Masteria, Centre de formation IA certifié Qualiopi
Certifié QualiopiFinançable OPCOFrance · Suisse · Belgique
Sécurité Enterprise · Guide DSI & DPO 2026

Claude Enterprise :
vos données restent vos données.

Claude Enterprise est conçu pour un usage professionnel exigeant. Chiffrement bout-en-bout, aucun entraînement sur vos conversations, conformité RGPD et certifications SOC 2, ISO 27001 et ISO 42001. Voici ce que ça signifie concrètement pour votre organisation.

SOC 2 Type IIISO 27001:2022ISO 42001:2023RGPD · DPA disponibleHIPAA · BAA disponibleSSO SAML 2.0 / OIDC
1Plans & ZDR2Chiffrement3Certifications4DPA5RGPD6Accès & SSO7Logs auditDéploiement
Partie 1

Plans commerciaux & ZDR

Ce que protègent les plans commerciaux (Team et Enterprise) par rapport au gratuit, et comment fonctionne le Zero Data Retention.

Team vs Enterprise en un mot : sur les deux plans, vos conversations sont sous Conditions Commerciales et aucune n'alimente l'entraînement des modèles. Enterprise ajoute les outils de gouvernance avancés (ZDR, SCIM, logs d'audit SIEM, DPA formel). Pour une équipe sans contraintes réglementaires spécifiques, Team est une bonne base. Pour situer Claude parmi les autres outils au regard du règlement, voyez notre guide IA et RGPD.
PlanEntraînementDPAZDRRétention APIVerdict
Free Oui (opt-out depuis sept. 2025) Non NonN/AUsage personnel
Pro / MaxOpt-out possible Non NonN/APas adapté données sensibles
Team Non. Plan commercial.Conditions commerciales, DPA sur demande NonN/AProtection de base
Enterprise Jamais. Oui · DPA inclus Oui30 jours (configurable)Usage professionnel
API Anthropic Jamais. Sans exception. Oui Oui7 jours (depuis sept. 2025)Le plus strict du marché
À retenir : les plans Team et Enterprise ne forment pas les modèles avec vos données. Enterprise ajoute ZDR, SCIM, logs d'audit SIEM et DPA formel pour les organisations qui en ont besoin.
Zero Data Retention (ZDR)
Disponible sur Enterprise et API · Activation par avenant

Sans ZDR, chaque conversation est temporairement conservée sur les serveurs Anthropic (30 jours sur Enterprise, 7 jours sur l'API). Avec ZDR, la requête est traitée en mémoire vive et effacée immédiatement après la réponse. Aucune trace sur disque. Garantie contractuelle, pas un simple paramètre.

Sans ZDR (défaut Enterprise)
Données conservées 30 joursLogs accessibles pour la sécuritéSuffisant pour la majorité des usages
Avec ZDR
Traitement en mémoire uniquementZéro trace après la réponseGarantie contractuelle écriteSimplifie la conformité RGPD
À noter : le ZDR couvre le traitement côté Anthropic. Il s'active via un avenant signé dans votre contrat Enterprise. L'API standard à 7 jours de rétention par défaut depuis septembre 2025 est déjà très courte. Pour la majorité des usages, ces deux niveaux sont largement suffisants.
Partie 2

Chiffrement de bout en bout

Les données Anthropic sont chiffrées à tous les niveaux, en transit et au repos, selon les standards industriels les plus exigeants.

Données au reposToutes les données stockées sur les serveurs Anthropic sont chiffrées avec l'algorithme AES-256, le standard de référence pour la protection des données sensibles.
AES-256
Données en transitToutes les communications entre votre navigateur ou application et les serveurs Anthropic utilisent TLS 1.2 minimum. La connexion est toujours chiffrée, sans exception.
TLS 1.2+
BYOK · Bring Your Own KeyEn déploiement depuis le premier semestre 2026. Le BYOK permet aux clients Enterprise de gérer eux-mêmes leurs clés de chiffrement, pour une souveraineté totale sur leurs données.
H1 2026
Partie 3

Certifications & audits

Anthropic a complété les audits de sécurité les plus reconnus du secteur. Ces certifications couvrent l'infrastructure Claude, pas seulement les pratiques internes.

