Zendesk et RGPD : guide de conformité 2026

Zendesk est la plateforme de support client la plus répandue dans les entreprises SaaS et les PME numériques en France. Tickets de support, live chat, centre d’aide, messagerie, téléphonie – Zendesk centralise l’ensemble des interactions entre votre entreprise et vos clients. Et c’est précisément là que réside l’enjeu RGPD : un outil de support client traite par nature des données personnelles, souvent dans des volumes et avec une diversité que vous ne contrôlez pas entièrement.

Le problème spécifique de Zendesk est que vos clients décident eux-mêmes quelles données ils vous envoient dans les tickets. Un client qui colle son numéro de carte bancaire dans un message de support, qui joint une copie de sa pièce d’identité, ou qui décrit un problème de santé dans un ticket – c’est une réalité quotidienne. Zendesk devient alors le réceptacle de données sensibles que vous n’avez pas demandées et que vous devez néanmoins protéger.

Ce guide analyse la conformité RGPD de Zendesk sous l’angle du DPA, des transferts, de la sécurité et de la configuration opérationnelle. Pour une vue d’ensemble, consultez notre guide RGPD par outil. Voir également nos analyses de Salesforce (qui inclut Service Cloud, concurrent direct de Zendesk) et de Slack (souvent utilisé en complément de Zendesk pour le support interne).

Qualification juridique : Zendesk comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Zendesk Inc. agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour l’ensemble de ses services principaux (Support, Chat, Guide, Talk, Messaging). Votre organisation est le responsable de traitement : vous déterminez les finalités (gestion du support client, résolution des demandes, suivi de la satisfaction) et les moyens essentiels (choix de l’outil, configuration des formulaires, règles de routage).

Zendesk fournit l’infrastructure et l’application, traite les données selon vos instructions, et ne détermine pas les finalités du traitement. C’est une relation de sous-traitance classique, identique dans son principe à celle d’un hébergeur cloud ou d’un CRM.

Catégories de données traitées

La particularité de Zendesk est l’étendue et l’imprévisibilité des données traitées :

Données structurées (contrôlables) :

• Nom, prénom, email, téléphone du demandeur
• Nom de l’entreprise, fonction
• Historique des tickets et des interactions
• Métadonnées : date, heure, canal, agent assigné, statut, priorité
• Données de satisfaction (CSAT, NPS)

Données non structurées (difficilement contrôlables) :

• Contenu libre des messages de support : les clients peuvent écrire tout et n’importe quoi
• Pièces jointes : captures d’écran, documents, fichiers pouvant contenir des données personnelles ou sensibles
• Transcriptions de chat et d’appels téléphoniques
• Données partagées via le centre d’aide (formulaires, commentaires)

Catégories de personnes concernées : clients, prospects, utilisateurs finaux, employés (pour le support interne), partenaires.

Cette imprévisibilité du contenu est le défi RGPD numéro un de Zendesk. Contrairement à un CRM où vous définissez les champs, un système de tickets reçoit des données libres que vous ne pouvez pas filtrer a priori.

Le cas de Zendesk AI

Zendesk a déployé des fonctionnalités d’intelligence artificielle (Answer Bot, Intelligence Triage, suggestions de réponses automatiques, résumé de tickets). Selon la documentation de Zendesk, ces fonctionnalités traitent les données dans le cadre du DPA existant. Zendesk s’engage à ne pas utiliser les données client pour entraîner ses modèles d’IA de base.

Néanmoins, l’activation de Zendesk AI sur des tickets pouvant contenir des données sensibles (santé, données financières) mérite une analyse spécifique. Documentez l’utilisation de l’IA dans votre registre et dans votre information aux personnes.

Analyse du DPA Zendesk

Le Zendesk Data Processing Agreement est disponible en ligne et automatiquement applicable aux clients. Depuis le rachat de Zendesk par un consortium de capital-investissement en 2022, l’entité juridique a changé, mais le DPA reste fonctionnellement similaire. Voici notre analyse.

