Keeper conformité RGPD : analyse technique pour les entreprises françaises

## Keeper et RGPD : ce que les entreprises françaises doivent vraiment vérifier

La conformité RGPD d’un gestionnaire de mots de passe est un sujet que j’aborde systématiquement lors de mes missions de conseil CISO. Et Keeper Security est souvent cité par les DSI comme candidat sérieux pour les entreprises avec des exigences de conformité strictes.

Du point de vue sécurité, le choix d’un gestionnaire de mots de passe n’est pas qu’une question de fonctionnalités — c’est un choix de traitement de données à caractère personnel et professionnel soumis au RGPD. La mauvaise décision peut exposer votre entreprise à des sanctions de la CNIL et à des risques de responsabilité.

Voici mon analyse technique de Keeper Security sous l’angle RGPD, avec les points de vérification que j’utilise lors de mes audits.

## Le cadre RGPD appliqué aux gestionnaires de mots de passe

Avant d’analyser Keeper spécifiquement, établissons le cadre légal. Pourquoi un gestionnaire de mots de passe est-il concerné par le RGPD ?

Lorsque votre entreprise déploie un gestionnaire de mots de passe professionnel, plusieurs catégories de données sont traitées :

– **Données personnelles des collaborateurs** : noms d’utilisateur, adresses email professionnelles
– **Données d’usage** : logs de connexion, appareils utilisés, horodatages
– **Données professionnelles sensibles** : identifiants d’accès aux systèmes internes (même chiffrés, leur traitement est soumis au RGPD)

La bonne pratique c’est de traiter le déploiement d’un gestionnaire de mots de passe comme un traitement de données dans votre registre RGPD, avec un DPA signé avec le fournisseur.

## Keeper Security : analyse des certifications et conformité

### Les certifications de Keeper

Keeper Security possède un portfolio de certifications qui en fait l’un des gestionnaires les mieux documentés sur le plan de la conformité :

**SOC 2 Type II :** L’audit SOC 2 Type II évalue les contrôles de sécurité, disponibilité, intégrité de traitement, confidentialité et vie privée sur une période prolongée (généralement 6-12 mois). Ce n’est pas un snapshot — c’est une validation de la maturité des processus dans la durée.

**ISO 27001 :** La certification ISO 27001 atteste d’un système de management de la sécurité de l’information (SMSI) conforme aux bonnes pratiques internationales. Ce que révèle l’audit : Keeper a structuré sa gestion de la sécurité autour de 114 contrôles standardisés, ce qui facilite l’interopérabilité avec vos propres exigences de conformité.

**FedRAMP Authorized :** La certification FedRAMP est requise pour les fournisseurs cloud utilisés par les agences gouvernementales américaines. Elle ne s’applique pas directement aux entreprises françaises, mais elle atteste d’un niveau de rigueur dans les contrôles de sécurité qui dépasse les exigences commerciales standard.

**FIPS 140-2 :** Les modules cryptographiques de Keeper sont certifiés FIPS 140-2, le standard américain de validation des implémentations cryptographiques. Pour les entreprises françaises travaillant avec des partenaires américains ou dans des secteurs réglementés (défense, finance), cette certification peut être exigée.

### Le DPA (Data Processing Agreement) de Keeper

Pour être conforme au RGPD, tout fournisseur qui traite des données personnelles pour votre compte doit signer un DPA (en français, un accord de traitement des données ou ATD).

Keeper propose un DPA disponible depuis leur site. Ce que révèle l’audit de ce document :

**Positif :**
– Clauses conformes au RGPD Article 28 (sous-traitant)
– Engagement explicite de ne traiter les données que sur instruction du responsable de traitement
– Mention des sous-traitants ultérieurs (liste disponible)
– Procédures de notification de violation dans les 72h (conforme à l’Art. 33 RGPD)

**Points d’attention :**
– Keeper est une société américaine. Malgré l’invalidation du Privacy Shield, ils utilisent les Clauses Contractuelles Types (SCCs) de l’UE pour les transferts vers les États-Unis
– La validité des SCCs est régulièrement remise en question (affaire Schrems II) — surveillez les évolutions jurisprudentielles
– Pour les données très sensibles, le stockage en Europe (datacenter EU) est préférable

### Localisation des données : l’option stockage EU

Keeper propose une option de stockage des données dans des datacenters européens (Irlande et Allemagne via AWS). Cette option est importante pour les entreprises qui doivent garantir que les données ne quittent pas l’UE.

Du point de vue sécurité, je recommande systématiquement d’activer cette option pour les entreprises françaises, même si les SCCs sont techniquement valides. La raison : en cas d’audit CNIL ou de contentieux, pouvoir démontrer que vos données sont physiquement dans l’UE simplifie considérablement la démonstration de conformité.

Détails sur les options Keeper Enterprise : [keeper.com](https://keeper.com)

## Comparatif RGPD : Keeper vs 1Password vs NordPass

### 1Password et RGPD

1Password est une société canadienne (AgileBits). Le Canada dispose d’une décision d’adéquation de la Commission européenne, ce qui simplifie les transferts de données par rapport à une société américaine.

