Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Salesforce et RGPD : guide de conformité 2026
RGPD

Salesforce et RGPD : guide de conformité 2026

Salesforce est-il conforme au RGPD ? Analyse du DPA, des transferts, de la sécurité et configuration recommandée.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202613 min de lecture
Sommaire
  1. Qualification juridique : Salesforce comme sous-traitant
  2. Analyse du DPA Salesforce
  3. Transferts internationaux et TIA
  4. Sécurité informatique
  5. Configuration recommandée pour la conformité RGPD
  6. Points d’attention spécifiques à Salesforce
  7. FAQ

Salesforce est le CRM dominant à l’échelle mondiale et occupe une position de leader sur le marché français, en particulier auprès des ETI et des grandes entreprises. La plateforme couvre la gestion commerciale (Sales Cloud), le service client (Service Cloud), le marketing automation (Marketing Cloud, Pardot), l’analytique (Tableau, CRM Analytics), et depuis peu l’intelligence artificielle générative (Einstein AI). En France, Salesforce dispose de bureaux à Paris et d’un écosystème de partenaires intégrateurs dense.

Du point de vue des données personnelles, Salesforce traite potentiellement l’ensemble des données de votre relation client : identité des contacts et des leads, historique commercial complet, interactions de support, comportement sur vos emails marketing, données issues de vos applications métier connectées. Le volume et la variété des données traitées sont généralement plus importants que pour un CRM plus simple, en raison de l’étendue fonctionnelle de la plateforme.

Faut-il considérer Salesforce comme un risque RGPD ? Non. Salesforce est probablement la plateforme CRM la plus auditée au monde en matière de protection des données. Des banques, des assureurs, des groupes pharmaceutiques et des administrations publiques l’utilisent quotidiennement. Le vrai risque de conformité ne vient pas de Salesforce lui-même, mais de la complexité de votre implémentation : applications tierces installées depuis l’AppExchange, flux de données entre clouds, paramétrages par défaut non révisés, et documentation de conformité incomplète.

Ce guide analyse point par point ce que vous devez vérifier et configurer. Consultez également nos analyses de HubSpot et RGPD et Pipedrive et RGPD, ainsi que notre guide complet RGPD et outils.

Qualification juridique : Salesforce comme sous-traitant

Pour l’utilisation standard de ses services cloud, Salesforce agit en qualité de sous-traitant (processor) au sens de l’article 28 du RGPD. Vous, en tant que client, êtes le responsable de traitement : vous décidez quelles données stocker dans Salesforce, pour quelles finalités, et selon quelles règles.

Cette qualification est claire pour les fonctionnalités principales : Sales Cloud (gestion des contacts, comptes, opportunités), Service Cloud (gestion des cas), et le stockage de données en général. Salesforce traite ces données exclusivement selon vos instructions et pour votre compte.

Certaines fonctionnalités peuvent néanmoins soulever des questions de qualification plus complexes :

  • Marketing Cloud et publicité : l’utilisation des fonctionnalités d’audience segmentation et de partage avec des plateformes publicitaires peut impliquer une responsabilité conjointe au sens de l’article 26.
  • Data Cloud (anciennement Salesforce CDP) : ce produit agrège des données provenant de sources multiples et les enrichit. Selon la configuration, la qualification de sous-traitant peut être discutée.
  • Einstein AI : les fonctionnalités d’IA générative et prédictive sont couvertes par le DPA de Salesforce, mais méritent une attention spécifique (voir section Points d’attention).

Catégories de données traitées :

  • Données d’identité : nom, email, téléphone, adresse, entreprise, fonction, hiérarchie
  • Données commerciales : opportunités, devis, commandes, historique d’achat, chiffre d’affaires
  • Données comportementales : ouvertures d’emails, clics, visites web (via Marketing Cloud/Pardot)
  • Données de support : cas, transcriptions de chat, enquêtes de satisfaction
  • Données techniques : logs de connexion, adresses IP, metadata d’utilisation
  • Données libres : champs personnalisés (potentiellement tout type de donnée)

Catégories de personnes concernées : clients, prospects, leads, contacts professionnels, utilisateurs finaux du support, visiteurs web.

Documentez cette qualification dans votre registre des traitements pour chaque Cloud Salesforce utilisé, avec la base légale correspondante.

