifier : peut-on définir des durées de conservation ? La suppression est-elle effective (y compris dans les sauvegardes) ? Que se passe-t-il à la résiliation du contrat ?
5. Droits des personnes
Les articles 15 à 22 du RGPD confèrent aux personnes concernées des droits (accès, rectification, effacement, portabilité, opposition). L’outil doit permettre au responsable de traitement de répondre à ces demandes dans le délai d’un mois.
Ce qu’il faut vérifier : l’outil permet-il d’exporter les données d’une personne ? De les supprimer unitairement ? De rectifier une information ? De gérer les demandes d’opposition ?
CRM et gestion commerciale
Les CRM contiennent le coeur des données clients et prospects : identité, coordonnées, historique d’interactions, scoring, notes commerciales. C’est souvent le premier outil à auditer car il concentre le plus de données personnelles et le plus de risques (prospection non consentie, durées de conservation excessives, partage avec des outils tiers).
Points critiques RGPD des CRM
- Base légale de la prospection. En B2C, le consentement préalable est requis (art. 82 loi Informatique et Libertés). En B2B, l’intérêt légitime peut suffire si l’objet du message est en rapport avec l’activité professionnelle du destinataire, mais le droit d’opposition doit être garanti à chaque envoi.
- Enrichissement de données. Certains CRM proposent des fonctionnalités d’enrichissement automatique (Clearbit, ZoomInfo). Ces pratiques doivent être analysées au regard de la collecte loyale et de l’obligation d’information (art. 14).
- Transferts vers les États-Unis. HubSpot, Salesforce et Pipedrive hébergent des données sur des serveurs américains. Le DPF couvre ces transferts, mais des mesures supplémentaires sont recommandées.
- Intégrations tierces. Un CRM connecté à un outil de marketing automation, un ERP ou une plateforme publicitaire multiplie les flux de données. Chaque intégration doit être documentée dans le registre des traitements.
| Critère | HubSpot | Salesforce | Pipedrive | Zoho CRM |
|---|---|---|---|---|
| Siège | Cambridge, USA | San Francisco, USA | New York, USA | Chennai, Inde + UE |
| Hébergement UE disponible | Oui (Francfort) | Oui (Francfort, Paris) | Oui (Francfort) | Oui (Amsterdam) |
| DPA disponible | Oui, automatique | Oui, dans le contrat | Oui, en ligne | Oui, en ligne |
| Certifié DPF | Oui | Oui | Oui | Non applicable (option UE) |
| Suppression à la résiliation | 90 jours | 120 jours | 60 jours | 120 jours |
| Export données unitaire | Oui (API + interface) | Oui (API) | Oui (interface) | Oui (API + interface) |
| Sous-traitants ultérieurs | Liste publique, notification | Liste publique, notification | Liste publique | Liste publique |
Pour une analyse détaillée de chaque CRM, consultez nos guides dédiés : HubSpot et RGPD, Salesforce et RGPD, Pipedrive et RGPD.
Email marketing et newsletter
L’email marketing est l’un des domaines où le RGPD a le plus d’impact opérationnel. La distinction entre opt-in et opt-out, la gestion du consentement, les mentions obligatoires dans chaque email, et le transfert des listes d’abonnés vers des plateformes américaines sont autant de points de friction quotidiens.
Points critiques RGPD de l’email marketing
- Consentement et double opt-in. La CNIL recommande le double opt-in pour la prospection B2C. En B2B, le soft opt-in est toléré pour les produits analogues, mais l’information et le droit d’opposition restent obligatoires. Consultez notre guide sur la conformité newsletter RGPD.
- Transferts. Mailchimp (Intuit) et ActiveCampaign hébergent principalement aux USA. Brevo, entreprise française, héberge en UE – un argument de poids.
