Plans commerciaux & ZDR
Ce que protègent les plans commerciaux (Team et Enterprise) par rapport au gratuit, et comment fonctionne le Zero Data Retention.
| Plan | Entraînement | DPA | ZDR | Rétention API | Verdict |
|---|---|---|---|---|---|
| Free | Oui (opt-out depuis sept. 2025) | Non | Non | N/A | Usage personnel |
| Pro / Max | Opt-out possible | Non | Non | N/A | Pas adapté données sensibles |
| Team | Non. Plan commercial. | Conditions commerciales, DPA sur demande | Non | N/A | Protection de base |
| Enterprise | Jamais. | Oui · DPA inclus | Oui | 30 jours (configurable) | Usage professionnel |
| API Anthropic | Jamais. Sans exception. | Oui | Oui | 7 jours (depuis sept. 2025) | Le plus strict du marché |
Sans ZDR, chaque conversation est temporairement conservée sur les serveurs Anthropic (30 jours sur Enterprise, 7 jours sur l'API). Avec ZDR, la requête est traitée en mémoire vive et effacée immédiatement après la réponse. Aucune trace sur disque. Garantie contractuelle, pas un simple paramètre.
Chiffrement de bout en bout
Les données Anthropic sont chiffrées à tous les niveaux, en transit et au repos, selon les standards industriels les plus exigeants.
Certifications & audits
Anthropic a complété les audits de sécurité les plus reconnus du secteur. Ces certifications couvrent l'infrastructure Claude, pas seulement les pratiques internes.
Addendum de traitement (DPA)
Le DPA d'Anthropic définit précisément comment vos données personnelles sont traitées, protégées et supprimées. Il est obligatoire pour tout usage professionnel conforme au RGPD.
anthropic.com/legal/data-processing-addendum. Note : si vous accédez à Claude via une plateforme tierce, votre utilisation est régie par les conditions du prestataire, pas directement par le DPA Anthropic.Ce que le DPA garantit
Mesures de sécurité contractualisées (Annexe 2)
Transferts internationaux
Conformité RGPD
Pour les organisations européennes, Anthropic propose un cadre contractuel complet. Mais la conformité finale reste de votre responsabilité.
Ce qu'Anthropic fournit
- 1DPA (Data Processing Addendum)Établit la relation responsable de traitement / sous-traitant requise par le RGPD.
- 2Clauses contractuelles types (SCCs)Pour les transferts de données hors EEE, conformes aux décisions d'adéquation de la Commission européenne.
- 3Droits RGPDAccès, rectification, suppression, portabilité, opposition. Contact :
privacy@anthropic.com. - 4Résidence des données UEÀ confirmer avec votre équipe Anthropic selon les termes de votre contrat.
Ce que vous devez faire
- 1Signer le DPA avec AnthropicLe demander à votre account manager Anthropic avant tout déploiement impliquant des données personnelles.
- 2Mettre à jour votre registre des traitements (ROPA)Anthropic doit figurer comme sous-traitant dans votre Register of Processing Activities.
- 3Réaliser une DPIA si nécessairePour les traitements à risque élevé (données de santé, surveillance, profilage), une analyse d'impact est obligatoire.
- 4Former vos collaborateursLes employés doivent savoir quelles données peuvent être soumises à Claude et lesquelles ne le peuvent pas.
SSO, RBAC & gestion des accès
Claude Enterprise s'intègre à vos outils d'identité existants et permet un contrôle granulaire des accès par rôle.
Logs d’audit & traçabilité
Claude Enterprise enregistre toutes les actions clés dans des logs exportables, intégrables à vos outils SIEM existants.
Ce qui est tracé
- 1Connexions et sessionsDémarrages de session, utilisation des tokens API.
- 2Appels aux modèlesMétadonnées associées (sans le contenu si ZDR actif).
- 3Événements de fichiersUpload, téléchargement, suppression.
- 4Modifications de configurationChangements de paramètres organisationnels.
- 5Activations de compétencesActivation et désactivation par utilisateur.
Rétention & export
Disponibles sur les plans Team et Enterprise depuis septembre 2025. Rétention par défaut : 30 jours dans la console Admin. Export en JSON ou CSV. Intégration SIEM via Compliance API (Enterprise uniquement).