Exigence Art. 28	Couverture Zendesk	Évaluation
Instructions documentées (28(3)(a))	Traitement sur instructions documentées du client	Conforme
Confidentialité du personnel (28(3)(b))	Engagement de confidentialité pour les employés et sous-traitants	Conforme
Mesures de sécurité (28(3)©)	Annexe sécurité avec mesures techniques et organisationnelles	Conforme
Sous-traitants ultérieurs (28(3)(d))	Liste publiée, notification préalable, droit d’objection	Conforme
Assistance droits des personnes (28(3)(e))	Outils d’export et de suppression + engagement contractuel	Conforme
Assistance sécurité et AIPD (28(3)(f))	Coopération prévue dans le DPA	Conforme
Suppression ou restitution (28(3)(g))	Suppression des données en fin de contrat dans le délai contractuel	Conforme
Audits (28(3)(h))	Rapports SOC 2 et certifications mis à disposition + engagement d’audit	Conforme (via rapports)

Points forts du DPA Zendesk :

• DPA automatiquement applicable, sans démarche supplémentaire.
• Couverture formelle de toutes les exigences de l’article 28.
• Liste de sous-traitants ultérieurs publiée et mise à jour.

Points d’attention :

• Changement de propriété : l’acquisition par le capital-investissement en 2022 a soulevé des questions sur la continuité des engagements de conformité. En pratique, le DPA est resté en place, mais surveillez les évolutions des conditions contractuelles.
• Sous-traitants ultérieurs : Zendesk utilise AWS et GCP comme fournisseurs d’infrastructure, plus divers prestataires d’analyse et de support. Chaque sous-traitant ajoute un maillon à la chaîne de conformité. Vérifiez la liste régulièrement.
• Droit d’audit : comme la plupart des SaaS, Zendesk privilégie la mise à disposition de rapports de certification plutôt qu’un audit physique.

Transferts internationaux et évaluation d’impact du transfert

Localisation des données

Zendesk Inc. a son siège à San Francisco, Californie (États-Unis). Zendesk propose des options de localisation des données dans l’UE :

• Centre de données Francfort (Allemagne) et Dublin (Irlande) pour les plans Enterprise et supérieur.
• La localisation UE couvre les données de tickets, les profils utilisateurs et les pièces jointes.
• Certaines métadonnées et certaines fonctionnalités peuvent néanmoins impliquer un traitement aux États-Unis.

Mécanismes de transfert

1. EU-US Data Privacy Framework : Zendesk Inc. est certifié DPF.
2. Clauses contractuelles types : intégrées au DPA comme mécanisme subsidiaire.
3. Mesures supplémentaires : chiffrement en transit et au repos, contrôles d’accès.

Éléments de TIA

• Cadre juridique américain : même analyse que pour tout fournisseur américain – section 702 FISA, EO 12333, atténuées par l’EO 14086.
• Nature des données : c’est le point critique pour Zendesk. Les tickets de support peuvent contenir n’importe quel type de données personnelles, y compris des données sensibles. Un ticket de support santé, un ticket mentionnant un litige juridique, un ticket contenant des données bancaires – tous transitent par Zendesk. La sensibilité potentielle des données est plus élevée que pour un CRM standard.
• Mesures supplémentaires : chiffrement AES-256 au repos, TLS en transit. Pas de chiffrement côté client natif (contrairement à Salesforce Shield ou Slack EKM).
• Localisation UE : si activée, réduit significativement le périmètre des transferts.

Recommandation : activez la localisation UE dès que votre plan le permet. Pour les organisations traitant des données particulièrement sensibles dans les tickets (santé, juridique, financier), évaluez si Zendesk offre un niveau de protection suffisant ou si une solution avec chiffrement côté client est nécessaire.

Sécurité informatique

Certifications et audits

Zendesk dispose d’un programme de sécurité solide, attesté par les certifications suivantes :

• SOC 2 Type II : audit indépendant couvrant sécurité, disponibilité et confidentialité
• ISO 27001 : système de management de la sécurité de l’information
• ISO 27018 : protection des données personnelles dans le cloud
• ISO 27701 : système de management de la vie privée (certification notable, identique à celle de Google Cloud)
• CSA STAR : Cloud Security Alliance

Mesures techniques

• Chiffrement en transit : TLS 1.2+ pour toutes les communications
• Chiffrement au repos : AES-256 pour les données stockées
• Authentification : SSO via SAML 2.0, authentification à deux facteurs (2FA)
• Contrôles d’accès : gestion des rôles et des permissions par agent et par groupe
• Journalisation : audit logs des actions administratives (plans Enterprise)
• Redondance : infrastructure hébergée sur AWS et GCP avec haute disponibilité

Limites

• Pas de chiffrement côté client : contrairement à Salesforce Shield ou Slack EKM, Zendesk ne propose pas de solution de chiffrement où le client gère ses propres clés. C’est une limitation significative pour les organisations traitant des données hautement sensibles.
• Accès par le support Zendesk : les agents de support Zendesk peuvent avoir besoin d’accéder à vos données pour résoudre un incident. Cette situation est encadrée par le DPA mais mérite d’être évaluée dans votre TIA.