SOC 2 Type IIAudit indépendant validant la sécurité, la disponibilité et la confidentialité de l'infrastructure Claude. Rapport complet disponible sous NDA via le Trust Portal Anthropic pour les clients Enterprise.
SécuritéDisponibilitéConfidentialité
ISO 27001:2022Certification du système de management de la sécurité de l'information (SMSI). Référence internationale pour la gestion des risques liés aux données et la protection des informations sensibles.
Sécurité de l'information
ISO 42001:2023Première norme internationale dédiée aux systèmes de management de l'IA. Atteste que les pratiques de développement et de déploiement de Claude respectent un cadre de gouvernance IA rigoureux.
Gouvernance IA
Secteur financier & distribution B2B : la certification SOC 2 Type II est généralement suffisante pour les cas d'usage courants en distribution et en B2B. Pour les échanges de données avec des partenaires grands comptes, le DPA apporte la base contractuelle nécessaire. PCI-DSS : validation cas par cas si paiement impliqué.
Partie 4

Addendum de traitement (DPA)

Le DPA d'Anthropic définit précisément comment vos données personnelles sont traitées, protégées et supprimées. Il est obligatoire pour tout usage professionnel conforme au RGPD.

Comment signer le DPA : le DPA d'Anthropic est automatiquement incorporé dans les Conditions Commerciales de Service. En acceptant ces conditions, vous acceptez également le DPA. Le document est consultable à l'adresse anthropic.com/legal/data-processing-addendum. Note : si vous accédez à Claude via une plateforme tierce, votre utilisation est régie par les conditions du prestataire, pas directement par le DPA Anthropic.

Ce que le DPA garantit

Traitement limitéAnthropic ne traite les données que pour fournir et maintenir les services. Aucune utilisation à d'autres fins.
Aucune reventeLes données personnelles ne sont jamais vendues ni partagées au sens des lois applicables.
Confidentialité des accèsToute personne autorisée à traiter vos données est soumise à une obligation de confidentialité.
Notification de violationAnthropic notifie le client par écrit dans les 48 heures suivant la découverte d'une violation de sécurité.
Suppression à la résiliationDans les 30 jours suivant la fin du contrat, Anthropic supprime toutes les copies des données client.
Assistance RGPDAnthropic transmet sans délai toute demande d'exercice de droits reçue d'une personne concernée.

Mesures de sécurité contractualisées (Annexe 2)

Contrôle des accèsMFA obligatoire pour tous les accès aux systèmes traitant des données clients. Principe du moindre privilège via RBAC. Révocation immédiate à la fin du contrat de travail.
Tests d'intrusion annuelsÉvaluations annuelles par des experts externes. Résumé du rapport disponible sur demande client.
Isolation logique des donnéesLes données de chaque client sont logiquement isolées. Aucun client ne peut accéder aux données d'un autre sans autorisation explicite.
Droit d'auditSur demande écrite, le client peut mandater un auditeur externe pour vérifier la conformité. Un audit maximum par période de 12 mois, sauf en cas d'incident.

Transferts internationaux

Union EuropéenneClauses Contractuelles Types (CCT) Module 2 et 3 incorporées. Droit applicable : République d'Irlande. Autorité compétente : superviseur du pays d'établissement de l'exportateur.
Royaume-UniUK Addendum aux CCT intégré, conforme au UK GDPR et au Data Protection Act 2018. L'addendum approuvé version B.1.0 de l'ICO est applicable.
SuisseSwiss Addendum applicable, conforme à la Loi fédérale sur la protection des données (LPD). Autorité compétente : Préposé fédéral à la protection des données (PFPDT).
Partie 5

Conformité RGPD

Pour les organisations européennes, Anthropic propose un cadre contractuel complet. Mais la conformité finale reste de votre responsabilité.

Ce qu'Anthropic fournit

  1. 1
    DPA (Data Processing Addendum)Établit la relation responsable de traitement / sous-traitant requise par le RGPD.
  2. 2
    Clauses contractuelles types (SCCs)Pour les transferts de données hors EEE, conformes aux décisions d'adéquation de la Commission européenne.
  3. 3
    Droits RGPDAccès, rectification, suppression, portabilité, opposition. Contact : privacy@anthropic.com.
  4. 4
    Résidence des données UEÀ confirmer avec votre équipe Anthropic selon les termes de votre contrat.
Point contesté : l'interface d'opt-in de septembre 2025 (grand bouton « Accepter » pré-coché) a été critiquée comme un dark pattern potentiellement contraire au RGPD. Aucune action réglementaire à ce jour (mai 2026), mais la conformité de l'interface reste contestée.