Analyse du DPA Salesforce

Le DPA de Salesforce fait partie intégrante du Main Services Agreement (MSA). Il est structuré autour du Data Processing Addendum, complété par des annexes spécifiques à chaque service. Pour les clients Enterprise et Unlimited, le DPA est négociable – un avantage significatif par rapport aux DPA click-through des CRM plus petits.

Exigence Art. 28 Couverture Salesforce Commentaire
Objet, durée, nature du traitement Oui Défini par référence aux services souscrits et aux Order Forms
Instructions documentées du RT Oui Traitement exclusivement sur instructions documentées
Confidentialité du personnel Oui Obligations de confidentialité contractuelles pour tous les employés
Mesures de sécurité (Art. 32) Oui Annexe sécurité très détaillée, mesures techniques et organisationnelles
Sous-traitants ultérieurs Oui Liste publique, notification préalable, droit d’objection
Assistance droits des personnes Oui Outils techniques + engagement contractuel d’assistance
Suppression/restitution en fin de contrat Oui Export des données + suppression dans les délais contractuels
Audits Oui Rapports de certification + possibilité d’audit sur site pour les contrats Enterprise
Transferts hors UE Oui CCT + DPF + mesures supplémentaires documentées

Points forts du DPA Salesforce : c’est l’un des DPA les plus complets du marché SaaS. La couverture de l’article 28 est exhaustive. Le droit d’audit est plus large que chez la plupart des concurrents : en plus des rapports de certification, les clients Enterprise peuvent demander un audit sur site dans certaines conditions. La liste des sous-traitants ultérieurs est publique et régulièrement mise à jour.

Points d’attention : la complexité documentaire est significative. Le DPA ne se lit pas isolément – il faut le combiner avec le MSA, les annexes de sécurité, les conditions spécifiques à chaque Cloud, et les Order Forms. Pour une PME sans juriste dédié, cette complexité peut être un obstacle. Assurez-vous de disposer d’une copie consolidée de l’ensemble contractuel.

La liste des sous-traitants ultérieurs de Salesforce est longue, reflétant l’étendue de ses services. Chaque sous-traitant est identifié avec sa localisation et la nature du service. Salesforce s’engage à notifier tout changement et à accorder un délai d’objection.

Transferts internationaux et TIA

Salesforce, Inc. a son siège à San Francisco, Californie (États-Unis). Comme HubSpot, c’est une entreprise américaine soumise au CLOUD Act et à la juridiction des autorités américaines.

Hébergement des données

Salesforce offre des options d’hébergement EU robustes via Hyperforce, son architecture cloud de nouvelle génération. Les instances Hyperforce permettent un hébergement dans des data centers situés à Francfort (Allemagne) et Paris (France), sur infrastructure AWS. Pour les clients existants sur l’infrastructure classique, des instances EU sont également disponibles (EU Central).

L’avantage d’Hyperforce est la possibilité de garantir que les données au repos et en cours de traitement restent dans la région EU sélectionnée. C’est un argument fort pour les organisations soumises à des exigences de localisation des données.

Base juridique pour les transferts

Salesforce est certifié au EU-US Data Privacy Framework (DPF). Le DPA intègre les clauses contractuelles types (CCT) de la Commission européenne (version 2021) comme mécanisme complémentaire. Salesforce publie également un document de mesures supplémentaires détaillant les garanties techniques et organisationnelles mises en place pour protéger les données transférées.

Analyse d’impact des transferts (TIA)

Résumé pratique de la TIA pour Salesforce :

  • Législation du pays destinataire : même cadre que pour toute entreprise américaine – section 702 FISA, EO 12333, atténués par l’Executive Order 14086 et le mécanisme de recours du DPF (Data Protection Review Court).
  • Mesures supplémentaires : chiffrement en transit (TLS 1.2/1.3) et au repos (AES-256), option Salesforce Shield pour le chiffrement côté client (Bring Your Own Key), hébergement EU via Hyperforce, accès aux données par le personnel Salesforce limité et journalisé, engagement contractuel de contestation des demandes gouvernementales excessives.
  • Évaluation : le risque résiduel est faible pour les données commerciales standard. L’option Salesforce Shield (chiffrement avec clé client) permet de réduire encore ce risque pour les données sensibles, car Salesforce ne peut pas déchiffrer les données sans votre clé.

