Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Slack et RGPD : guide de conformité 2026
RGPD

Slack et RGPD : guide de conformité 2026

Slack est-il conforme au RGPD ? Analyse du DPA, des transferts de données, de la sécurité et configuration recommandée.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202612 min de lecture
Sommaire
  1. Qualification juridique : Slack comme sous-traitant
  2. Analyse du DPA Slack/Salesforce
  3. Transferts internationaux et analyse d’impact sur les transferts (TIA)
  4. Sécurité informatique
  5. Configuration recommandée pour la conformité RGPD
  6. Points d’attention spécifiques
  7. FAQ

Slack est devenu l’outil de communication interne de référence pour de nombreuses entreprises françaises, des startups aux grandes ETI. Depuis son rachat par Salesforce en 2021, la plateforme traite quotidiennement des volumes massifs de données personnelles : messages, fichiers partagés, profils utilisateurs, métadonnées de connexion et d’interaction. Pour le responsable de traitement, la question n’est pas de savoir s’il faut utiliser Slack – c’est souvent un acquis opérationnel – mais de savoir comment l’utiliser en conformité avec le RGPD.

Dans mon expérience de conseil en protection des données, Slack pose des problématiques spécifiques que beaucoup d’organisations sous-estiment. La conservation illimitée des messages par défaut, les flux de données liés à Slack Connect entre organisations distinctes, et plus récemment l’introduction de Slack AI, créent des zones de risque qu’il convient d’analyser méthodiquement. Ce guide fournit une analyse juridique complète de Slack au regard du RGPD, avec des recommandations de configuration actionables.

Pour une vue d’ensemble de la conformité des outils SaaS, consultez notre guide RGPD par outil. Voir également nos analyses de Google Workspace et Notion, deux autres outils collaboratifs fréquemment utilisés conjointement avec Slack.

Qualification juridique : Slack comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Slack Technologies LLC (filiale de Salesforce Inc.) agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour les fonctionnalités principales de la plateforme. Votre organisation détermine les finalités du traitement (communication interne, gestion de projet, collaboration) et les moyens essentiels (quels employés ont accès, quels canaux sont créés, quelles données y transitent). Slack fournit l’infrastructure technique et traite les données selon vos instructions.

Cette qualification est claire pour les fonctionnalités de base : messagerie instantanée, partage de fichiers, canaux et appels. Slack ne décide pas qui envoie quoi à qui – c’est vous, en tant qu’employeur et responsable de traitement.

Le cas de Slack AI

Slack AI, disponible en complément payant, mérite une analyse spécifique. Selon la documentation de Slack, cette fonctionnalité traite les données exclusivement au sein de l’infrastructure Slack, dans l’espace de travail du client. Les données ne sont pas envoyées à des modèles de langage externes. La qualification de sous-traitant reste donc inchangée : Slack traite vos données sur votre instruction (l’activation de la fonctionnalité IA) et dans le périmètre de votre espace de travail.

Néanmoins, il convient de vérifier dans le DPA si les conditions de traitement des fonctionnalités IA sont explicitement couvertes, notamment en termes de finalités autorisées et de mesures de sécurité spécifiques.

Slack Connect : un point de vigilance

Slack Connect permet de créer des canaux partagés entre deux organisations distinctes. Du point de vue du RGPD, cela crée une situation de responsabilité conjointe ou de transmission entre responsables de traitement. Chaque organisation reste responsable de traitement pour ses propres employés, mais le partage d’informations entre les deux espaces doit être encadré. Il est recommandé de documenter ces flux dans votre registre des traitements.

Analyse du DPA Slack/Salesforce

Depuis le rachat par Salesforce, le contrat de sous-traitance de Slack est encadré par le Salesforce Data Processing Addendum (DPA). Ce document est disponible en ligne et s’applique automatiquement aux clients Slack. Voici notre analyse au regard des exigences de l’article 28 du RGPD.

Exigence Art. 28 RGPD Couverture dans le DPA Salesforce/Slack Evaluation
Objet, durée, nature et finalité du traitement Définis dans le DPA et les conditions de service Conforme
Types de données et catégories de personnes Décrit dans l’annexe au DPA (messages, fichiers, profils, métadonnées) Conforme
Instructions documentées du responsable Le DPA prévoit un traitement sur instructions documentées Conforme
Confidentialité du personnel Engagement de confidentialité pour les employés de Salesforce Conforme
Mesures de sécurité (Art. 32) Annexe sécurité détaillée (chiffrement, contrôles d’accès, surveillance) Conforme
Sous-traitants ultérieurs Liste publiée et mise à jour ; mécanisme de notification et d’objection Conforme
Assistance pour les droits des personnes Engagement d’assistance dans le DPA Conforme
Suppression ou restitution en fin de contrat Suppression des données après résiliation, délai précisé Conforme
Droit d’audit Prévu dans le DPA, avec modalités d’exercice définies Conforme (via rapports SOC)
Information en cas d’instruction contrevenant au RGPD Prévu dans le DPA Conforme

