Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Asana

Que fait Asana ?

Asana est une plateforme cloud de gestion de projets et de collaboration développée par Asana Inc. (États Unis). Elle permet aux équipes de gérer des tâches, projets, portefeuilles, objectifs et flux de travail. La plateforme traite des données personnelles incluant les profils utilisateurs, les affectations de tâches, les commentaires et les pièces jointes, et transfère des données à l'international via une infrastructure basée aux États Unis.

Ce que fait réellement Asana

Asana est un SaaS de gestion du travail opéré par Asana Inc. depuis 2008. Il fournit gestion des tâches, projets, portefeuilles, objectifs, workflows, formulaires, suivi du temps et les fonctions génératives Asana Intelligence basées sur OpenAI et Anthropic. Les clients UE interagissent via asana.com et via des intégrations API avec Slack, Microsoft Teams, Google Drive, etc. Le plan Enterprise ajoute SAML SSO, provisioning SCIM, journaux d''audit et l''option de résidence UE.

Cookies et stockages dans l''application et sur les intégrations

Dans l''application Asana, l''utilisateur authentifié dispose des cookies asana_session_id (session), asana_user_id (identifiant), __cf_bm (Cloudflare bot management) et plusieurs cookies CSRF. Sur le site marketing asana.com, Asana charge Google Analytics 4, LinkedIn Insight Tag, Marketo et Vidyard, qui déposent leurs propres cookies et requièrent un consentement. Lorsqu''un éditeur intègre un formulaire Asana public sur son site, la page est en fait un iframe vers asana.com qui dépose les mêmes cookies avant tout consentement, et requiert donc l''opt in du visiteur au sens de l''article 5(3) ePrivacy.

Base légale et addendum de traitement

Pour l''usage interne, la base légale est la relation de travail et l''intérêt légitime du responsable à exploiter son outil. Pour les invités externes à des projets, l''exécution du contrat ou pré contrat s''applique. L''addendum DPA Asana est incorporé par référence au contrat principal et inclut les CCT (module 3 sous traitant à sous traitant ultérieur). Les clients utilisant Asana Intelligence doivent accepter un addendum complémentaire couvrant l''IA générative.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts internationaux et résidence UE

Asana Inc. est certifiée au Data Privacy Framework UE États Unis depuis le 4 octobre 2023. Par défaut, les données du workspace sont hébergées sur AWS US East (Virginie) et US West (Oregon). L''option de résidence UE disponible sur le plan Enterprise depuis 2023 fixe le contenu du workspace sur AWS Francfort. La télémétrie opérationnelle, la détection d''abus, la facturation et l''inférence Asana Intelligence restent traitées aux États Unis, même avec l''option UE. L''Asana Trust Center publie la liste à jour des sous traitants (AWS, Google, OpenAI, Anthropic, Twilio, Salesforce).

Liste de contrôle conformité

Signez le DPA Asana et activez la résidence UE pour les projets sensibles. Désactivez Asana Intelligence sur les workspaces traitant des données sensibles (RH, juridique, santé). Limitez l''accès des invités via SAML SSO et accès conditionnel. Documentez Asana et ses sous traitants dans le registre des traitements (art. 30 RGPD) et la politique de confidentialité. Réalisez une AIPD si Asana Intelligence intervient dans l''évaluation des performances ou dans des décisions à effet juridique au sens de l''article 22 RGPD. Rafraîchissez l''EIDT chaque année.

Alternatives

Les alternatives directes incluent Monday.com (Israël), ClickUp (US), Notion (US), Trello (Atlassian), Wrike (US, Citrix), Jira (Atlassian). Les alternatives souveraines UE sont Stackfield (Allemagne), Tem.io (France), Plane (Inde, hébergement UE) et les open source Vikunja, OpenProject et Taiga.

Categorie de consentement RGPD

Autre

Les sites web utilisant Asana doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleFor internal use by employees and seats: legitimate interest of the controller in operating its work management environment (GDPR art. 6(1)(f)) and performance of the employment contract. For external guests invited to projects: performance of a contract or consent depending on the use case. Public Asana forms embedded on a website that drop cookies on the visitor browser require consent under ePrivacy art. 5(3).

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive 2002/58/EC, EU US Data Privacy Framework, EDPB recommendations 01/2020, AI Act (when Asana Intelligence is used for decisions affecting workers), TTDSG (Germany), LOPDGDD (Spain), LIL (France)

Considerations AIPD

Une AIPD est recommandée pour les déploiements d'Asana, en particulier lorsque la plateforme gère des projets impliquant des données personnelles. Les points clés à évaluer comprennent : la portée des données stockées dans les tâches, commentaires et formulaires, les transferts internationaux vers l'infrastructure AWS aux États Unis, les intégrations tierces connectées via l'API Asana, les politiques de conservation des données, les contrôles d'accès, et l'utilisation de formulaires Asana sur des pages publiques collectant des données d'utilisateurs externes.

