Salesforce et RGPD en 2026 : utiliser le CRM en conformité

Salesforce est le CRM le plus utilisé au monde par les équipes commerciales et marketing. C'est un service américain (Salesforce, Inc.) qui héberge et traite pour votre compte les données de vos prospects et clients : identité, coordonnées, échanges, historique commercial. Voici comment l'utiliser sans accroc côté RGPD.

Les enjeux RGPD de Salesforce

1. Salesforce est votre sous-traitant

Vous décidez pourquoi et comment les données sont traitées : vous êtes responsable de traitement. Salesforce exécute le stockage et le traitement pour votre compte : c'est un sous-traitant au sens de l'article 28 du RGPD. Vous devez donc disposer d'un DPA (accord de traitement des données).

Bonne nouvelle : le Data Processing Addendum de Salesforce est intégré à ses conditions contractuelles et accepté à la signature. Conservez-en une copie. Pour comprendre l'étendue de vos obligations, voir notre guide sous-traitant et DPA.

2. Transfert de données hors UE

Salesforce, Inc. est basé aux États-Unis. Même si l'entreprise propose un hébergement dans l'UE (Hyperforce avec régions européennes), l'entité mère reste américaine. C'est un transfert hors UE, encadré depuis 2023 par le Data Privacy Framework (DPF) auquel Salesforce est certifié, complété par des clauses contractuelles types (CCT).

Concrètement : c'est légal, à condition de le mentionner dans votre politique de confidentialité. Détails dans notre guide des transferts hors UE.

3. Choisir une région de données européenne

Si possible, demandez l'hébergement de votre instance dans une région UE (Hyperforce Europe). Cela ne supprime pas le statut de transfert (maison mère US), mais réduit la surface d'exposition et facilite la confiance de vos clients B2B, souvent regardants sur ce point.

Configurer Salesforce pour être conforme

Étape 1 — Minimiser et qualifier les bases légales

Pour chaque type de données dans votre CRM, identifiez la base légale :

• Clients : exécution du contrat / intérêt légitime.
• Prospects B2B (cold) : intérêt légitime, avec droit d'opposition simple. Voir notre guide prospection commerciale et cold email.
• Contacts issus de formulaires : consentement ou intérêt légitime selon le contexte.

Ne stockez que les champs réellement utiles (principe de minimisation). Désactivez les champs personnalisés inutilisés qui accumulent des données sensibles par défaut.

Étape 2 — Gérer les durées de conservation

Salesforce ne supprime rien automatiquement : un CRM tend à devenir un cimetière de données. Définissez des règles de purge :

• Prospects non convertis : suppression ou anonymisation après 3 ans sans contact (recommandation CNIL).
• Clients inactifs : archivage après la fin de la relation commerciale.

Automatisez avec des scheduled flows ou l'outil de suppression de masse. Consignez ces durées dans votre registre des traitements et notre guide des durées de conservation.

Étape 3 — Répondre aux droits des personnes

Un prospect peut demander l'accès, la rectification ou l'effacement de ses données. Préparez une procédure : recherche par email dans Salesforce, export ou suppression, traçabilité de la demande. Voir notre guide des demandes d'accès et d'effacement.

Étape 4 — Mentionner Salesforce dans la politique de confidentialité

Section type à inclure :

"Nos données clients et prospects sont gérées via Salesforce (Salesforce, Inc., États-Unis, certifié au Data Privacy Framework). Salesforce agit en tant que sous-traitant. Les données traitées incluent : identité, coordonnées professionnelles, historique d'échanges. Base légale : exécution du contrat et intérêt légitime."

Modèle complet : politique de confidentialité 2026.

Cas particuliers à surveiller

• Marketing Cloud / Pardot : envoi d'emails marketing → consentement et désinscription obligatoires (cf. newsletter et email marketing).
• Web-to-Lead : les formulaires Salesforce embarqués sur votre site déposent parfois des scripts et cookies → vérifiez le consentement (cf. formulaire de contact conforme).
• Einstein / IA : tout traitement automatisé de profilage doit être documenté et transparent (cf. AI Act et RGPD).

Checklist conformité Salesforce

• [ ] DPA Salesforce conservé et accessible
• [ ] Salesforce mentionné dans la politique de confidentialité (DPF + finalités)
• [ ] Région de données UE demandée si possible
• [ ] Base légale définie pour chaque type de contact
• [ ] Durées de conservation et purge automatisées
• [ ] Procédure de réponse aux droits (accès, rectification, effacement)
• [ ] Salesforce inscrit dans votre registre des traitements
• [ ] Formulaires Web-to-Lead vérifiés côté cookies/consentement

Scannez votre site gratuitement pour détecter les scripts Salesforce (Web-to-Lead, Pardot) qui se chargent avant le consentement de vos visiteurs.