Le DPA de Salesforce est globalement robuste et couvre les exigences formelles de l’article 28. Le point d’attention principal concerne le droit d’audit : comme beaucoup de fournisseurs SaaS, Salesforce privilégie la mise à disposition de rapports de certification (SOC 2, ISO 27001) plutôt qu’un audit physique sur site. C’est une pratique de marché acceptée, mais qui doit être évaluée au regard de vos propres exigences de conformité.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des données

Slack Technologies LLC est une société américaine dont le siège est à San Francisco. Par défaut, les données sont hébergées aux États-Unis. Cependant, pour les clients Enterprise Grid, Slack propose une option de résidence des données dans l’Union européenne (centre de données à Francfort, Allemagne). Cette option couvre les messages, fichiers et certaines métadonnées.

Mécanismes de transfert

Pour les transferts de données vers les États-Unis, Salesforce s’appuie sur deux mécanismes :

  1. EU-US Data Privacy Framework (DPF). Salesforce Inc. et ses filiales, dont Slack, sont certifiées au DPF. La décision d’adéquation de la Commission européenne du 10 juillet 2023 fournit une base légale pour ces transferts, tant que la certification est maintenue.

  2. Clauses contractuelles types (CCT). Le DPA intègre également les CCT de la Commission européenne (version 2021) comme mécanisme de transfert supplémentaire, en cas d’invalidation du DPF.

Analyse d’impact sur les transferts (TIA)

Même avec le DPF en vigueur, il est recommandé de documenter une TIA (Transfer Impact Assessment). Les points à évaluer sont les suivants :

  • Cadre juridique américain. La section 702 du FISA et l’Executive Order 12333 autorisent des accès aux données par les agences de renseignement américaines. L’Executive Order 14086, pris en accompagnement du DPF, introduit des garanties de proportionnalité et un mécanisme de recours (Data Protection Review Court).
  • Nature des données. Les messages Slack peuvent contenir des données sensibles (données RH, informations juridiques, échanges stratégiques). Plus la sensibilité est élevée, plus les mesures supplémentaires sont justifiées.
  • Mesures supplémentaires. Chiffrement en transit (TLS 1.2+) et au repos (AES-256). Pour les plans Enterprise, la gestion des clés de chiffrement par le client (Slack EKM – Enterprise Key Management) constitue une mesure supplémentaire significative.

Si votre organisation traite des données particulièrement sensibles via Slack, l’activation de la résidence UE combinée à l’Enterprise Key Management est la configuration qui offre le niveau de protection le plus élevé.

Sécurité informatique

Slack met en oeuvre un dispositif de sécurité conforme aux standards du marché. Voici les éléments principaux :

Certifications et audits

  • SOC 2 Type II – audit indépendant des contrôles de sécurité, disponibilité et confidentialité
  • SOC 3 – rapport public résumant les conclusions du SOC 2
  • ISO 27001 – certification du système de management de la sécurité de l’information

Mesures techniques

  • Chiffrement en transit : TLS 1.2 minimum pour toutes les communications
  • Chiffrement au repos : AES-256 pour les données stockées
  • Enterprise Key Management (EKM) : gestion des clés par le client via AWS KMS (Enterprise Grid uniquement)
  • Authentification : support SAML 2.0 / SSO, authentification à deux facteurs (2FA)
  • Journalisation : logs d’audit des actions administratives et des accès
  • Contrôles d’accès : gestion granulaire des permissions par canal, par rôle et par utilisateur

Mesures organisationnelles

  • Programme de gestion des vulnérabilités et bug bounty
  • Plan de réponse aux incidents avec notification dans les 72 heures (conforme à l’article 33 du RGPD)
  • Tests de pénétration réguliers par des tiers indépendants

Le niveau de sécurité de Slack est globalement satisfaisant pour un usage professionnel courant. Pour des traitements à haut risque, l’activation de l’EKM et du SSO est fortement recommandée.

Configuration recommandée pour la conformité RGPD

Voici la checklist de paramétrage à appliquer dans votre espace Slack pour assurer un niveau de conformité adéquat.

  1. Activer la résidence des données en UE. Disponible sur Enterprise Grid, cette option force le stockage des données dans le centre de données de Francfort. Contactez votre commercial Slack pour l’activation.

  2. Configurer les politiques de rétention des messages. Par défaut, Slack conserve tous les messages indéfiniment. Définissez une durée de conservation cohérente avec votre politique interne (par exemple 12 ou 24 mois) conformément au principe de limitation de la conservation. Configurez la rétention au niveau de l’espace de travail et, si nécessaire, par canal.

  3. Signer et archiver le DPA. Vérifiez que le Salesforce DPA est en vigueur pour votre contrat. Conservez une copie dans votre documentation RGPD.

  4. Activer l’authentification à deux facteurs (2FA) obligatoire. Dans les paramètres de sécurité, rendez le 2FA obligatoire pour tous les utilisateurs. Privilégiez le SSO via votre fournisseur d’identité (Okta, Azure AD, Google) pour un contrôle centralisé.

