HubSpot et RGPD : guide de conformité 2026

HubSpot est l’un des CRM les plus utilisés en France, en particulier par les PME et les startups en phase de croissance. La plateforme couvre un spectre fonctionnel large : gestion des contacts et des deals, marketing automation (emails, landing pages, formulaires), service client (ticketing, chat en direct), et un CMS intégré. En France, HubSpot revendique des milliers d’utilisateurs actifs et une présence commerciale locale depuis 2019.

Du point de vue du RGPD, un CRM comme HubSpot traite un volume conséquent de données personnelles : données d’identité (nom, email, téléphone), données comportementales (pages visitées, emails ouverts, clics), données transactionnelles (historique des deals, montants), et potentiellement des données de support (tickets, conversations). Les personnes concernées incluent vos clients, prospects, leads générés par vos formulaires, et les visiteurs de votre site web tracés par le cookie HubSpot.

Faut-il s’inquiéter d’utiliser HubSpot ? Non. Utiliser un CRM leader du marché comme HubSpot n’est pas un risque RGPD en soi – des grandes entreprises, des cabinets d’avocats et des organisations publiques ont déjà audité la plateforme de manière approfondie. Le véritable risque de conformité réside dans la mauvaise configuration de votre instance et dans l’absence de documentation de votre côté. C’est précisément ce que ce guide détaille : ce que vous devez vérifier, configurer et documenter pour utiliser HubSpot en conformité avec le RGPD.

Consultez également nos analyses de Salesforce et RGPD et Pipedrive et RGPD, ainsi que notre guide complet RGPD et outils.

Qualification juridique : HubSpot comme sous-traitant

Lorsque vous utilisez HubSpot pour gérer vos contacts et vos opérations commerciales, HubSpot agit en qualité de sous-traitant (processor) au sens de l’article 28 du RGPD. Vous restez le responsable de traitement : c’est vous qui déterminez les finalités (prospection commerciale, gestion de la relation client, marketing) et les moyens essentiels du traitement.

Cette qualification s’applique clairement aux fonctionnalités principales du CRM : stockage des contacts, envoi d’emails marketing, gestion des deals, ticketing. HubSpot traite les données selon vos instructions et pour votre compte.

Toutefois, certaines fonctionnalités méritent une analyse plus fine. Les outils publicitaires de HubSpot (HubSpot Ads, synchronisation avec Facebook/Google Ads) peuvent créer une situation de responsabilité conjointe au sens de l’article 26 du RGPD, dans la mesure où HubSpot et les plateformes publicitaires déterminent conjointement certaines finalités du traitement. De même, les fonctionnalités d’enrichissement de données (HubSpot Insights, achat de données tierces) modifient la qualification : HubSpot agit alors partiellement pour ses propres finalités.

Catégories de données traitées :

• Données d’identité : nom, prénom, email, téléphone, adresse, entreprise, poste
• Données comportementales : pages visitées, emails ouverts, clics, soumissions de formulaires
• Données transactionnelles : pipeline commercial, montants des deals, historique d’achat
• Données de support : tickets, transcriptions de chat, satisfaction client
• Données techniques : adresse IP, type de navigateur, géolocalisation approximative

Catégories de personnes concernées : clients, prospects, leads, visiteurs du site web, contacts importés.

En pratique, vous devez documenter cette qualification dans votre registre des traitements en identifiant HubSpot comme sous-traitant pour chaque activité de traitement concernée, avec la base légale appropriée (typiquement l’intérêt légitime pour la prospection B2B, le contrat pour la gestion client, le consentement pour le marketing direct B2C).

Analyse du DPA HubSpot

Le Data Processing Agreement (DPA) de HubSpot est disponible à l’adresse legal.hubspot.com/dpa. C’est un DPA de type click-through : il s’applique automatiquement à tous les clients HubSpot et ne nécessite pas de signature séparée. Le document est disponible en anglais uniquement.

Voici notre évaluation du DPA au regard des exigences de l’article 28 du RGPD :

Exigence Art. 28	Couverture HubSpot	Commentaire
Objet, durée, nature du traitement	Oui	Défini par référence aux services souscrits
Instructions documentées du RT	Oui	HubSpot ne traite que sur instructions documentées
Confidentialité du personnel	Oui	Engagement de confidentialité des employés
Mesures de sécurité (Art. 32)	Oui	Renvoi à l’annexe sécurité détaillée
Sous-traitants ultérieurs	Oui	Liste publique, notification, droit d’objection
Assistance droits des personnes	Oui	HubSpot aide le RT à répondre aux demandes
Suppression/restitution en fin de contrat	Oui	Suppression dans les 90 jours après résiliation
Audits	Partiel	Audit sur dossier (rapports SOC 2, ISO), pas d’audit physique sur site
Transferts hors UE	Oui	CCT + DPF + mesures supplémentaires

Points forts du DPA HubSpot : la couverture des exigences de l’article 28 est globalement solide. La liste des sous-traitants ultérieurs est publique et maintenue à jour à l’adresse legal.hubspot.com/sub-processors. HubSpot s’engage à notifier par email tout changement de sous-traitant avec un délai de 30 jours, pendant lequel vous pouvez formuler une objection.

