RGPD et HubSpot (CRM & marketing automation)
Comment utiliser HubSpot en conformité avec le RGPD ?
Pour utiliser HubSpot en conformité avec le RGPD, il faut bloquer les cookies de suivi (hubspotutk, __hstc) tant que le visiteur n'a pas consenti, informer les personnes dès la collecte via les formulaires, recueillir un opt-in explicite pour les emails marketing B2C, signer le DPA HubSpot (article 28 RGPD) et déclarer le transfert des données vers les États-Unis dans la politique de confidentialité.
Les 6 étapes pour mettre HubSpot en conformité RGPD :
- Conditionner le chargement du script de suivi HubSpot au consentement, via une CMP ou le bandeau natif configuré en opt-in
- Ajouter une mention d'information (finalité, base légale, droits) sous chaque formulaire HubSpot
- Recueillir un opt-in explicite (case non pré-cochée) pour les communications marketing B2C
- Signer le Data Processing Agreement (DPA) de HubSpot, exigé par l'article 28 du RGPD
- Mentionner HubSpot et le transfert vers les États-Unis dans la politique de confidentialité
- Définir une durée de conservation des contacts inactifs et purger régulièrement le CRM
HubSpot est une plateforme tout-en-un de CRM, marketing automation et service client, très répandue chez les PME et scale-ups françaises. Son script de suivi relie le comportement de navigation des visiteurs à leur fiche contact dès qu'ils remplissent un formulaire : c'est précisément ce croisement entre données de navigation et identité qui en fait un outil à encadrer rigoureusement au regard du RGPD.
HubSpot, Inc. est une société américaine, ce qui ajoute la question des transferts de données hors Union européenne à celle du consentement aux cookies et de l'information des personnes. Notre générateur vous aide à déclarer HubSpot correctement dans votre politique de confidentialité, du tracking aux formulaires.
Cookies HubSpot et consentement préalable
Le script de suivi HubSpot dépose plusieurs cookies (hubspotutk, __hstc, __hssc, __hssrc) qui identifient le visiteur d'une session à l'autre et relient son historique de navigation à sa fiche contact dès qu'il soumet un formulaire. Cette finalité — le suivi individuel à des fins marketing — dépasse la mesure d'audience strictement nécessaire : ces traceurs relèvent de l'article 82 de la loi Informatique et Libertés et exigent un consentement préalable, libre, spécifique et univoque avant leur dépôt.
HubSpot intègre un bandeau cookies natif avec des options de blocage préalable. Attention toutefois : la conformité dépend de la configuration retenue. Un mode purement informatif ne suffit pas en France ; activez le blocage des cookies avant consentement (opt-in) et offrez un refus aussi simple que l'acceptation, conformément aux recommandations cookies de la CNIL. Si vous utilisez déjà une CMP (Tarteaucitron, Axeptio, Didomi…), conditionnez le chargement du script HubSpot à la catégorie 'marketing'.
Pensez aussi au tracking email : les campagnes envoyées via HubSpot intègrent par défaut des pixels de suivi des ouvertures et des clics. Ce traitement alimente le profil comportemental de chaque contact ; il doit être mentionné dans votre politique de confidentialité et rattaché à la même base légale que vos communications marketing.
Formulaires, CRM et information des personnes
Chaque formulaire HubSpot alimente directement votre CRM : les données saisies (identité, coordonnées, entreprise, réponses aux champs personnalisés) constituent un traitement dont vous êtes responsable. L'article 13 du RGPD impose d'informer la personne au moment de la collecte : finalité, base légale, destinataires, durée de conservation, droits. Ajoutez une mention d'information concise sous chaque formulaire, avec un lien vers votre politique de confidentialité.
Pour la prospection, distinguez les régimes : en B2C, l'envoi d'emails commerciaux requiert un consentement préalable (case non pré-cochée) ; en B2B, la CNIL admet une prospection en lien avec la fonction professionnelle de la personne, sous réserve d'une information préalable et d'un droit d'opposition simple à exercer. Les workflows de marketing automation de HubSpot doivent respecter la base légale propre à chaque canal et à chaque audience.
Le lead scoring attribue une note à chaque contact selon son comportement : documentez ce traitement dans votre registre. Si une décision produisant des effets juridiques ou significatifs était prise de manière entièrement automatisée sur cette base, l'article 22 du RGPD s'appliquerait — en pratique, conservez une intervention humaine dans vos décisions commerciales.
Transferts vers les États-Unis et DPA HubSpot
HubSpot, Inc. est une société américaine qui dispose d'une entité européenne établie en Irlande pour ses clients de l'UE. Selon votre configuration, les données peuvent être hébergées dans des centres de données situés aux États-Unis ou dans l'Union européenne (HubSpot propose une option de résidence des données UE sur certaines offres). Identifiez la localisation effective de votre portail dans les paramètres de votre compte avant de rédiger votre politique.
Lorsque les données transitent vers les États-Unis, le transfert doit être encadré par un mécanisme du chapitre V du RGPD : le Data Privacy Framework (DPF) pour les entreprises américaines certifiées, complété le cas échéant par les Clauses Contractuelles Types. Vérifiez le statut de certification de HubSpot sur la liste officielle du programme DPF et mentionnez le mécanisme applicable dans votre politique de confidentialité.
Enfin, signez le Data Processing Agreement (DPA) de HubSpot : l'article 28 du RGPD impose un contrat écrit avec tout sous-traitant. Le DPA décrit les sous-traitants ultérieurs de HubSpot, les mesures de sécurité et les modalités d'assistance pour répondre aux demandes d'exercice des droits de vos contacts.
Générez votre document en 5 minutes
Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.
Générer ma politique RGPD HubSpotQuestions fréquentes
Le bandeau cookies intégré à HubSpot suffit-il pour être conforme en France ?
Cela dépend de sa configuration. Le bandeau HubSpot peut bloquer les cookies avant consentement (opt-in), ce qui est obligatoire en France, mais ce n'est pas nécessairement son réglage initial. Vérifiez que les scripts ne se chargent qu'après acceptation, que le refus est aussi simple que l'acceptation et que l'utilisateur peut modifier son choix à tout moment.
Faut-il un consentement pour gérer ses clients existants dans le CRM HubSpot ?
Pas nécessairement. La gestion de la relation client repose généralement sur l'exécution du contrat ou l'intérêt légitime (article 6 du RGPD). En revanche, les cookies de suivi sur votre site et la prospection B2C par email requièrent le consentement. Distinguez chaque traitement dans votre registre et votre politique de confidentialité.
Où trouver le DPA de HubSpot ?
HubSpot publie son Data Processing Agreement dans sa documentation juridique en ligne ; il s'applique contractuellement aux clients traitant des données de personnes situées dans l'UE. Conservez une trace de son acceptation dans votre registre des traitements, ainsi que la liste des sous-traitants ultérieurs qu'il référence.
Combien de temps conserver les contacts dans HubSpot ?
Appliquez le principe de minimisation : la CNIL recommande de ne pas conserver les données de prospects au-delà de 3 ans après le dernier contact émanant de la personne. Pour les clients, conservez les données le temps de la relation contractuelle puis selon les délais légaux applicables. Mettez en place une purge régulière des fiches inactives.