Notion et RGPD en 2026 : stocker des données clients en conformité

Notion est devenu le couteau suisse des freelances et petites équipes : notes, CRM maison, suivi de projets clients. Dès que vous y stockez des données personnelles (noms, emails, échanges clients), le RGPD s'applique. Et Notion est un service américain. Voici comment rester en règle.

Les enjeux RGPD de Notion

1. Notion est votre sous-traitant

Si vous stockez dans Notion des données de vos clients ou prospects, Notion Labs, Inc. les héberge pour votre compte : c'est un sous-traitant (article 28 RGPD). Il vous faut un DPA. Notion propose un DPA accessible depuis ses pages légales (notion.so/notion/Data-Processing-Addendum). Voir notre guide sous-traitant et DPA.

2. Transfert de données hors UE

Notion Labs, Inc. est aux États-Unis. Vos pages et bases de données y sont hébergées : transfert hors UE encadré par le Data Privacy Framework, auquel Notion est certifié. Licite si mentionné dans votre politique de confidentialité. Cadre complet : guide transferts hors UE.

3. Le piège des partages publics

Notion permet de publier une page « to web » d'un clic. Si une page contenant des données personnelles est rendue publique, vous créez une violation de données potentielle (accès non autorisé). C'est l'erreur la plus fréquente. Auditez vos partages : Settings → la mention « Share to web » doit être désactivée sur toute page sensible.

Bonnes pratiques pour un usage conforme

Minimiser et séparer

• Ne stockez dans Notion que les données nécessaires à votre activité (minimisation).
• N'y mettez pas de données sensibles (santé, opinions, données bancaires complètes) : Notion n'est pas dimensionné pour ça, et le risque en cas de fuite est disproportionné.
• Pour un vrai CRM, un outil dédié avec rôles et journalisation est plus adapté qu'une base Notion partagée largement.

Maîtriser les accès

• Limitez les invités à ceux qui ont réellement besoin d'accéder aux données (principe du moindre privilège).
• Réservez les pages contenant des données clients à des espaces privés, pas à l'espace partagé de toute l'équipe.
• Retirez immédiatement les accès des collaborateurs qui partent.

Mentionner Notion dans la politique de confidentialité

"Nous utilisons Notion Labs, Inc. (États-Unis), certifié au Data Privacy Framework, comme outil interne de gestion et de suivi. Certaines données clients (identité, email, historique d'échanges) peuvent y être traitées. Notion agit en tant que sous-traitant, lié par un DPA. Plus d'informations : notion.so/notion/Privacy-Policy."

Modèle complet : politique de confidentialité 2026.

Gérer les droits et la conservation

Si un client exerce son droit d'accès ou d'effacement, vous devez pouvoir retrouver et supprimer ses données dans Notion (cf. demandes d'accès et d'effacement). Prévoyez une organisation qui le permet (une base par finalité, plutôt que des données éparpillées). Inscrivez Notion dans votre registre des traitements.

Alternatives européennes

Pour le stockage de données clients hors États-Unis :

• Outline — wiki/notes open source, auto-hébergeable en UE.
• Nextcloud (Allemagne) — suite collaborative souveraine, auto-hébergée.
• AnyType — alternative locale-first à Notion.

En pratique, beaucoup gardent Notion pour l'usage interne et déportent les données clients sensibles vers un outil dédié hébergé en UE : c'est un compromis raisonnable.

Checklist conformité Notion

• [ ] DPA Notion accepté/vérifié
• [ ] Notion mentionné dans la politique de confidentialité (DPF + finalités)
• [ ] Aucune page contenant des données personnelles publiée « to web »
• [ ] Accès limités au strict nécessaire, départs gérés
• [ ] Pas de données sensibles stockées dans Notion
• [ ] Organisation permettant de retrouver/supprimer les données d'une personne
• [ ] Notion inscrit dans votre registre des traitements

Votre site renvoie-t-il vers des pages Notion publiques contenant des données ? Scannez-le gratuitement et faites le point sur votre conformité.