Recommandation pratique : privilégiez un hébergement Hyperforce EU, activez Salesforce Shield si vous traitez des données sensibles, documentez votre TIA, et conservez une stratégie de repli basée sur les CCT. Consultez notre guide sur le transfert de données hors UE pour approfondir.

Sécurité informatique

Salesforce dispose de l’un des programmes de sécurité les plus matures de l’industrie SaaS, attesté par un portefeuille de certifications particulièrement étendu :

  • SOC 2 Type II : audit annuel sur la sécurité, la disponibilité, la confidentialité et l’intégrité des traitements
  • ISO 27001 : certification du SGSI (système de gestion de la sécurité de l’information)
  • ISO 27018 : norme spécifique à la protection des données personnelles dans le cloud
  • CSA STAR : certification de sécurité cloud (Cloud Security Alliance)
  • FedRAMP : autorisation du gouvernement fédéral américain (le niveau d’exigence est très élevé)
  • Chiffrement : AES-256 au repos, TLS 1.2/1.3 en transit, option Shield pour le chiffrement applicatif avec clé client
  • Authentification : MFA obligatoire depuis février 2022, SSO via SAML/OAuth
  • Salesforce Shield : module complémentaire offrant Event Monitoring (journalisation avancée), Field Audit Trail (historique des modifications sur 10 ans), et Platform Encryption (chiffrement côté client)
  • Programme de sécurité : équipe dédiée de plusieurs centaines de personnes, programme de bug bounty, red teaming interne

Salesforce investit massivement dans la sécurité – l’entreprise consacre une part significative de ses revenus annuels à la cybersécurité. Ce niveau de protection est incomparablement supérieur à ce qu’une entreprise française typique pourrait déployer. Votre obligation au titre de l’article 32 du RGPD est de vérifier et de documenter ces mesures, pas de les reproduire. Conservez le rapport SOC 2 le plus récent dans votre dossier de conformité et vérifiez son périmètre par rapport aux services que vous utilisez.

Configuration recommandée pour la conformité RGPD

  1. Vérifier et archiver le DPA. Obtenez une copie complète du Data Processing Addendum applicable à votre contrat. Pour les clients Enterprise, négociez les clauses spécifiques à vos besoins. Archivez le DPA avec vos Order Forms dans votre dossier de conformité.

  2. Choisir un hébergement EU. Pour les nouvelles implémentations, sélectionnez une instance Hyperforce EU (Francfort ou Paris). Pour les instances existantes, évaluez la migration vers Hyperforce EU avec votre partenaire intégrateur.

  3. Configurer les durées de conservation. Salesforce ne supprime pas automatiquement les données anciennes. Mettez en place des politiques de rétention via des flows automatisés ou des outils tiers (Ownbackup, Odaseva) pour supprimer ou archiver les enregistrements obsolètes conformément à votre politique de durée de conservation.

  4. Activer Salesforce Shield (si nécessaire). Pour les données sensibles ou les secteurs réglementés, activez Platform Encryption avec votre propre clé de chiffrement (BYOK). Activez Event Monitoring pour la journalisation avancée des accès.

  5. Auditer les applications AppExchange. Chaque application tierce installée depuis l’AppExchange accède potentiellement aux données personnelles de votre org. Listez toutes les applications installées (Setup > Installed Packages), vérifiez le DPA de chaque éditeur, et désinstallez les applications inutilisées.

  6. Configurer les profils et permissions. Appliquez le principe du moindre privilège via les profiles, permission sets et permission set groups. Utilisez le Field-Level Security pour restreindre l’accès aux champs contenant des données sensibles. Activez le MFA pour tous les utilisateurs (c’est obligatoire depuis 2022).

  7. Paramétrer le consentement. Si vous utilisez Marketing Cloud ou Pardot, configurez les centres de préférences et les mécanismes de consentement conformément aux recommandations de la CNIL. Salesforce offre des objets standard (Individual, Contact Point Consent) pour gérer le consentement de manière granulaire.

  8. Documenter dans le registre. Créez une fiche dans votre registre des traitements pour chaque Cloud Salesforce utilisé (Sales Cloud, Service Cloud, Marketing Cloud, etc.), avec les finalités, bases légales, catégories de données, durées de conservation, transferts et mesures de sécurité spécifiques.