1Password propose également un DPA conforme au RGPD et des options de stockage dans des régions spécifiques. Leur documentation de sécurité est excellente, avec des audits publiés (WP Hatch 2019, Cure53 2022, entre autres).

Ce que révèle l’audit comparatif : 1Password est techniquement comparable à Keeper sur le plan de la sécurité, avec l’avantage de la juridiction canadienne pour les entreprises européennes. Cependant, Keeper a un portfolio de certifications plus étendu (FedRAMP, FIPS 140-2) qui peut être requis dans certains contextes.

Détails 1Password : [1password.com](https://1password.com)

### NordPass et RGPD

NordPass est développé par Nord Security, une société lituanienne — donc directement soumise au RGPD en tant qu’entreprise de l’UE. C’est un avantage juridique non-négligeable : pas de question de transfert de données hors-UE, application directe du RGPD.

NordPass propose un DPA et a fait auditer son architecture par Cure53. Pour une entreprise française souhaitant minimiser la complexité juridique des transferts de données, NordPass présente l’avantage d’être nativement dans l’espace juridique européen.

La bonne pratique c’est de prendre en compte la juridiction du fournisseur autant que sa conformité déclarée. Une société européenne est soumise directement aux mêmes obligations RGPD que vous.

Détails NordPass : [nordpass.com](https://nordpass.com)

### Bitwarden et RGPD

Bitwarden est américain mais propose une option importante que les autres n’ont pas : l’**hébergement auto-géré (self-hosted)**. Vous pouvez déployer l’intégralité de Bitwarden sur votre propre infrastructure (on-premise ou cloud privé).

Pour les entreprises avec les ressources IT nécessaires, le self-hosting élimine totalement la question du transfert de données vers un tiers. Vous êtes à la fois responsable de traitement et hébergeur — maximisant le contrôle RGPD au prix d’une complexité opérationnelle accrue.

Détails Bitwarden self-hosted : [bitwarden.com](https://bitwarden.com)

## Recommandations pratiques pour la conformité RGPD

Voici les étapes que je recommande lors de mes missions de conseil :

**Étape 1 — Enregistrement dans le registre des traitements**
Ajoutez le gestionnaire de mots de passe dans votre registre RGPD (Art. 30) avec : finalité, base légale (intérêt légitime ou contrat), données traitées, durée de conservation, sous-traitant.

**Étape 2 — Signature du DPA**
Signez un DPA avec votre fournisseur. Gardez une copie et une date de signature. Vérifiez que le DPA est à jour (certains fournisseurs ont mis à jour leurs DPA post-Schrems II).

**Étape 3 — Analyse d’impact (DPIA) si nécessaire**
Si votre entreprise traite des données particulièrement sensibles ou à grande échelle, une Analyse d’Impact relative à la Protection des Données (DPIA, Art. 35) peut être requise. Les critères sont définis par les lignes directrices EDPB 09/2019.

**Étape 4 — Politique interne d’usage**
Rédigez une politique interne décrivant comment les collaborateurs doivent utiliser le gestionnaire : mots de passe professionnels uniquement, interdiction de stocker des données personnelles d’autres personnes dans les notes, etc.

**Étape 5 — Procédure de départ collaborateur**
Documentez la procédure de révocation des accès lors d’un départ. Cette procédure doit être formalisée pour démontrer que vous avez des mesures organisationnelles en place (Art. 32 RGPD).

## Verdict : Keeper est-il le bon choix pour les entreprises françaises ?

Keeper Security est un choix solide pour les entreprises françaises avec des exigences de conformité élevées, notamment :

– Secteurs réglementés (finance, santé, défense) qui bénéficient des certifications ISO 27001, SOC 2 Type II
– Entreprises ayant des partenariats avec des entités américaines requérant FIPS 140-2
– DSI cherchant un portfolio de certifications exhaustif pour leurs audits internes

Pour les PME sans exigences spécifiques de secteur, NordPass (société européenne) ou 1Password (société canadienne, décision d’adéquation UE) présentent une complexité juridique plus faible.

Pour les entreprises qui veulent le contrôle total sur leurs données, Bitwarden self-hosted reste l’option la plus radicalement souveraine.

## FAQ — Keeper, RGPD et conformité

Keeper conformité RGPD : analyse technique pour les entreprises françaises

Migrer de LastPass vers 1Password : guide pas à pas

Zero Knowledge chiffrement : ce que ça signifie vraiment pour vos mots de passe

Menaces IA et Securite des Mots de Passe en 2026 : Guide de Protection

NordPass Extension Chrome : installation, configuration et optimisation en 2025

Password manager comparison France 2025 : quel gestionnaire pour les Français ?

Partage mots de passe équipe sécurisé : comment j’ai résolu ce casse-tête en PME

Similar Posts