Slack et RGPD en 2026 : utiliser la messagerie d'équipe en conformité

Slack est devenu le standard de la communication interne des petites équipes et agences. Dès que vous y échangez des données personnelles — noms de clients, emails, pièces jointes, captures d'écran — le RGPD s'applique. Et Slack Technologies (groupe Salesforce) est un service américain. Voici comment l'utiliser sereinement.

Pourquoi Slack relève du RGPD

Slack est votre sous-traitant

Slack héberge vos messages et fichiers pour votre compte : c'est un sous-traitant au sens de l'article 28 RGPD. Vous devez disposer d'un DPA (Data Processing Addendum). Salesforce en propose un, accessible depuis ses pages légales. Détails dans notre guide sous-traitant et DPA.

Transfert hors UE

Slack héberge une partie des données aux États-Unis. Le transfert est encadré par le Data Privacy Framework, auquel Salesforce est certifié. Il doit être mentionné dans votre politique de confidentialité interne. Cadre complet : transferts de données hors UE.

Données salariés : information obligatoire

Slack traite aussi des données de vos collaborateurs (identité, messages, horaires de connexion). À ce titre, vos salariés doivent être informés de l'usage de l'outil et de la durée de conservation des messages.

Les pièges les plus fréquents

• Tout conserver indéfiniment. Par défaut, Slack garde l'historique sans limite. Or le RGPD impose une durée de conservation justifiée (cf. durée de conservation des données). Configurez la rétention des messages et fichiers (Settings → Message & file retention).
• Partager des données sensibles dans un canal. Données de santé, mots de passe, RIB n'ont rien à faire dans Slack.
• Laisser des invités externes accéder à des canaux contenant des données clients. Limitez Slack Connect et les invitations externes.
• Oublier les comptes des partants. Désactivez immédiatement l'accès d'un collaborateur qui quitte l'équipe.

Bonnes pratiques

Configurer la conservation

Définissez une rétention raisonnable (par exemple 90 jours pour les messages courants), sauf canaux nécessitant un archivage justifié. Documentez ce choix.

Mentionner Slack au registre et dans vos documents

Inscrivez Slack dans votre registre des traitements (finalité : communication interne ; sous-traitant : Salesforce ; transfert : DPF). Si des données clients y transitent, mentionnez l'outil dans votre politique de confidentialité.

Maîtriser les accès

• Principe du moindre privilège : un canal sensible = membres strictement nécessaires.
• Activez l'authentification à deux facteurs pour tous.
• Auditez régulièrement les applications tierces connectées à votre espace Slack.

Alternatives européennes

Si vous traitez des données sensibles ou souhaitez une souveraineté complète :

• Mattermost (open source, auto-hébergeable en UE).
• Element / Matrix (chiffré de bout en bout, souverain).
• Rocket.Chat (open source, hébergement UE possible).

En pratique, beaucoup gardent Slack pour la communication courante et bannissent les données sensibles de l'outil : un compromis acceptable s'il est documenté.

Checklist conformité Slack

• [ ] DPA Salesforce/Slack accepté et conservé
• [ ] Transfert hors UE (DPF) mentionné dans vos documents internes
• [ ] Durée de conservation des messages et fichiers configurée
• [ ] Aucune donnée sensible (santé, identifiants, bancaire) dans Slack
• [ ] Accès externes (Slack Connect, invités) maîtrisés
• [ ] Comptes des partants désactivés sans délai
• [ ] 2FA activé pour tous les membres
• [ ] Slack inscrit dans votre registre des traitements

Votre site est-il aussi conforme côté cookies et mentions légales ? Scannez-le gratuitement pour le savoir en 30 secondes.