Point d’attention : le droit d’audit est limité. HubSpot ne permet pas d’audit physique sur site mais fournit ses rapports de certification (SOC 2 Type II, ISO 27001) comme preuve de conformité. C’est une pratique courante chez les grands éditeurs SaaS et généralement acceptée par les autorités de contrôle, mais les organisations soumises à des exigences réglementaires strictes (secteur financier, santé) devront évaluer si cela suffit.

En pratique, vérifiez que le DPA est effectivement activé dans votre compte HubSpot (Settings > Account Defaults > Legal). Pour les comptes Enterprise, une version négociée du DPA est possible.

Transferts internationaux et TIA

HubSpot, Inc. a son siège à Cambridge, Massachusetts (États-Unis). C’est une entreprise américaine soumise au CLOUD Act, ce qui signifie que les autorités américaines peuvent théoriquement exiger l’accès aux données, y compris celles stockées en Europe.

Hébergement des données

HubSpot propose un hébergement en Union européenne (data center AWS à Francfort, Allemagne) pour les comptes Starter, Professional et Enterprise. Cette option doit être activée explicitement lors de la création du compte ou par migration ultérieure. Lorsque l’hébergement EU est activé, les données principales du CRM (contacts, deals, tickets, emails) sont stockées à Francfort.

Attention cependant : certaines données peuvent transiter temporairement par les États-Unis même avec l’hébergement EU activé, notamment pour certains services de traitement (intelligence artificielle, certains services d’analyse).

Base juridique pour les transferts

HubSpot est certifié au EU-US Data Privacy Framework (DPF) depuis sa mise en place en juillet 2023. Cette certification fournit une base légale pour les transferts vers les États-Unis au sens de l’article 45 du RGPD. En complément, le DPA de HubSpot intègre les clauses contractuelles types (CCT) de la Commission européenne comme mécanisme de transfert subsidiaire.

Analyse d’impact des transferts (TIA)

En application des recommandations du CEPD (lignes directrices 01/2020), voici un résumé pratique de l’analyse d’impact pour les transferts vers HubSpot :

• Législation du pays destinataire : les États-Unis disposent de la section 702 du FISA et de l’Executive Order 12333, qui permettent la surveillance des communications électroniques. L’Executive Order 14086 (octobre 2022) a introduit des garanties supplémentaires et un mécanisme de recours (Data Protection Review Court), base du DPF.
• Mesures supplémentaires : chiffrement en transit (TLS 1.2/1.3) et au repos (AES-256), hébergement EU disponible, accès limité aux données par le personnel américain, engagement contractuel de contestation des demandes excessives.
• Évaluation : le risque résiduel est faible pour les données commerciales standard (contacts B2B, historique de deals). Il est plus élevé pour les données sensibles ou les secteurs réglementés.

Recommandation pratique : activez l’hébergement EU dans HubSpot, documentez votre TIA, et conservez les CCT comme mécanisme de secours en cas d’invalidation du DPF. Pour plus de détails sur les mécanismes de transfert de données hors UE, consultez notre guide dédié.

Sécurité informatique

HubSpot dispose d’un programme de sécurité mature, attesté par plusieurs certifications indépendantes :

• SOC 2 Type II : audit annuel portant sur la sécurité, la disponibilité et la confidentialité des systèmes
• ISO 27001 : certification du système de management de la sécurité de l’information
• Chiffrement : AES-256 au repos, TLS 1.2/1.3 en transit
• Authentification : MFA disponible (et recommandé), SSO via SAML 2.0 pour les comptes Enterprise
• Contrôle d’accès : permissions granulaires par rôle, journalisation des accès
• Programme de bug bounty : via HackerOne, ouvert aux chercheurs en sécurité externes
• Continuité d’activité : infrastructure multi-AZ sur AWS, SLA de 99,99% pour les comptes Enterprise

HubSpot investit des dizaines de millions de dollars par an dans son infrastructure de sécurité. Le niveau de protection technique est nettement supérieur à ce qu’une PME française typique pourrait construire en interne. Votre obligation au titre du RGPD n’est pas d’égaliser ce niveau de sécurité, mais de vérifier et documenter que votre sous-traitant met en oeuvre des mesures techniques et organisationnelles appropriées au sens de l’article 32 du RGPD.

En pratique, demandez à HubSpot (ou téléchargez depuis leur Trust Center) le rapport SOC 2 Type II le plus récent et conservez-le dans votre dossier de conformité. Vérifiez la date du rapport et son périmètre.

Configuration recommandée pour la conformité RGPD

Voici les étapes à suivre pour configurer votre instance HubSpot de manière conforme :

1. Vérifier l’activation du DPA. Dans Settings > Account Defaults > Legal, vérifiez que le DPA est actif. Pour les comptes gratuits et Starter, il s’applique automatiquement via les conditions générales.

2. Activer l’hébergement EU. Dans Settings > Account Defaults > Data Hosting, sélectionnez la région EU (Francfort). Si votre compte est déjà créé sur la région US, demandez une migration au support HubSpot.

