Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
ClickUp est une plateforme SaaS de productivité et de gestion de projet américaine, exploitée par Mango Technologies, Inc. (San Diego). Utilisée en interne par les équipes pour les tâches, docs, sprints, objectifs, time tracking et chat. Sur les sites publics, elle peut apparaître comme formulaires ClickUp embarqués, dashboards publics ou liens de partage. ClickUp traite les données clients sur l'infrastructure AWS US sans option de résidence UE en 2025, ce qui exige une attention particulière sur l'analyse de transfert pour les organisations européennes.
ClickUp est une plateforme SaaS de productivité et de gestion de projet exploitée par Mango Technologies, Inc. (San Diego, Californie). Fondée en 2017 par Zeb Evans, elle est devenue l''un des plus grands outils all in one, utilisée par des dizaines de milliers d''organisations pour tâches, docs, sprints, objectifs, OKRs, time tracking, chat et dashboards. ClickUp est livré comme application web et mobile hébergée, avec des clients iOS, Android et desktop. Sur un site public, ClickUp apparaît soit en SaaS interne utilisé par les employés, soit sous forme de formulaires embarqués, dashboards publics ou liens de partage exposant du contenu à des audiences externes.
En usage interne, ClickUp traite des données employés : nom, email professionnel, photo de profil, IP, heures de connexion, contenu des tâches (titres, descriptions, commentaires, pièces jointes), time tracking, mentions, champs personnalisés et toutes données ajoutées par les employés. L''opérateur est responsable, ClickUp est sous traitant. En usage public (ClickUp Forms embarqué sur une page marketing, dashboards publics partagés par lien), ClickUp charge des scripts et dépose des cookies sur clickup.com, et trace les évènements de soumission.
En usage workplace, l''opérateur traite les données employés sous RGPD avec une base légale qui dépend de l''activité (nécessité contractuelle pour la fourniture du service, intérêt légitime pour sécurité et audit). ClickUp agit comme sous traitant au titre de son DPA. Pour les formulaires ou dashboards embarqués sur des pages publiques, l''art. 5(3) ePrivacy exige un consentement avant chargement des scripts et cookies ClickUp. La soumission d''un formulaire ClickUp par un visiteur est son propre traitement avec sa propre base (typiquement consentement pour les formulaires marketing, nécessité contractuelle pour les demandes de support).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
ClickUp traite les données clients sur AWS aux États-Unis. Pas d''option de résidence UE en 2025. ClickUp s''auto certifie sous le EU US Data Privacy Framework et propose des CCT. Les opérateurs européens doivent conduire une analyse d''impact des transferts axée sur l''exposition au CLOUD Act US et au FISA 702, documenter les mitigations (chiffrement at rest, MFA, RBAC, accès admin limité, journaux d''audit) et déterminer si le risque résiduel est acceptable pour leur secteur. Les déploiements en secteur public et santé doivent évaluer des alternatives basées en UE.
ClickUp s''intègre à Slack, Microsoft Teams, Google Drive, OneDrive, GitHub, GitLab, Jira, Figma, Salesforce, HubSpot, Zapier et bien d''autres. Chaque intégration crée un flux additionnel à inscrire au registre. Les opérateurs doivent vérifier quelles intégrations sont actives, si elles propagent des données personnelles, quelle est la résidence du partenaire et si la base consentement ou contrat de ClickUp s''étend au partenaire.
Signer le DPA et les CCT ClickUp. Inscrire ClickUp au registre des traitements avec catégories de données, durées, intégrations et mécanisme de transfert US. Conduire une analyse d''impact des transferts avec mitigations documentées. Pour les formulaires ou dashboards embarqués sur pages publiques, les gater derrière une CMP et lister les cookies clickup.com dans la politique cookies. Informer les employés via la politique de confidentialité workplace et consulter le CSE si requis. Pour les contextes sensibles, évaluer des alternatives européennes.
Les sites web utilisant ClickUp doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Le traitement ClickUp dépend du cas d'usage : usage interne par les employés (utilisateurs de la plateforme) et embeds sur sites publics (ClickUp Forms, dashboards publics). Points clés AIPD : (1) en usage workplace, ClickUp traite des données employés (noms, emails, photos de profil, IP, contenu des tâches, mentions, time tracking) sur infrastructure US ; (2) l'exposition au CLOUD Act US et au FISA 702 est l'enjeu principal, ClickUp étant américaine sans option de résidence UE en 2025 ; (3) la DSK allemande et la CNIL ont exprimé des réserves sur les outils workplace US sans résidence UE pour les secteurs sensibles (secteur public, santé) ; (4) pour les formulaires embarqués sur des pages publiques, ClickUp dépose des cookies sur clickup.com exigeant un consentement sous ePrivacy ; (5) l'écosystème d'intégrations (Slack, Google Drive, GitHub, etc.) étend les flux de données au delà de ClickUp. Une AIPD est recommandée pour tout déploiement traitant des données sensibles d'employés ou en secteur public.