- Listes et segmentation. Le profilage (scoring, segmentation comportementale) constitue un traitement au sens de l’article 4(4) du RGPD. S’il produit des effets juridiques ou significatifs, l’article 22 s’applique.
| Critère | Brevo (ex-Sendinblue) | Mailchimp | Sendy |
|---|---|---|---|
| Siège | Paris, France | Atlanta, USA | Auto-hébergé (votre serveur) |
| Hébergement | UE (OVH) | USA + UE (AWS) | Votre infra + Amazon SES |
| DPA | Oui, automatique | Oui, en ligne | Non nécessaire (vous êtes RT). DPA Amazon SES requis. |
| Certifié DPF | Non applicable (UE) | Oui (Intuit) | Non applicable (auto-hébergé) |
| Double opt-in natif | Oui | Oui | Oui |
| Suppression contacts | Immédiate | 30 jours | Immédiate (votre base de données) |
| Sous-traitants UE | Oui (principalement) | Non (AWS US, GCP US) | Aucun (sauf SES pour l’envoi) |
| Souveraineté données | Partielle (SaaS français) | Non | Totale (vous contrôlez tout) |
Pour approfondir : Brevo et RGPD, Mailchimp et RGPD, Sendy et RGPD, Email marketing et RGPD.
Outils collaboratifs et visioconférence
La généralisation du télétravail a fait de Slack, Teams, Zoom et Google Workspace des outils critiques qui traitent des volumes considérables de données : messages, fichiers partagés, enregistrements de réunions, métadonnées de connexion.
Points critiques RGPD des outils collaboratifs
- Conservation des messages. La plupart des outils conservent les messages indéfiniment par défaut. Il faut configurer des politiques de rétention alignées sur vos durées de conservation.
- Enregistrement des réunions. L’enregistrement d’une visioconférence constitue un traitement de données personnelles (voix, image). Le consentement des participants est requis, et l’information préalable obligatoire.
- Fonctionnalités IA. Les nouvelles fonctionnalités d’IA (résumés automatiques, transcription) impliquent souvent le transfert de données vers des serveurs tiers. Microsoft Copilot, Google Gemini et Slack AI traitent le contenu des messages pour générer des réponses – ce qui soulève des questions de finalité et de sous-traitance.
- Charte informatique. L’utilisation de ces outils doit être encadrée par une charte informatique précisant les règles d’usage, les mesures de surveillance et les droits des salariés.
| Critère | Microsoft Teams | Slack | Zoom | Google Workspace |
|---|---|---|---|---|
| Siège | Redmond, USA | San Francisco, USA | San Jose, USA | Mountain View, USA |
| Hébergement UE | Oui (data residency) | Oui (Francfort, option) | Oui (Francfort, option) | Oui (data regions) |
| DPA | Oui (DPA Microsoft) | Oui, automatique | Oui, en ligne | Oui (DPA Google Cloud) |
| Certifié DPF | Oui | Oui (Salesforce) | Oui | Oui |
| Rétention configurable | Oui (politique rétention) | Oui (plan Enterprise) | Oui (plan Business+) | Oui (Vault) |
| IA et données | Copilot : traitement dans le tenant | Slack AI : données restent dans Slack | AI Companion : opt-in | Gemini : opt-in par admin |
| Chiffrement E2E | Non par défaut | Non par défaut | Oui (option) | Non par défaut |
Pour approfondir : Slack et RGPD, Google Workspace et RGPD, Notion et RGPD.
Analytics et mesure d’audience
L’utilisation de Google Analytics en France a fait l’objet de multiples mises en demeure de la CNIL. La question n’est pas résolue par le DPF : les obligations de consentement pour les cookies demeurent, et la CNIL maintient que GA4 ne bénéficie pas de l’exemption de consentement réservée aux outils de mesure strictement nécessaires.
Points critiques RGPD de l’analytics
- Consentement cookies. Les traceurs de mesure d’audience non exempts (GA4, Hotjar, Mixpanel) nécessitent le consentement préalable de l’utilisateur (art. 82 loi Informatique et Libertés). Seuls les outils configurés conformément aux conditions de la CNIL (finalité limitée, pas de recoupement, pas de transfert) peuvent être exempts. Consultez notre guide sur les cookies et RGPD.
- Perte de données liée au consentement. Avec des taux de consentement cookies de 40-70% en France, les outils dépendants du consentement perdent 30-60% du trafic mesuré. Le server-side tracking réduit cette perte mais ne l’élimine pas.