Configuration recommandée pour la conformité RGPD

1. Activer la localisation des données en UE. Contactez Zendesk pour activer l’hébergement dans le centre de données de Francfort ou Dublin. C’est la mesure la plus impactante pour réduire les transferts hors UE.

2. Archiver le DPA. Téléchargez et conservez une copie du Zendesk DPA dans votre dossier de conformité. Vérifiez qu’il couvre bien les services que vous utilisez (Support, Chat, Guide, Talk, Explore, Zendesk AI).

3. Configurer les durées de rétention. Zendesk permet de configurer la suppression automatique des tickets après une durée définie (plans Enterprise). Définissez une durée cohérente avec votre politique de conservation des données. Pour les plans inférieurs, mettez en place un processus manuel de purge périodique.

4. Activer le 2FA et le SSO. Rendez l’authentification à deux facteurs obligatoire pour tous les agents. Configurez le SSO via votre fournisseur d’identité (Okta, Azure AD, Google) pour un contrôle centralisé.

5. Restreindre les accès par rôle. Configurez les rôles Zendesk (agent, administrateur, agent light) avec le principe du moindre privilège. Limitez l’accès aux tickets sensibles via les groupes et les restrictions de visibilité.

6. Limiter les applications tierces. Le Zendesk Marketplace propose des centaines d’applications tierces. Chaque application accédant aux données de tickets est un sous-traitant additionnel. Auditez les applications installées, supprimez celles qui ne sont pas utilisées, et vérifiez le DPA de chaque éditeur.

7. Configurer les formulaires de contact. Limitez les champs obligatoires dans vos formulaires de demande au strict nécessaire (nom, email, objet, description). Ajoutez un avertissement visible invitant les clients à ne pas inclure de données sensibles dans leurs messages (numéros de carte, données de santé, pièces d’identité).

8. Mettre à jour la politique de confidentialité. Mentionnez Zendesk comme sous-traitant dans votre politique de confidentialité, avec les catégories de données traitées, les finalités, les transferts hors UE, et les droits des personnes.

9. Documenter dans le registre. Ajoutez Zendesk à votre registre des traitements : finalité (gestion du support client), base légale (exécution du contrat ou intérêt légitime), catégories de données, sous-traitance, transferts, rétention, sécurité.

10. Préparer la réponse aux droits. Configurez la fonctionnalité RGPD native de Zendesk (suppression et anonymisation des utilisateurs finaux, export des données) pour répondre aux demandes d’accès (art. 15) et d’effacement (art. 17). Testez la procédure avant de recevoir une demande réelle.

Points d’attention spécifiques

Les données sensibles non sollicitées : le vrai défi

C’est le problème le plus difficile de Zendesk du point de vue RGPD. Vos clients vont inévitablement inclure des données sensibles dans leurs tickets. Un client santé qui décrit ses symptômes. Un client qui envoie une photo de sa carte d’identité. Un employé qui signale un problème RH. Vous ne pouvez pas empêcher ces transmissions, mais vous devez les gérer.

Recommandations pratiques :

• Avertissement dans les formulaires : ajoutez un texte clair demandant aux clients de ne pas transmettre de données sensibles (numéros de carte, données de santé, pièces d’identité) sauf si strictement nécessaire.
• Formation des agents : formez vos agents à identifier et supprimer les données sensibles non nécessaires dans les tickets (caviarder un numéro de carte bancaire, supprimer une pièce jointe contenant une carte d’identité).
• Processus de purge : mettez en place un processus régulier d’identification et de suppression des données sensibles dans les tickets clôturés.
• Champs personnalisés sensibles : si vous créez des champs personnalisés pour des données sensibles, restreignez-en l’accès au minimum d’agents nécessaire.