Ce que vous devez faire

  1. 1
    Signer le DPA avec AnthropicLe demander à votre account manager Anthropic avant tout déploiement impliquant des données personnelles.
  2. 2
    Mettre à jour votre registre des traitements (ROPA)Anthropic doit figurer comme sous-traitant dans votre Register of Processing Activities.
  3. 3
    Réaliser une DPIA si nécessairePour les traitements à risque élevé (données de santé, surveillance, profilage), une analyse d'impact est obligatoire.
  4. 4
    Former vos collaborateursLes employés doivent savoir quelles données peuvent être soumises à Claude et lesquelles ne le peuvent pas.
Partie 6

SSO, RBAC & gestion des accès

Claude Enterprise s'intègre à vos outils d'identité existants et permet un contrôle granulaire des accès par rôle.

SSO — Single Sign-OnAuthentification centralisée via vos outils d'identité existants. Enforce vos politiques MFA automatiquement. L'intégration passe par WorkOS, le fournisseur technique d'Anthropic pour la vérification de domaine.
SAML 2.0OIDCOktaAzure ADGoogle WorkspaceAuth0
RBAC — Contrôle par rôleAssignez des permissions précises selon le rôle de chaque collaborateur. Principe du moindre privilège : chaque utilisateur accède uniquement aux fonctionnalités dont il a besoin.
PropriétaireAdminMembre
Domain CaptureLes nouveaux comptes créés avec un email de votre domaine sont automatiquement rattachés à votre organisation. Évite les comptes « fantômes » hors périmètre de sécurité.
DNS TXT validation
Team vs Enterprise : les deux plans supportent SSO et JIT. Le SCIM (synchronisation automatique des annuaires) est réservé à Enterprise et aux organisations Console éligibles.
Recommandation : activez le Domain Capture dès le déploiement. Sans lui, des collaborateurs peuvent créer des comptes personnels avec leur email professionnel et utiliser Claude hors du périmètre Enterprise, sans les protections contractuelles de votre organisation.
Partie 7

Logs d’audit & traçabilité

Claude Enterprise enregistre toutes les actions clés dans des logs exportables, intégrables à vos outils SIEM existants.

Ce qui est tracé

  1. 1
    Connexions et sessionsDémarrages de session, utilisation des tokens API.
  2. 2
    Appels aux modèlesMétadonnées associées (sans le contenu si ZDR actif).
  3. 3
    Événements de fichiersUpload, téléchargement, suppression.
  4. 4
    Modifications de configurationChangements de paramètres organisationnels.
  5. 5
    Activations de compétencesActivation et désactivation par utilisateur.

Rétention & export

Disponibles sur les plans Team et Enterprise depuis septembre 2025. Rétention par défaut : 30 jours dans la console Admin. Export en JSON ou CSV. Intégration SIEM via Compliance API (Enterprise uniquement).

SplunkDatadogGrafanaElastic / SIEM
Team vs Enterprise sur les logs : les deux plans ont accès aux logs d'audit de base. Mais l'intégration SIEM en temps réel via la Compliance API et le push automatisé vers Splunk, Datadog ou Elastic sont réservés à Enterprise.
Exemple d'entrée de log
{
  "event": "model_call",
  "timestamp": "2026-05-13T09:42:11Z",
  "user_id": "usr_...",
  "model": "claude-sonnet-4-6",
  "tokens_input": 1842,
  "tokens_output": 412,
  "zdr_active": true,
  /* contenu non conservé */
}
Bonus

Checklist de déploiement

Les étapes varient selon votre plan. Commencez par la colonne qui correspond à votre situation.

Plan Team5 à 150 membres · 20 $ / siège / mois

Bon point de départ. Inclut SSO, Domain Capture et RBAC de base. Pas de ZDR, pas de SCIM, pas de DPA formalisé, pas de logs d'audit avancés.

  • SSO + Domain Capture + JIT
  • RBAC (Propriétaire / Admin / Membre)
  • Conditions commerciales (pas d'entraînement)
  • ZDR non disponible
  • SCIM non disponible
  • Logs d'audit avancés non disponibles
  • DPA formalisé non disponible
Plan Enterprise20+ membres · prix sur devis

Ajoute les outils de gouvernance complets sur tout ce qui est dans Team. Nécessaire pour les données sensibles ou les obligations contractuelles de non-conservation.