3. Configurer les durées de conservation. Dans Settings > Properties, définissez des politiques de suppression automatique pour les contacts inactifs. HubSpot permet de créer des workflows de nettoyage basés sur la date de dernière activité.

4. Désactiver le partage de données non nécessaire. Dans Settings > Tracking & Analytics, vérifiez les options de collecte de données. Désactivez le partage avec des tiers si vous ne l’utilisez pas. Examinez les paramètres de HubSpot Insights (enrichissement automatique des contacts).

5. Réviser les intégrations connectées. Dans Settings > Integrations > Connected Apps, auditez chaque application tierce connectée. Chaque intégration constitue potentiellement un nouveau sous-traitant nécessitant son propre DPA. Supprimez les intégrations inutilisées.

6. Configurer les permissions utilisateurs. Dans Settings > Users & Teams, appliquez le principe du moindre privilège : chaque utilisateur ne doit accéder qu’aux données nécessaires à sa fonction. Activez le MFA pour tous les utilisateurs.

7. Paramétrer le consentement cookies. Si vous utilisez le tracking HubSpot sur votre site web, configurez la bannière de cookies HubSpot (Settings > Tracking & Analytics > Cookie Consent) pour bloquer le tracking avant le consentement, conformément aux recommandations de la CNIL.

8. Documenter dans le registre. Ajoutez une fiche dans votre registre des activités de traitement pour chaque utilisation de HubSpot (CRM, marketing, support), en précisant : finalité, base légale, catégories de données, durées de conservation, transferts hors UE, et mesures de sécurité.

Points d’attention spécifiques à HubSpot

Fonctionnalités d’intelligence artificielle

HubSpot a déployé plusieurs fonctionnalités IA : ChatSpot (assistant conversationnel), Content Assistant (génération de contenu), predictive lead scoring. La question centrale est : vos données sont-elles utilisées pour entraîner les modèles IA de HubSpot ?

Selon la politique actuelle de HubSpot, les données clients ne sont pas utilisées pour l’entraînement des modèles. Les fonctionnalités IA s’appuient sur des modèles tiers (OpenAI, notamment) avec des accords de non-rétention. Vérifiez cependant régulièrement les mises à jour de la politique IA de HubSpot, car ce domaine évolue rapidement.

HubSpot Audiences et publicité

L’utilisation de HubSpot Ads (synchronisation de listes avec Facebook, Google, LinkedIn) implique un partage de données personnelles avec les plateformes publicitaires. Dans cette configuration, vous et la plateforme publicitaire êtes probablement responsables conjoints au sens de l’article 26 du RGPD. Vous devez disposer d’une base légale spécifique (généralement le consentement) et documenter l’accord de responsabilité conjointe.

Écosystème d’applications connectées

Le marketplace HubSpot propose des centaines d’applications tierces. Chaque application connectée à votre compte HubSpot accède potentiellement aux données personnelles de vos contacts. Traitez chaque application comme un sous-traitant additionnel : vérifiez son DPA, sa localisation, et sa politique de sécurité avant connexion.

Si vous utilisez HubSpot conjointement avec un outil d’email marketing dédié comme Brevo ou Mailchimp, chaque outil constitue un sous-traitant distinct nécessitant son propre DPA. Si votre support client repose sur Zendesk plutôt que sur le Service Hub de HubSpot, la synchronisation des données clients entre les deux plateformes constitue un traitement à part entière.

FAQ

HubSpot est-il conforme au RGPD ?

HubSpot fournit les outils et engagements contractuels nécessaires à une utilisation conforme au RGPD : DPA couvrant l’article 28, hébergement EU, certifications de sécurité, gestion des sous-traitants ultérieurs. Cependant, la conformité finale dépend de votre configuration et de votre documentation. HubSpot fournit le cadre ; c’est à vous de l’utiliser correctement.

Faut-il signer un DPA avec HubSpot ?

Le DPA de HubSpot s’applique automatiquement à tous les comptes via les conditions générales de service. Vous n’avez pas de signature séparée à effectuer pour les comptes standard. Pour les comptes Enterprise, vous pouvez négocier un DPA personnalisé. Dans tous les cas, vérifiez dans vos paramètres que le DPA est bien actif et conservez-en une copie dans votre dossier de conformité.

HubSpot transfère-t-il des données hors de l’UE ?

Par défaut, oui – HubSpot est une entreprise américaine et certaines données transitent par les États-Unis. Cependant, en activant l’hébergement EU (Francfort), vous limitez significativement ces transferts. HubSpot est certifié DPF et applique les CCT comme mécanisme complémentaire. Documentez ces éléments dans votre TIA.

HubSpot utilise-t-il mes données pour entraîner son IA ?

Selon la politique actuelle de HubSpot (avril 2026), les données clients ne sont pas utilisées pour entraîner les modèles d’IA. Les fonctionnalités IA de HubSpot s’appuient sur des modèles tiers avec des accords de non-rétention. Consultez régulièrement la page legal.hubspot.com/ai pour suivre l’évolution de cette politique, et désactivez les fonctionnalités IA si vous ne les utilisez pas.