{
"event": "model_call",
"timestamp": "2026-05-13T09:42:11Z",
"user_id": "usr_...",
"model": "claude-sonnet-4-6",
"tokens_input": 1842,
"tokens_output": 412,
"zdr_active": true,
/* contenu non conservé */
}Checklist de déploiement
Les étapes varient selon votre plan. Commencez par la colonne qui correspond à votre situation.
- 1Activer le SSO et le Domain CaptureGarantit que tous les accès passent par votre annuaire et empêche les collaborateurs de créer des comptes personnels avec leur email professionnel. Configurer le SSO dans
Paramètres › Organisation et accès › Authentification, puis importer les métadonnées XML SAML 2.0 ou OIDC depuis votre IdP (Okta, Azure AD, Google Workspace, Auth0). Activer Require SSO for Claude après test pilote. Activer le Domain Capture dans WorkOS et valider par enregistrementDNS TXT(5 min pour votre IT). - 2Configurer les rôles (RBAC)Trois niveaux d'accès sur Team. Propriétaire (accès complet, facturation, direction / DSI / DPO), Admin (gère les utilisateurs et accès, IT / référents IA), Membre (utilise Claude dans le cadre défini). Assigner les rôles dans
Paramètres › Membresavant d'inviter vos utilisateurs. - 3Mettre à jour le registre RGPD (ROPA)Obligation légale dès que Claude traite des données personnelles. Documenter : sous-traitant Anthropic PBC, durée de conservation 30 jours sur Team sans ZDR, transferts hors UE encadrés par les CCT incluses dans les conditions commerciales. Faire valider la fiche par votre DPO, évaluer si une DPIA est requise, informer les collaborateurs que leurs interactions transitent par Anthropic.
- 4Formaliser le DPA (Enterprise uniquement)Sur Enterprise, le DPA est inclus et formalisé dans le contrat. Il s'active à la souscription. Le transmettre à votre DPO, l'archiver dans votre dossier fournisseurs, l'inscrire dans votre ROPA. Le document est sur
anthropic.com/legal/data-processing-addendumet inclut les CCT pour l'UE, l'UK Addendum et le Swiss Addendum. - 5Activer le ZDR si nécessaire (Enterprise uniquement)Avenant contractuel, pas un paramètre en self-serve. Contacter Anthropic via votre account manager, demander l'avenant ZDR dans votre contrat Enterprise, une fois signé il s'applique à tous les appels de votre organisation. Pertinent pour les obligations contractuelles de non-conservation client, ou les données commerciales / financières à fort enjeu de confidentialité. Sans ZDR, la rétention de 30 jours reste suffisante pour la majorité des usages.
- 6Réaliser l'évaluation des risques fournisseur (recommandé Enterprise)Souvent requise pour les processus d'achat grands comptes. Trust Portal sur
trust.anthropic.comavec rapport SOC 3 public, rapport SOC 2 Type II sous NDA, certificats ISO 27001 et ISO 42001, liste des sous-traitants. Réponses types questionnaire : AES-256 au repos, TLS 1.2+ en transit, notification de violation 48 heures, tests d'intrusion annuels.
Récapitulatif : les points à retenir
Plans commerciaux
- Team et Enterprise : pas d'entraînement sur vos conversations
- Free et Pro / Max : opt-out à activer, pas adapté aux données sensibles
- API Anthropic : la politique la plus stricte du marché
- ZDR sur Enterprise (avenant) et API uniquement
Conformité
- SOC 2 Type II, ISO 27001:2022, ISO 42001:2023
- DPA inclus dans les Conditions Commerciales
- CCT pour l'UE, UK et Swiss Addendums
- Notification de violation contractuelle sous 48h
- Suppression des données 30 jours après résiliation
Déploiement
- SSO + Domain Capture en priorité (Team et Enterprise)
- Rôles RBAC assignés avant les invitations
- ROPA mis à jour, DPO consulté, DPIA si traitement à risque
- Logs d'audit revus mensuellement
- ZDR uniquement si l'obligation contractuelle le justifie