Les clients collent régulièrement des données de paiement dans les tickets. Si vous utilisez Stripe, documentez ce flux croisé dans votre registre.

Zendesk AI et la transparence

Si vous activez les fonctionnalités IA de Zendesk (Answer Bot, suggestions, résumé, triage), informez-en vos clients. L’article 13 du RGPD impose la transparence sur les traitements automatisés. Ajoutez une mention dans votre politique de confidentialité et, si possible, un avertissement dans l’interface de chat indiquant que l’IA peut être utilisée pour traiter la demande.

Vérifiez également les conditions de Zendesk concernant l’utilisation des données par l’IA. Zendesk s’engage actuellement à ne pas utiliser les données client pour entraîner ses modèles de base, mais cette politique peut évoluer. Surveillez les mises à jour des conditions de service.

Sous-traitants ultérieurs : la chaîne de dépendance

Zendesk s’appuie sur AWS et GCP pour son infrastructure, plus divers prestataires pour l’analytics, le monitoring et le support. Chaque sous-traitant ajoute un maillon à la chaîne de responsabilité. Consultez régulièrement la liste des sous-traitants ultérieurs de Zendesk et documentez les changements. Si un nouveau sous-traitant est localisé dans un pays sans décision d’adéquation, évaluez l’impact sur votre TIA.

Rétention par défaut : même piège que Slack

Par défaut, Zendesk conserve les tickets indéfiniment. C’est contraire au principe de limitation de la conservation (art. 5(1)(e) du RGPD). Des années de tickets de support contenant potentiellement des données sensibles s’accumulent sans purge. Définissez une politique de rétention et, sur les plans qui le permettent, automatisez la suppression. Pour les plans sans rétention automatisée, planifiez des purges manuelles trimestrielles.

La synchronisation des données entre Zendesk et votre CRM (HubSpot, Salesforce) crée des flux bidirectionnels de données clients à documenter.

FAQ

Zendesk est-il conforme au RGPD ?

Zendesk fournit un cadre contractuel et technique adéquat : DPA conforme à l’article 28, certifications solides (SOC 2, ISO 27001, ISO 27701), localisation UE disponible, certification DPF. La conformité effective dépend de votre configuration : localisation UE activée, rétention configurée, applications tierces auditées, agents formés à la gestion des données sensibles. Le risque spécifique de Zendesk est le contenu non contrôlé des tickets – c’est un point que vous devez gérer opérationnellement. Les outils de conformité RGPD comme Legiscope permettent d’auditer cette configuration.

Les tickets de support sont-ils des données personnelles ?

Oui, dans la grande majorité des cas. Un ticket contient au minimum l’identité du demandeur (nom, email) et le contenu de sa demande. Ce contenu constitue une donnée personnelle dès lors qu’il permet d’identifier directement ou indirectement une personne physique. Les tickets doivent être traités comme des données personnelles au sens de l’article 4 du RGPD et soumis à l’ensemble des obligations du règlement (base légale, information, conservation limitée, sécurité, droits des personnes).

Faut-il une AIPD pour Zendesk ?

L’analyse d’impact n’est pas systématiquement requise pour un usage standard de Zendesk (support client B2B). En revanche, elle est recommandée si vos tickets contiennent régulièrement des données sensibles (secteur santé, juridique, financier), si vous traitez un volume important de tickets (traitement à grande échelle), ou si vous activez Zendesk AI sur des tickets sensibles. En cas de doute, la CNIL recommande de réaliser l’AIPD.

Que faire si un client envoie des données sensibles dans un ticket ?

Premièrement, formez vos agents à identifier les données sensibles (numéros de carte, données de santé, pièces d’identité). Deuxièmement, supprimez ou caviardez les données non nécessaires au traitement de la demande. Troisièmement, si les données sensibles sont nécessaires (cas d’un support santé, par exemple), documentez la base légale (généralement le consentement explicite ou l’exécution du contrat) et restreignez l’accès au ticket. Quatrièmement, ajoutez un avertissement dans vos formulaires de contact demandant aux clients de ne pas envoyer de données sensibles sauf nécessité absolue. Consultez notre analyse des LinkedIn Ads et RGPD et Meta Ads et RGPD pour des problématiques de conformité complémentaires.