  5. Restreindre les applications tierces. Limitez les applications (bots, intégrations) que les utilisateurs peuvent installer. Chaque application tierce accédant aux données Slack est un sous-traitant additionnel à documenter. Utilisez la liste blanche d’applications approuvées.

  6. Encadrer Slack Connect. Définissez une politique interne sur l’utilisation de Slack Connect. Approuvez les canaux partagés au niveau administrateur. Documentez chaque partenaire externe avec lequel vous partagez un canal dans votre registre des traitements.

  7. Configurer les paramètres de Slack AI. Si vous utilisez Slack AI, vérifiez que la fonctionnalité est activée en connaissance de cause par l’administrateur. Informez les utilisateurs que l’IA accède au contenu des messages pour générer ses réponses.

  8. Mettre à jour votre charte informatique. Intégrez les règles d’utilisation de Slack dans votre charte informatique : types de données autorisés, interdiction de partager des données sensibles non chiffrées, règles de nommage des canaux, etc.

  9. Documenter le traitement dans le registre. Ajoutez Slack à votre registre des activités de traitement avec les éléments suivants : finalité, catégories de données, catégories de personnes, destinataires, transferts hors UE, durée de conservation, mesures de sécurité.

  10. Mettre en place une procédure de réponse aux demandes de droits. Prévoyez comment extraire les données d’un utilisateur (export Slack) pour répondre à une demande d’accès (art. 15) ou d’effacement (art. 17).

Points d’attention spécifiques

Conservation par défaut : le piège le plus fréquent

Le paramètre par défaut de Slack – conservation illimitée de tous les messages – est directement contraire au principe de limitation de conservation de l’article 5(1)(e) du RGPD. Or, dans beaucoup d’organisations, personne ne modifie ce paramètre. Résultat : des années de messages contenant des données personnelles, des échanges RH, des informations médicales parfois, s’accumulent sans aucune politique de purge. C’est un risque majeur en cas de contrôle CNIL ou de violation de données.

Slack Connect et la chaîne de responsabilité

Lorsque vous utilisez Slack Connect, les messages sont visibles par les deux organisations. Si un employé de votre partenaire commercial partage des données personnelles de ses clients dans un canal commun, votre organisation y a accès. Cette situation doit être anticipée contractuellement et documentée dans le registre. La CNIL pourrait considérer qu’il existe une responsabilité conjointe (art. 26) selon la configuration mise en place.

Slack AI et l’information des utilisateurs

Même si Slack AI ne transmet pas les données à des modèles externes, le fait qu’une intelligence artificielle accède au contenu des messages doit être porté à la connaissance des utilisateurs en vertu du principe de transparence (art. 13). Mettez à jour votre politique de confidentialité interne et votre charte informatique en conséquence.

Les intégrations Slack avec des outils de gestion de projet comme Jira ou Asana créent des flux de notifications contenant potentiellement des données personnelles (noms de clients, descriptions de tâches).

FAQ

Slack est-il conforme au RGPD ?

Slack fournit les outils et engagements contractuels nécessaires à une utilisation conforme au RGPD (DPA, résidence UE, chiffrement, certifications). Toutefois, la conformité dépend largement de votre configuration. Un Slack avec les paramètres par défaut – conservation illimitée, pas de 2FA, applications tierces non contrôlées – n’est pas conforme. La responsabilité incombe au responsable de traitement, c’est-à-dire votre organisation.

Faut-il réaliser une analyse d’impact (AIPD) pour Slack ?

L’analyse d’impact n’est pas systématiquement requise pour Slack dans un usage standard (messagerie interne). En revanche, elle est recommandée si vous traitez des données sensibles via Slack, si vous utilisez Slack à grande échelle pour la surveillance des employés (analytics d’activité), ou si vous activez Slack AI sur des canaux contenant des données RH ou médicales. En cas de doute, la CNIL recommande de réaliser l’AIPD.

Peut-on utiliser Slack pour échanger des données de santé ?

L’utilisation de Slack pour des données de santé est fortement déconseillée sans mesures supplémentaires significatives. Les données de santé sont des données sensibles au sens de l’article 9 du RGPD. Si l’échange est incontournable, il faut a minima : activer la résidence UE, utiliser l’Enterprise Key Management, restreindre l’accès au canal concerné, et documenter une AIPD. En pratique, un outil dédié et certifié HDS (Hébergement de Données de Santé) est préférable.

Que se passe-t-il si le Data Privacy Framework est invalidé ?

En cas d’invalidation du DPF (scénario “Schrems III”), Salesforce a prévu dans son DPA le basculement automatique vers les clauses contractuelles types (CCT) comme mécanisme de transfert alternatif. Si vous avez activé la résidence des données en UE, l’impact sera également réduit car les données principales restent dans l’EEE. C’est pourquoi il est recommandé d’activer la résidence UE dès que votre plan le permet, indépendamment de la validité du DPF.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformité cloud infrastructure

9 avril 2026 · 16 min