- Alternatives conformes. Matomo (auto-hébergé, exemption CNIL possible), Plausible (UE, pas de cookies) et AT Internet/Piano (français, exemption CNIL) sont des alternatives à considérer.
| Critère | Google Analytics 4 | Matomo (auto-hébergé) | Plausible | AT Internet / Piano |
|---|---|---|---|---|
| Siège | USA | Nouvelle-Zélande (auto-hébergé : votre serveur) | Estonie, UE | France |
| Transfert hors UE | Oui (USA) | Non (votre infra) | Non (UE) | Non (France) |
| Consentement requis | Oui (traceurs non exempts) | Non si configuré conformément | Non (pas de cookies) | Non si configuré conformément |
| DPA | Oui (DPA Google) | Non nécessaire (RT = vous) | Oui, en ligne | Oui |
| Données partagées | Google Ads, benchmarking | Non | Non | Non |
| Precision sans consentement | ~40-70% du trafic | ~100% | ~100% | ~100% |
Pour approfondir : GA4 et RGPD, Google Analytics et RGPD, Google Tag Manager et RGPD.
E-commerce et paiement
Les plateformes e-commerce et les processeurs de paiement traitent les données les plus sensibles du point de vue financier : coordonnées bancaires, adresses de livraison, historique d’achats. Le RGPD s’articule ici avec le droit de la consommation (CGV, droit de rétractation) et les normes PCI-DSS pour la sécurité des paiements.
Points critiques RGPD du e-commerce
- Données de paiement. Le processeur de paiement (Stripe, PayPal, Adyen) est sous-traitant au sens du RGPD. Un DPA est obligatoire. La tokenisation réduit les risques mais ne dispense pas de l’obligation de transparence.
- Panier abandonné et remarketing. La relance automatique des paniers abandonnés constitue un traitement de données personnelles. La base légale dépend du contexte : intérêt légitime si le client a un compte, consentement dans les autres cas.
- Plugins et traceurs. Un site e-commerce moyen utilise 10 à 30 traceurs tiers (analytics, retargeting, chatbot, avis clients). Chaque traceur est un sous-traitant qui doit être documenté. Consultez notre guide RGPD e-commerce.
| Critère | Shopify | WooCommerce | Stripe | PayPal |
|---|---|---|---|---|
| Siège | Ottawa, Canada | Open source (votre serveur) | San Francisco, USA | San Jose, USA |
| Hébergement | Canada + UE (option) | Votre infra | USA + UE | USA + UE |
| DPA | Oui, automatique | Non nécessaire (RT = vous) | Oui, en ligne | Oui, en ligne |
| Certifié DPF | Non (Canada – adéquation UE) | Non applicable | Oui | Oui |
| Données partagées | Shopify Audiences (opt-in) | Dépend des plugins | Non (sauf Radar, opt-in) | Non par défaut |
| PCI-DSS | Oui (niveau 1) | Dépend de l’hébergeur | Oui (niveau 1) | Oui (niveau 1) |
Pour approfondir : Shopify et conformité, WooCommerce et RGPD, Stripe et RGPD.
Cloud et infrastructure
Le choix du fournisseur cloud détermine le cadre juridique de l’ensemble des traitements de l’organisation. La question des transferts hors UE, de la qualification des parties (responsable, sous-traitant, responsable conjoint) et de la souveraineté des données est centrale.
Points critiques RGPD du cloud
- Localisation et souveraineté. Les trois hyperscalers (AWS, Azure, GCP) proposent des régions UE, mais le CLOUD Act américain permet théoriquement aux autorités américaines d’accéder aux données hébergées par des entreprises US, même en UE. C’est l’un des arguments en faveur des fournisseurs souverains (OVH, Scaleway, Outscale).
- Qualification juridique. Pour le IaaS/PaaS, le fournisseur est généralement sous-traitant. Pour le SaaS, la qualification peut varier. Consultez notre guide sur le contrat de sous-traitance RGPD.
- SecNumCloud. La qualification SecNumCloud de l’ANSSI certifie un niveau de sécurité élevé et l’immunité face aux législations extra-européennes. C’est la référence pour les données sensibles et les administrations.
| Critère | AWS | Microsoft Azure | Google Cloud | OVH | Scaleway |
|---|---|---|---|---|---|
| Siège | USA | USA | USA | France | France |
| Régions UE | Francfort, Paris, Dublin, etc. | France, Allemagne, Pays-Bas | Belgique, Allemagne, Finlande | Gravelines, Strasbourg | Paris, Amsterdam |
| DPA | Oui | Oui | Oui | Oui | Oui |
| Certifié DPF | Oui | Oui | Oui | Non applicable | Non applicable |
| SecNumCloud | Non | Non | Non | Oui (offre dédiée) | En cours |
| CLOUD Act | Oui (soumis) | Oui (soumis) | Oui (soumis) | Non | Non |
Pour approfondir : AWS et RGPD, Google Cloud et RGPD, Sécurité cloud.