Exemple de texte de consentement

Notre équipe utilise Asana, une plateforme de gestion du travail opérée par Asana Inc. aux États Unis, pour planifier et suivre ses tâches. Nous avons signé le contrat principal Asana incluant l'addendum de traitement. Sur le plan Enterprise, nous activons l'option de résidence UE pour conserver le contenu du workspace à Francfort; sinon les données sont traitées aux États Unis dans le cadre du Data Privacy Framework et des clauses contractuelles types. Si vous nous contactez via un formulaire ou projet Asana partagé, vos données sont traitées sous ces garanties. Vous pouvez exercer vos droits d'accès, de rectification et d'effacement à tout moment.

Details techniques

Methode de suivisaas_collaboration_application_account_based

Localisation des serveursAsana operates primarily from the United States (AWS US East Virginia and US West Oregon). The Asana Enterprise EU data residency add on (launched 2023) keeps customer data at rest inside AWS Frankfurt. Some operational metadata and AI features (Asana Intelligence) continue to be processed in the US.

Donnees transferees hors UEAsana Inc. is established in San Francisco, California. Customer data is processed in the United States by default. Enterprise customers can opt for the EU data residency add on, but operational telemetry, support tickets and Asana Intelligence inference remain in the US. Transfers rely on the EU US Data Privacy Framework certification of Asana Inc. (active since 4 October 2023) and on the EU Standard Contractual Clauses appended to the Asana Master Subscription Agreement.

Domaines tiers contactes

app.asana.comapi.asana.comform.asana.comcdn.asana.comassets.asana.bizapi.amplitude.com

Cookies deposes

Nom	Type	Duree	Finalite
asana_session	authentication	Session	Maintains the authenticated user session for the Asana web application.
xsrf_token	security	Session	CSRF protection token preventing cross site request forgery attacks on form submissions and API calls.
asana_feature_flags	functionality	1 year	Stores feature flag assignments for A/B testing and gradual feature rollouts.
amp_device_id	analytics	1 year	Amplitude analytics device identifier tracking product usage patterns across sessions.
ajs_anonymous_id	analytics	1 year	Segment analytics anonymous identifier used for tracking user journeys before and after authentication.
asana_prefs	functionality	1 year	Stores user interface preferences including sidebar state, view mode, and notification settings.

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies sont déposés par Asana ?

Asana dépose des cookies d'authentification de session, des jetons CSRF, des cookies de feature flags et des cookies d'analyse. Des services tiers comme Amplitude et Segment peuvent aussi déposer des cookies. Les formulaires Asana intégrés sur des sites externes peuvent déposer des cookies depuis app.asana.com. Asana utilise également le stockage local pour la mise en cache de l'état de l'application.

Le consentement est il requis pour Asana au titre du RGPD ?

Pour l'utilisation interne, le consentement n'est généralement pas requis. En revanche, lorsque des formulaires Asana sont intégrés sur des sites publics, le consentement est recommandé avant de collecter des données d'utilisateurs externes. Le consentement ePrivacy est requis pour les cookies d'analyse non essentiels sur les pages intégrant des widgets Asana.

Quelle est la base juridique du traitement via Asana ?

La gestion de projets interne repose sur l'exécution du contrat (Art. 6(1)(b)) ou l'intérêt légitime (Art. 6(1)(f)). Les formulaires publics collectant des données externes doivent reposer sur le consentement (Art. 6(1)(a)). Les flux de données des intégrations tierces doivent être évalués individuellement. Chaque activité de traitement doit être documentée dans le RAT.

Asana transfère t il des données vers les États Unis ?

Oui. Asana Inc. est une société américaine dont les données sont hébergées sur AWS aux États Unis. Les transferts sont couverts par le DPA avec CCT et la certification au Data Privacy Framework. Les clients Enterprise peuvent activer la résidence des données UE (Francfort). Certaines opérations de support peuvent néanmoins impliquer des systèmes américains.

Une AIPD est elle nécessaire pour Asana ?

Une AIPD est recommandée lorsqu'Asana gère des workflows contenant des données personnelles (RH, recrutement, CRM). L'évaluation doit couvrir les catégories de données dans les tâches et commentaires, les transferts internationaux, les intégrations tierces connectées et les configurations de contrôle d'accès.

Comment mettre en œuvre la conformité RGPD pour Asana ?

Exécutez le DPA d'Asana. Activez la résidence des données UE si disponible. Configurez les permissions. Établissez des politiques de conservation. Auditez les intégrations tierces. Déployez le consentement cookies pour les formulaires intégrés. Formez les équipes à la minimisation des données. Incluez Asana dans votre AIPD si des données sensibles sont traitées.

Existe t il des alternatives respectueuses de la vie privée à Asana ?

Les alternatives incluent OpenProject (gestion de projets open source auto hébergée), Taiga (plateforme agile open source), Nextcloud Deck (tableaux Kanban auto hébergés), Vikunja (gestion de tâches open source) et CryptPad avec Kanban (collaboration chiffrée). Chaque alternative doit être évaluée pour sa conformité RGPD et ses fonctionnalités.

Comment mettre à jour ma politique de cookies pour Asana ?

Documentez les cookies déposés par app.asana.com sur les pages intégrant des formulaires. Précisez les cookies essentiels et ceux nécessitant le consentement. Décrivez les données collectées via les formulaires. Référencez le rôle de sous traitant d'Asana, le DPA avec CCT et la certification Data Privacy Framework. Informez les utilisateurs de leurs droits concernant les soumissions de formulaires.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min