Salesforce conforme au RGPD : le guide de configuration complet pour les entreprises européennes
Digital Stratify Team
July 4, 2026
10 min read

Salesforce conforme au RGPD : le guide de configuration complet pour les entreprises européennes

Salesforce peut être totalement conforme au RGPD — mais pas par défaut. Résidence des données en UE, gestion du consentement, politiques de rétention, droit à l'effacement : la checklist de configuration concrète pour 2026.

Salesforce n'est pas conforme au RGPD par défaut — il le devient par la configuration. La plateforme fournit toutes les briques (résidence des données en UE, objets de consentement, audit des champs, outils d'effacement), mais une implémentation standard n'en utilise presque aucune. Avec des amendes RGPD pouvant atteindre 4 % du chiffre d'affaires mondial et une CNIL active sur les pratiques CRM, voici la checklist concrète que nous appliquons sur chaque implémentation européenne.

1. Résidence des données : choisissez le bon hébergement

Salesforce Hyperforce permet d'héberger votre org sur une infrastructure européenne (régions de Francfort et Paris incluses), gardant les données au repos dans l'UE. Si votre org est antérieure à Hyperforce UE ou tourne sur une instance américaine, la migration est possible et souvent la réponse la plus propre à la question des transferts. À défaut, il vous faut des Clauses Contractuelles Types plus une analyse d'impact de transfert documentée.

2. Base légale et gestion du consentement

  • Utilisez l'objet standard Individual et les objets de Consent Management (ContactPointConsent, DataUsePurpose) plutôt que des cases à cocher improvisées
  • Enregistrez à quoi la personne a consenti, quand, et par quel canal ; un simple champ booléen « opt-in » ne passe pas un contrôle
  • Synchronisez le consentement dans les deux sens avec votre marketing automation : un désabonnement quelque part doit être un désabonnement partout
  • Pour la prospection B2B en intérêt légitime, documentez le test de mise en balance et honorez les oppositions instantanément par automatisation

3. Minimisation et rétention des données

  • Auditez vos champs — la plupart des orgs que nous auditons traînent des dizaines de champs de données personnelles que personne ne remplit depuis des années. Supprimez-les.
  • Définissez des durées de rétention par type d'enregistrement (leads perdus : 24 mois ; anciens clients : minimum légal pour les données de facturation)
  • Automatisez l'application avec des Flows planifiés qui anonymisent ou suppriment les enregistrements expirés — une politique de rétention qui repose sur la mémoire de quelqu'un n'est pas une politique

4. Droit d'accès et droit à l'effacement

  • Construisez un workflow de demande d'accès : réception (formulaire web → Case), vérification d'identité, export automatisé de tous les enregistrements liés à la personne — délai légal : un mois
  • Pour l'effacement, arbitrez anonymisation vs suppression définitive par objet — l'anonymisation préserve vos agrégats de reporting
  • N'oubliez pas les cachettes : pièces jointes d'emails, publications Chatter, historique d'activités, sandboxes et sauvegardes

5. Les contrôles de sécurité que demandent les auditeurs

ContrôleFonctionnalité SalesforcePriorité
Moindre privilègeProfils + ensembles d'autorisations, restriction de « View All Data »Obligatoire
MFAImposée par Salesforce depuis 2022 — vérifiez qu'aucune exemption ne subsisteObligatoire
Piste d'audit au niveau champField Audit Trail / Field History Tracking sur les champs de données personnellesÉlevée
Chiffrement au repos des champs sensiblesShield Platform EncryptionAu cas par cas
Surveillance des événementsShield Event MonitoringÉlevée pour les secteurs régulés

6. Documentez tout (principe d'accountability)

Une configuration sans documentation échoue aux contrôles. Maintenez : un registre des traitements couvrant vos flux CRM, des diagrammes de flux de données incluant les intégrations, votre DPA avec Salesforce et chaque outil connecté, et une AIPD pour les traitements à risque (scoring, profilage, fonctionnalités IA type Agentforce). Si vous déployez de l'IA sur des données clients, l'AI Act européen ajoute des obligations de transparence — concevez pour les deux dès maintenant.

Spécificités par pays

  • France : la CNIL est l'une des autorités les plus actives d'Europe et publie des recommandations spécifiques au CRM ; le CSE peut devoir être consulté pour les traitements de données salariés. Voir notre page Salesforce France.
  • Allemagne : l'application de la DSGVO est rigoureuse et décentralisée par Land ; l'accord du comité d'entreprise est standard pour les déploiements CRM. Voir Salesforce Allemagne.
  • Suisse : hors UE, mais la nLPD révisée reflète étroitement le RGPD. Voir Salesforce Suisse.
  • Luxembourg : les acteurs financiers superposent les circulaires CSSF sur l'externalisation au RGPD. Voir Salesforce Luxembourg.

Questions fréquentes

Salesforce est-il conforme au RGPD par défaut ?

Non. Salesforce fournit les outils — résidence UE, objets de consentement, pistes d'audit, capacités d'effacement — mais la conformité dépend de la configuration et de la gouvernance de votre org.

Les données Salesforce peuvent-elles être hébergées dans l'UE ?

Oui. Hyperforce propose des régions européennes dont Francfort et Paris, et les orgs existantes peuvent être migrées.

Comment traiter une demande de droit à l'oubli dans Salesforce ?

Par un workflow documenté : vérification d'identité, localisation de tous les enregistrements de la personne (pièces jointes, activités et systèmes connectés inclus), puis anonymisation ou suppression selon votre politique — sous un mois.

Ces règles s'appliquent-elles aux entreprises hors UE ?

Oui, dès lors qu'elles offrent des biens ou services à des personnes dans l'UE ou surveillent leur comportement. La Loi 25 du Québec impose des obligations similaires au Canada.

Obtenez un diagnostic RGPD de votre org

Notre audit Salesforce inclut une revue de configuration RGPD : résidence, consentement, rétention, contrôles d'accès et préparation aux demandes d'accès, avec une liste de corrections priorisée. Réservez un appel stratégique gratuit.

Limited Consultation Spots Available

Ready to Transform Your Salesforce Implementation?

Let's discuss how we can help you achieve your goals with expert Salesforce solutions tailored to your business needs.