Intelligence artificielle
L’utilisation d’outils d’IA générative en entreprise soulève des questions RGPD spécifiques : les données saisies dans les prompts peuvent constituer des données personnelles, les modèles sont entraînés sur des corpus massifs dont la licéité est discutée, et les outputs peuvent générer des informations inexactes sur des personnes identifiables.
Points critiques RGPD de l’IA
- Données dans les prompts. Toute donnée personnelle saisie dans un prompt est transmise au fournisseur d’IA. Si le fournisseur utilise ces données pour entraîner son modèle, il n’est plus sous-traitant mais potentiellement responsable conjoint. C’est un point que la CNIL a explicitement soulevé.
- Versions entreprise vs grand public. Claude for Business et Copilot for Microsoft 365 offrent des garanties contractuelles (pas d’entraînement sur les données, DPA, hébergement UE) que les versions grand public n’offrent pas.
- AI Act. Le règlement européen sur l’IA ajoute des obligations supplémentaires pour les systèmes à haut risque. L’utilisation d’IA dans le recrutement, le scoring ou la surveillance implique des obligations de transparence, d’audit et de documentation technique.
Note sur OpenAI / ChatGPT. Nous ne recommandons pas l’utilisation de ChatGPT (OpenAI) pour le traitement de données personnelles en entreprise. Les pratiques d’OpenAI en matière de collecte et de réutilisation des données, les conditions d’utilisation changeantes, l’opacité sur les jeux de données d’entraînement et les multiples incidents de sécurité rapportés depuis 2023 constituent des facteurs de risque RGPD significatifs. La CNIL italienne (Garante) a déjà temporairement interdit ChatGPT en 2023, et plusieurs autorités européennes ont ouvert des enquêtes. Pour les organisations soucieuses de leur conformité, nous conseillons de privilégier des alternatives dont la posture en matière de protection des données est plus rigoureuse et documentée.
| Critère | Claude (Anthropic) | Copilot (Microsoft) | Gemini (Google) |
|---|---|---|---|
| Siège | San Francisco, USA | Redmond, USA | Mountain View, USA |
| Hébergement UE (version entreprise) | Oui (AWS EU) | Oui (Azure EU) | Oui (GCP EU) |
| DPA entreprise | Oui (API/Business) | Oui (M365) | Oui (Workspace) |
| Entraînement sur données | Non (API/Business) / Non (Free) | Non (M365) | Non (Workspace) / Opt-out (Free) |
| Certifié DPF | Oui | Oui (Microsoft) | Oui (Google) |
| Journalisation | Oui (API) | Oui (M365 audit) | Oui (Workspace audit) |
Pour approfondir : Claude et RGPD, IA et RGPD, Décisions automatisées.
RH et paie
Les logiciels RH traitent les données les plus sensibles de l’entreprise : bulletins de paie, coordonnées bancaires (IBAN), numéros de sécurité sociale, arrêts maladie, affiliation syndicale, situation de handicap. Ces données relèvent pour partie de l’article 9 du RGPD (données sensibles) et imposent un niveau de protection renforcé. La CNIL a sanctionné Amazon France Logistique à hauteur de 32 millions d’euros en 2024 pour surveillance excessive des salariés – un rappel que les données RH sont sous haute surveillance réglementaire.
| Critère | PayFit | Personio | BambooHR | Workday | Silae |
|---|---|---|---|---|---|
| Siège | Paris, France | Munich, Allemagne | Utah, USA | Californie, USA | France |
| Hébergement UE | Oui (AWS Francfort + OVH) | Oui (AWS Francfort) | USA (limité) | Oui (Dublin, Francfort) | Oui (France) |
| DPA | Oui | Oui (standard allemand) | Oui | Oui (négociable) | Oui |
| Certifié DPF | Non applicable (UE) | Non applicable (UE) | Oui | Oui | Non applicable (UE) |
| Données sensibles Art. 9 | Oui (santé, bancaire) | Oui (santé, bancaire) | Oui (santé, bancaire) | Oui (santé, bancaire) | Oui (santé, bancaire) |
| CLOUD Act | Non | Non | Oui | Oui | Non |
Pour approfondir : PayFit et RGPD, Personio et RGPD, BambooHR et RGPD, Workday et RGPD, Silae et RGPD.
