Si la CNIL frappait à votre porte demain matin pour contrôler votre conformité RGPD sur Salesforce, qu’est-ce qu’elle trouverait ?
Pour 80 % des entreprises, la réponse honnête est : un registre des traitements incomplet, des sandboxes remplies de données personnelles non anonymisées, des comptes utilisateurs inactifs depuis trois ans qui ont encore accès à toute la base, des intégrations qui exfiltrent des données vers des outils tiers sans base juridique claire, et zéro processus pour traiter une demande de droit à l’oubli.
La bonne nouvelle, c’est que la mise en conformité RGPD d’une instance Salesforce n’est pas un projet pharaonique. C’est une checklist de 14 points, méthodique, qui se traite en 6 à 8 semaines avec une bonne gouvernance. Voici la liste exhaustive — celle que nous utilisons en audit chez Cloud Girafe.
Pourquoi le RGPD est un sujet Salesforce critique
Salesforce est par définition une plateforme qui stocke des données personnelles : noms, prénoms, emails, téléphones, comportements clients, opportunités, communications. Le RGPD ne fait pas d’exception pour les CRM.
La CNIL a multiplié les contrôles ciblés sur les CRM ces dernières années. Plusieurs sanctions de plusieurs centaines de milliers d’euros ont été prononcées pour des manquements observés dans des configurations CRM standard : durées de conservation non respectées, absence d’anonymisation des sandboxes, transferts hors UE non encadrés.
Et au-delà de la conformité légale, c’est aussi une question de gouvernance interne : voir notre article Salesforce est sécurisé… mais votre configuration ne l’est probablement pas. Une instance non conforme RGPD est presque toujours aussi une instance vulnérable côté sécurité.
La checklist en 14 points
Cochez chaque point. Si vous avez plus de 4 cases vides, vous êtes en zone rouge. Plus de 8, vous êtes en infraction caractérisée.
Bloc 1 — Cartographie et fondations
1. Le registre des traitements RGPD inclut Salesforce
Article 30 du RGPD oblige tout responsable de traitement à tenir un registre. Pour Salesforce, ce registre doit lister chaque finalité (gestion commerciale, support client, marketing direct, recrutement…), les catégories de données concernées, les destinataires, les durées de conservation, les transferts hors UE.
Action : si votre registre RGPD ne mentionne pas Salesforce comme outil, c’est le premier chantier. Un modèle CNIL gratuit est disponible.
2. Une analyse d’impact (PIA / AIPD) a été conduite si nécessaire
Une AIPD est obligatoire pour les traitements à risque élevé. Le scoring automatisé de leads, le profilage commercial massif, le traitement de données sensibles (santé, religion, orientation politique) sont concernés. Une PIA non faite, c’est un risque de sanction majoré.
3. Salesforce est correctement déclaré comme sous-traitant (article 28)
Salesforce, en tant qu’éditeur, est sous-traitant au sens du RGPD. Le contrat avec Salesforce inclut un Data Processing Agreement (DPA) qui formalise cette relation. Vérifiez que vous avez bien signé l’avenant DPA Salesforce le plus récent et qu’il est archivé. Idem pour tous les éditeurs d’apps installées (PDF Butler, JustOn, Gearset, Odaseva…).
Bloc 2 — Bases juridiques et consentement
4. Chaque traitement a une base juridique claire
Les six bases juridiques RGPD : consentement, contrat, obligation légale, intérêt vital, mission d’intérêt public, intérêt légitime. Pour chaque finalité dans Salesforce, une base est attribuée et documentée. Concrètement : la prospection commerciale repose sur l’intérêt légitime ou le consentement (selon le cas), le suivi client sur l’exécution du contrat, l’envoi de newsletters marketing sur le consentement explicite.
5. Le consentement, quand il est requis, est tracé
Si vous envoyez des emails marketing, vous devez prouver que chaque destinataire a consenti. Salesforce n’a pas de champ « consentement » natif — il faut le construire. Notre recommandation : un objet personnalisé Consent_History__c qui trace pour chaque contact la date, l’horodatage, la source du consentement (formulaire web, opt-in newsletter…), la version du texte de consentement, et la finalité couverte.
6. Les opt-in et opt-out sont effectifs et instantanés
Quand un contact se désabonne, Salesforce ne doit plus jamais l’inclure dans une campagne marketing. Vérifiez que les champs HasOptedOutOfEmail, HasOptedOutOfFax, et vos champs custom sont synchronisés avec votre outil d’envoi (Marketing Cloud, Pardot, HubSpot, Mailjet…). Et auditez les rapports utilisés en campagne pour exclure systématiquement ces désabonnés.
Bloc 3 — Droits des personnes
7. Une procédure formalisée traite les demandes de droit d’accès, rectification, opposition, effacement
Le RGPD impose de répondre dans un délai d’un mois (deux dans certains cas). Concrètement, votre Salesforce doit permettre :
- De rechercher rapidement toutes les fiches d’une personne (Contact, Lead, Opportunity, Case, attachements, emails archivés). Le scan multi-objets est rarement implémenté nativement.
- D’exporter ces données dans un format structuré et lisible (article 20 — droit à la portabilité).
- De rectifier ou supprimer les données dans tous les objets concernés, en cascade.