Points d’attention spécifiques à Salesforce

Einstein AI et IA générative

Salesforce a déployé largement ses fonctionnalités d’intelligence artificielle sous la marque Einstein : Einstein GPT, Einstein Copilot, predictive scoring, recommandations automatiques. La question de la conformité RGPD se pose à deux niveaux.

Premièrement, le DPA de Salesforce couvre explicitement les fonctionnalités Einstein. Salesforce s’engage à ce que les données clients ne soient pas utilisées pour entraîner ses modèles d’IA de base. Les modèles génératifs s’appuient sur l’Einstein Trust Layer, qui applique des mesures de protection (masquage des données sensibles, zero data retention auprès des fournisseurs de modèles).

Deuxièmement, vous devez évaluer si l’utilisation de l’IA générative sur des données personnelles est compatible avec vos finalités de traitement et votre base légale. L’utilisation d’Einstein pour générer des recommandations commerciales basées sur les données de vos contacts doit être documentée dans votre registre.

AppExchange : l’écosystème à risque

L’AppExchange est le marketplace d’applications tierces de Salesforce, avec plus de 5 000 applications disponibles. C’est la source de risque RGPD la plus sous-estimée dans l’écosystème Salesforce. Chaque application installée est potentiellement un sous-traitant additionnel avec sa propre localisation, sa propre politique de sécurité, et ses propres sous-traitants ultérieurs. L’article 28 du RGPD exige un contrat avec chacun d’entre eux.

En pratique : auditez trimestriellement vos applications installées, supprimez celles que vous n’utilisez plus, et maintenez un registre des DPA pour chaque application active.

Data Cloud et flux de données complexes

Data Cloud (anciennement Salesforce CDP) agrège des données provenant de sources multiples (CRM, site web, applications tierces, données offline) et les unifie dans un profil client 360. Cette fonctionnalité crée des flux de données complexes qui doivent être soigneusement documentés : sources de données, finalités de l’unification, bases légales applicables, et durées de conservation par source.

L’intégration de Salesforce avec des outils d’email marketing comme Brevo crée des flux de données croisés qui doivent être documentés dans votre registre des traitements. Pour le support client, de nombreuses organisations couplent Salesforce avec Zendesk – vérifiez la cohérence des DPA et des durées de conservation entre les deux outils.

FAQ

Salesforce est-il conforme au RGPD ?

Salesforce fournit un cadre contractuel et technique solide pour une utilisation conforme au RGPD : DPA complet et négociable, hébergement EU via Hyperforce, certifications de sécurité étendues, outils de gestion du consentement et des droits. La conformité effective dépend toutefois de votre implémentation : configuration des permissions, gestion des applications tierces, documentation des traitements, et paramétrage des durées de conservation.

Faut-il signer un DPA avec Salesforce ?

Oui. Le DPA fait partie de votre contrat Salesforce (Main Services Agreement). Pour les contrats standard, il s’applique automatiquement. Pour les contrats Enterprise, vous pouvez négocier des clauses spécifiques – c’est recommandé si vous traitez des données sensibles ou si votre secteur impose des exigences particulières. Conservez une copie du DPA signé dans votre dossier de conformité.

Salesforce transfère-t-il des données hors de l’UE ?

Cela dépend de votre configuration. Avec un hébergement Hyperforce EU, les données au repos et en traitement restent en Europe. Certains flux peuvent néanmoins impliquer des transferts vers les États-Unis (support technique, certaines fonctionnalités IA). Salesforce est certifié DPF et applique les CCT. Documentez ces transferts dans votre TIA et activez l’hébergement EU pour minimiser les flux transatlantiques.

Les applications AppExchange sont-elles couvertes par le DPA Salesforce ?

Non. Le DPA de Salesforce couvre uniquement les services Salesforce. Chaque application tierce installée depuis l’AppExchange est un sous-traitant indépendant. Vous devez vérifier et conserver le DPA de chaque éditeur d’application séparément. C’est un point fréquemment négligé qui peut constituer une non-conformité à l’article 28 du RGPD.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformité cloud infrastructure

9 avril 2026 · 16 min