Publicité en ligne
La publicité digitale présente un profil RGPD radicalement différent des autres catégories d’outils. Les plateformes publicitaires (Meta, LinkedIn) ne sont pas des sous-traitants mais des responsables conjoints au sens de l’article 26 du RGPD. Cela signifie que l’annonceur et la plateforme déterminent conjointement les finalités et les moyens du traitement – avec une responsabilité partagée en cas de manquement. La CJUE l’a confirmé dans l’arrêt Fashion ID (C-40/17).
| Critère | LinkedIn Ads | Meta Ads (Facebook/Instagram) |
|---|---|---|
| Qualification RGPD | Responsable conjoint (Art. 26) | Responsable conjoint (Art. 26) |
| Siège | USA (Microsoft) | USA |
| Sanctions record | Limitées | 2+ milliards EUR (1.2Md transferts, 390M consentement, 265M scraping) |
| Pixel/Tag | Insight Tag (consentement requis) | Meta Pixel (consentement requis) |
| Audiences personnalisées | Matched Audiences = partage de données | Custom Audiences = partage de données |
| Base légale publicité comportementale | Intérêt légitime (contesté après CJUE C-252/21) | Consentement obligatoire (CJUE C-252/21) |
| Certifié DPF | Oui (Microsoft) | Oui |
Pour approfondir : LinkedIn Ads et RGPD, Meta Ads et RGPD.
Comptabilité
Les logiciels comptables traitent des données personnelles contenues dans les factures (nom, adresse, coordonnées bancaires), les fiches clients et fournisseurs, et – pour les modules paie – les données salariales. L’entrée en vigueur de la facturation électronique obligatoire en septembre 2026 renforce les enjeux RGPD de ces outils.
| Critère | Sage |
|---|---|
| Siège | Newcastle, Royaume-Uni |
| Hébergement UE | Oui (cloud) / Votre infra (on-premise) |
| DPA | Oui |
| Adéquation UK | Oui (décision juin 2021, révision périodique) |
| Modules paie | Oui (Sage Paie = données sensibles) |
| PDP facturation electronique | Candidat |
Pour approfondir : Sage et RGPD.
Signature électronique
Les plateformes de signature électronique traitent des données d’identification des signataires (nom, email, adresse IP, horodatage) et – surtout – le contenu intégral des documents signés. Ces documents peuvent contenir n’importe quel type de donnée personnelle : contrats de travail avec salaire, accords de confidentialité, consentements médicaux. Le traitement est donc imprévisible par nature.
| Critère | DocuSign | Adobe Sign |
|---|---|---|
| Siège | San Francisco, USA | San Jose, USA |
| Hébergement UE | Oui (Francfort, Business+) | Oui (AWS EU) |
| DPA | Oui | Oui (DPA Adobe) |
| Certifié DPF | Oui | Oui |
| eIDAS | Oui | Oui |
| Rétention par défaut | Illimitée (à configurer) | Illimitée (à configurer) |
| Données traitées | Identité signataire + contenu document | Identité signataire + contenu document |
Pour approfondir : DocuSign et RGPD, Adobe Sign et RGPD.
Gestion de projet
Les outils de gestion de projet contiennent des données personnelles que les organisations documentent rarement : noms de clients dans les titres de tâches, coordonnées dans les commentaires, pièces jointes avec des informations sensibles. Plus l’outil est flexible (Monday.com comme “Work OS”), plus le type de données traitées est imprévisible.
| Critère | Jira (Atlassian) | Asana | Monday.com |
|---|---|---|---|
| Siège | Sydney, Australie | San Francisco, USA | International |
| Hébergement UE | Oui (data residency) | Oui (Enterprise uniquement) | Oui (AWS EU) |
| DPA | Oui | Oui | Oui |
| Certifié DPF | Oui (opérations US) | Oui | Oui |
| IA et sous-traitants | Atlassian Intelligence (opt-in) | Asana Intelligence (opt-in) | Monday AI (OpenAI sous-traitant) |
| Données imprévisibles | Logs, stack traces, données client en debug | Noms clients, segments, contacts | CRM, RH, projets – dépend de l’usage |
Pour approfondir : Jira et RGPD, Asana et RGPD, Monday.com et RGPD.