  • Tout ce qui est dans Team
  • ZDR (zéro rétention, sur avenant)
  • SCIM (synchro automatique annuaire)
  • Audit logs + Compliance API
  • DPA formalisé inclus
Plan Team
3 étapes avant de commencer
  1. 1
    Activer le SSO et le Domain CaptureGarantit que tous les accès passent par votre annuaire et empêche les collaborateurs de créer des comptes personnels avec leur email professionnel. Configurer le SSO dans Paramètres › Organisation et accès › Authentification, puis importer les métadonnées XML SAML 2.0 ou OIDC depuis votre IdP (Okta, Azure AD, Google Workspace, Auth0). Activer Require SSO for Claude après test pilote. Activer le Domain Capture dans WorkOS et valider par enregistrement DNS TXT (5 min pour votre IT).
  2. 2
    Configurer les rôles (RBAC)Trois niveaux d'accès sur Team. Propriétaire (accès complet, facturation, direction / DSI / DPO), Admin (gère les utilisateurs et accès, IT / référents IA), Membre (utilise Claude dans le cadre défini). Assigner les rôles dans Paramètres › Membres avant d'inviter vos utilisateurs.
  3. 3
    Mettre à jour le registre RGPD (ROPA)Obligation légale dès que Claude traite des données personnelles. Documenter : sous-traitant Anthropic PBC, durée de conservation 30 jours sur Team sans ZDR, transferts hors UE encadrés par les CCT incluses dans les conditions commerciales. Faire valider la fiche par votre DPO, évaluer si une DPIA est requise, informer les collaborateurs que leurs interactions transitent par Anthropic.
Comptez 2 à 4 heures selon votre IdP pour le SSO. Testez avec un compte pilote avant d'activer Require SSO : un SSO mal configuré peut bloquer tous les accès.
Plan Enterprise
3 étapes supplémentaires
  1. 4
    Formaliser le DPA (Enterprise uniquement)Sur Enterprise, le DPA est inclus et formalisé dans le contrat. Il s'active à la souscription. Le transmettre à votre DPO, l'archiver dans votre dossier fournisseurs, l'inscrire dans votre ROPA. Le document est sur anthropic.com/legal/data-processing-addendum et inclut les CCT pour l'UE, l'UK Addendum et le Swiss Addendum.
  2. 5
    Activer le ZDR si nécessaire (Enterprise uniquement)Avenant contractuel, pas un paramètre en self-serve. Contacter Anthropic via votre account manager, demander l'avenant ZDR dans votre contrat Enterprise, une fois signé il s'applique à tous les appels de votre organisation. Pertinent pour les obligations contractuelles de non-conservation client, ou les données commerciales / financières à fort enjeu de confidentialité. Sans ZDR, la rétention de 30 jours reste suffisante pour la majorité des usages.
  3. 6
    Réaliser l'évaluation des risques fournisseur (recommandé Enterprise)Souvent requise pour les processus d'achat grands comptes. Trust Portal sur trust.anthropic.com avec rapport SOC 3 public, rapport SOC 2 Type II sous NDA, certificats ISO 27001 et ISO 42001, liste des sous-traitants. Réponses types questionnaire : AES-256 au repos, TLS 1.2+ en transit, notification de violation 48 heures, tests d'intrusion annuels.
Former vos équipesPolitique d'usage documentée. Classification des données. Règles sur les données clients et RH. Référent sécurité IA par équipe.
En continuRevue des logs d'audit mensuels. Revue des rôles tous les trimestres. Veille sur les mises à jour des CGU. Revue annuelle de la DPIA si applicable.
Besoin d'aideMasteria accompagne les équipes DSI et DPO dans la mise en place de ces étapes, de la configuration technique à la rédaction de la fiche ROPA.

Récapitulatif : les points à retenir

Plans commerciaux

  1. Team et Enterprise : pas d'entraînement sur vos conversations
  2. Free et Pro / Max : opt-out à activer, pas adapté aux données sensibles
  3. API Anthropic : la politique la plus stricte du marché
  4. ZDR sur Enterprise (avenant) et API uniquement

Conformité

  1. SOC 2 Type II, ISO 27001:2022, ISO 42001:2023
  2. DPA inclus dans les Conditions Commerciales
  3. CCT pour l'UE, UK et Swiss Addendums
  4. Notification de violation contractuelle sous 48h
  5. Suppression des données 30 jours après résiliation

Déploiement

  1. SSO + Domain Capture en priorité (Team et Enterprise)
  2. Rôles RBAC assignés avant les invitations
  3. ROPA mis à jour, DPO consulté, DPIA si traitement à risque
  4. Logs d'audit revus mensuellement
  5. ZDR uniquement si l'obligation contractuelle le justifie