Exemple de texte de consentement
Pour nos opérations internes, nous utilisons ClickUp (Mango Technologies, Inc., San Diego) comme plateforme de gestion de projet et de productivité. Le contenu de vos tâches, commentaires, time tracking et profil sont stockés sur l'infrastructure US de ClickUp. Nous avons signé des CCT et nous appuyons sur le EU US Data Privacy Framework. Si vous rencontrez un formulaire ClickUp embarqué ou un dashboard sur notre site public, ClickUp dépose des cookies sur clickup.com, refusables dans nos paramètres cookies.
Domaines tiers contactes
clickup.comapp.clickup.comapi.clickup.comcdn.clickup.comstatic.clickup.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| cu_unifid | Functional / Marketing | 1 year | Set by ClickUp on clickup.com. Unique device identifier used by ClickUp to recognise the same browser across visits and to attribute conversions on ClickUp marketing pages. |
| cu_session | Strictly Necessary / Functional | Session | Set by ClickUp on clickup.com. Session state cookie used to keep the user logged in to the ClickUp web application during the session. |
| _clck | Marketing | 1 year | Set by Microsoft Clarity loaded by ClickUp on clickup.com. Stores a Clarity user identifier used by ClickUp for product analytics and behavioural insights. |
| _clsk | Marketing | 24 hours | Set by Microsoft Clarity loaded by ClickUp on clickup.com. Stores session level analytics data including page views and interactions used by ClickUp for product analytics. |
| _ga, _gid | Marketing / Analytics | 2 years / 24 hours | Set by Google Analytics 4 loaded by ClickUp on the clickup.com marketing pages. Used by ClickUp for traffic and conversion analytics. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
ClickUp dépose plusieurs cookies sur clickup.com lors du chargement de ses scripts : cu_unifid (identifiant unique d'appareil), cu_session (état de session), _clck et _clsk (Microsoft Clarity), divers _ga et _gid (Google Analytics sur les pages marketing) et cookies publicitaires. Pour les formulaires ClickUp embarqués sur le site de l'opérateur, le domaine de l'opérateur peut aussi recevoir un cookie tracking via sous domaine.
Pour l'usage interne workplace, le consentement n'est pas la base principale (nécessité contractuelle ou intérêt légitime s'appliquent en général pour employeur/employé). Pour les formulaires ClickUp ou dashboards embarqués sur des pages publiques, les cookies sur clickup.com ne sont pas strictement nécessaires et l'art. 5(3) ePrivacy exige un consentement préalable avant chargement.
Nécessité contractuelle (art. 6(1)(b)) pour l'usage de ClickUp par les employés dans leur fonction. Intérêt légitime (art. 6(1)(f)) pour sécurité et audit. Consentement (art. 6(1)(a)) pour les cookies déposés par des composants ClickUp embarqués sur des pages publiques.
Oui. ClickUp traite toutes les données clients sur AWS US sans option de résidence UE en 2025. ClickUp s'auto certifie sous le EU US Data Privacy Framework et propose des CCT. Une analyse d'impact des transferts est requise, avec mitigations documentées.
Une AIPD est recommandée pour tout déploiement traitant des données sensibles d'employés (RH, santé, financier), pour le secteur public ou pour des usages internes à grande échelle. Même en usage workplace standard, l'absence de résidence UE et l'exposition au CLOUD Act US sont des facteurs majeurs qui méritent une évaluation documentée.
Signer le DPA et les CCT ClickUp. Inscrire ClickUp au registre des traitements comme sous traitant des données workplace. Conduire une analyse d'impact des transferts axée CLOUD Act US et FISA 702. Pour les embeds sur pages publiques (formulaires, dashboards), les gater derrière une CMP. Informer les employés via la politique de confidentialité workplace et consulter le CSE si requis. Revoir les intégrations pour qu'elles disposent chacune d'un DPA si applicable.
Autres SaaS de gestion de projet et de productivité : Asana (US, résidence UE en Enterprise), Monday.com (Israël/US), Notion (US), Trello (Atlassian), Jira (Atlassian), Linear (US), Basecamp (US), Wrike (US). Alternatives européennes : Stackfield (Allemagne), Awork (Allemagne), MeisterTask (Allemagne) et Taiga (Espagne, open source). Les options UE simplifient l'analyse de transferts.
Dans la politique de confidentialité workplace, nommer ClickUp comme sous traitant avec catégories de données, base légale, durée et mécanisme de transfert US. Pour les embeds publics, lister les cookies clickup.com dans la politique cookies sous fonctionnel ou marketing. Documenter les intégrations (Slack, Drive, etc.) comme flux séparés lorsque des données personnelles transitent.