Support client
Les outils de support client présentent une particularité RGPD unique : vous ne contrôlez pas ce que vos clients écrivent dans les tickets. Un client peut coller un numéro de carte bancaire, un scan de pièce d’identité ou des informations médicales dans un ticket de support. Le sous-traitant traite donc des données potentiellement sensibles de manière imprévisible.
| Critère | Zendesk |
|---|---|
| Siège | San Francisco, USA |
| Hébergement UE | Oui (Francfort, Dublin) |
| DPA | Oui |
| Certifié DPF | Oui |
| Zendesk AI | Données utilisées pour réponses IA (vérifier entraînement) |
| Rétention | Configurable (plans supérieurs) |
Pour approfondir : Zendesk et RGPD.
Comment auditer votre stack technique
La vérification outil par outil est nécessaire mais insuffisante. Ce qui compte, c’est la vision globale : combien d’outils traitent des données personnelles ? Combien ont un DPA signé ? Combien transfèrent des données hors UE ? Combien sont documentés dans votre registre ?
La méthode en 4 étapes
Étape 1 : Inventorier. Listez tous les outils SaaS et logiciels utilisés dans l’organisation. Incluez les outils installés par des collaborateurs individuels (shadow IT). Un audit typique révèle 2 à 3 fois plus d’outils que ce que le DSI pense avoir.
Étape 2 : Qualifier. Pour chaque outil, déterminez : traite-t-il des données personnelles ? Si oui, en quelle qualité (sous-traitant, responsable conjoint) ? Où sont hébergées les données ? Un DPA est-il en place ?
Étape 3 : Documenter. Ajoutez chaque outil au registre des traitements. Conservez les DPA signés. Documentez les transferts hors UE et les garanties associées.
Étape 4 : Corriger. Signez les DPA manquants. Configurez les paramètres de confidentialité (désactivez le partage de données, configurez les durées de rétention, activez le chiffrement). Remplacez les outils non conformes par des alternatives.
Quand l’audit dépasse la capacité humaine
À partir de 20-30 outils (ce qui est le cas de la majorité des PME), la gestion manuelle de cette conformité – DPA, registre, transferts, durées de conservation – devient un travail à temps plein. C’est précisément ce que les logiciels de conformité RGPD automatisent : cartographie des traitements, suivi des sous-traitants, alertes sur les DPA manquants, documentation centralisée.
FAQ
Dois-je signer un DPA avec chaque outil SaaS ?
Oui, dès lors que l’outil traite des données personnelles pour votre compte. L’article 28 du RGPD l’impose. La plupart des éditeurs SaaS proposent un DPA en ligne – il suffit souvent de l’accepter dans les paramètres du compte. Si un éditeur ne propose pas de DPA, c’est un signal d’alerte sérieux.
Un outil hébergé en UE est-il automatiquement conforme ?
Non. L’hébergement en UE résout la question des transferts, mais pas les autres obligations : DPA, minimisation, durées de conservation, droits des personnes. Un outil peut être hébergé à Paris et être non conforme si ses paramètres par défaut collectent des données excessives ou si aucun DPA n’est en place.
Que faire si un outil utilise des sous-traitants hors UE ?
Vérifiez que des garanties appropriées sont en place pour chaque sous-traitant (DPF, CCT, mesures supplémentaires). L’outil doit vous informer de ses sous-traitants ultérieurs et vous permettre de vous opposer à tout nouveau sous-traitant (article 28(2) RGPD).
Les outils d’IA générative sont-ils compatibles avec le RGPD ?
Oui, à condition d’utiliser les versions entreprise qui garantissent la non-utilisation des données pour l’entraînement, proposent un DPA et offrent un hébergement UE. Les versions gratuites grand public ne sont pas adaptées au traitement de données personnelles en contexte professionnel.
Automatisez votre conformite RGPD
Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.
Decouvrir Legiscope →