- D’archiver la trace de la demande et de la réponse (preuve en cas de contrôle).
Beaucoup d’organisations n’ont pas formalisé ce processus. C’est un classique des sanctions CNIL : la demande arrive, personne ne sait quoi faire, le délai d’un mois explose.
8. Le droit à l’effacement est techniquement faisable (et tracé)
« Effacer » une personne dans Salesforce est plus subtil qu’il n’y paraît. Une suppression dure (delete) sur un Contact peut casser des opportunités, des cases, des dossiers. Il faut prévoir une stratégie d’anonymisation (remplacer par des valeurs neutres) plutôt qu’une suppression brute, sauf si vraiment toutes les obligations légales sont éteintes (durée de conservation contractuelle écoulée, par exemple).
Bloc 4 — Durées de conservation
9. Les durées de conservation sont définies par finalité et appliquées
Le RGPD interdit de conserver des données indéfiniment. La CNIL recommande typiquement :
- Prospects sans contact actif : 3 ans à partir du dernier échange
- Clients : durée de la relation contractuelle + obligations légales (5 à 10 ans selon les pays et secteurs)
- Données comptables : 10 ans (obligation légale)
- Logs de connexion et d’accès : 6 mois à 1 an, sauf besoin sécurité justifié
Concrètement dans Salesforce, ça veut dire : automatiser via Flow ou Apex la purge / l’anonymisation des Leads inactifs depuis 3 ans, des Cases clos depuis plus de X années selon le secteur. La majorité des instances Salesforce n’ont aucune purge active — c’est un point d’audit récurrent.
10. Le Field Audit Trail est activé sur les champs sensibles
Pour prouver qu’une donnée a été modifiée à telle date par tel utilisateur, le Field History Tracking standard ne suffit pas (limité à 18 mois). Salesforce Shield Field Audit Trail conserve l’historique jusqu’à 10 ans. Indispensable dans les secteurs régulés (banque, santé, secteur public).
Bloc 5 — Sandboxes et environnements
11. Les sandboxes sont anonymisées
C’est un classique des manquements RGPD. Quand vous rafraîchissez une sandbox depuis la production, vous copiez l’intégralité des données personnelles dans un environnement de test. Si un développeur, un consultant externe ou un freelance accède à la sandbox, il a accès à des données réelles sans base juridique.
Solutions :
- Salesforce Data Mask : la solution officielle, automatise l’anonymisation après chaque refresh sandbox.
- Scripts Apex sur mesure : alternative pragmatique si le budget Data Mask ne passe pas. Voir notre approche détaillée dans le livre blanc Sécurité Salesforce.
Bloc 6 — Sécurité et accès
12. Les permissions et accès sont audités régulièrement
L’article 32 du RGPD impose des « mesures techniques et organisationnelles appropriées » pour la sécurité. Concrètement, sur Salesforce :
- Aucun compte « View All Data » non justifié.
- MFA enforcement strict (sans bypass possible).
- Comptes inactifs depuis plus de 90 jours désactivés.
- Restrictions IP en place pour les profils sensibles.
- Connected apps inventoriées et gouvernées.
Voir notre article Event Monitoring Salesforce pour la couche surveillance.
13. Les transferts hors UE sont encadrés
Salesforce utilise des datacenters dans l’UE (Irlande, France, Allemagne) et en dehors (US, Australie). Les transferts hors UE doivent être encadrés par des Clauses Contractuelles Types (CCT) ou un Data Privacy Framework (en cours de stabilisation post-Schrems II). Le DPA Salesforce inclut ces CCT — vérifiez que c’est bien la version récente.
Pour les organisations sensibles (santé, défense, secteur public, finance régulée), envisagez l’option Salesforce Hyperforce avec stockage explicite en France, voire le partenariat Salesforce + S3NS / OVH pour les besoins de souveraineté élevés.
14. Une notification de violation de données est prévue
En cas de fuite de données (accidentelle ou malveillante), vous avez 72 heures pour notifier la CNIL et, si nécessaire, les personnes concernées. Cela suppose :
- Une procédure documentée d’identification et qualification de l’incident.
- Event Monitoring activé pour avoir la trace forensic.
- Un référent désigné (DPO ou RSSI) qui peut piloter la notification.
- Un canal de communication client pré-rédigé.
Voir notre article Les 5 scénarios catastrophe pour les types d’incidents observés en 2025-2026.
Le calendrier de mise en conformité
Si votre instance Salesforce a 5 ou 6 cases vides sur les 14, voici comment structurer le chantier de remise à niveau :
- Semaine 1-2 — Cartographie : registre des traitements, identification des finalités, des bases juridiques, des destinataires et des durées de conservation. Si l’AIPD est nécessaire, lancer le processus.
- Semaine 3-4 — Quick wins techniques : MFA enforcement, désactivation des comptes inactifs, restrictions IP, anonymisation des sandboxes (Data Mask ou scripts), purge des Leads de plus de 3 ans inactifs.
- Semaine 5-6 — Droits des personnes : formaliser la procédure de gestion des demandes (accès, rectification, effacement), construire les rapports de recherche multi-objets, mettre en place le tracking de consentement.
- Semaine 7-8 — Surveillance et plan d’urgence : Event Monitoring, plan de notification de violation, supervision continue.
