Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Pipedrive et RGPD : guide de conformité 2026
RGPD

Pipedrive et RGPD : guide de conformité 2026

Pipedrive est-il conforme au RGPD ? Analyse du DPA, des transferts, de la sécurité et configuration recommandée.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202613 min de lecture
Sommaire
  1. Qualification juridique : Pipedrive comme sous-traitant
  2. Analyse du DPA Pipedrive
  3. Transferts internationaux et TIA
  4. Sécurité informatique
  5. Configuration recommandée pour la conformité RGPD
  6. Points d’attention spécifiques à Pipedrive
  7. FAQ

Pipedrive est un CRM centré sur la gestion du pipeline commercial, particulièrement populaire auprès des PME et des équipes commerciales de taille moyenne en France. Fondé en Estonie en 2010, Pipedrive a ensuite établi son siège social à New York tout en conservant une forte présence technique à Tallinn. La plateforme se distingue par sa simplicité d’utilisation et son focus sur le processus de vente : gestion des contacts, suivi des deals dans un pipeline visuel, envoi d’emails, planification d’activités, et reporting commercial.

Du point de vue des données personnelles, Pipedrive traite les données classiques d’un CRM commercial : identité des contacts (nom, email, téléphone, entreprise), historique des interactions (emails, appels, notes), données du pipeline (deals, montants, probabilités, dates de clôture), et données d’activité (rendez-vous, tâches). Les fonctionnalités complémentaires comme LeadBooster et Prospector ajoutent une couche d’enrichissement de données provenant de sources tierces.

Faut-il s’inquiéter d’utiliser Pipedrive du point de vue RGPD ? Non. Utiliser un CRM leader comme Pipedrive n’est pas un risque RGPD en soi. La plateforme a fait l’objet d’audits de sécurité indépendants et dispose des certifications standard du marché. De plus, son écosystème d’intégrations est plus restreint que celui de HubSpot ou Salesforce, ce qui simplifie mécaniquement l’analyse de conformité. Le risque réel se situe, comme toujours, dans la configuration de votre compte et dans la documentation de vos traitements.

Ce guide détaille ce que vous devez vérifier et mettre en place. Consultez également nos analyses de HubSpot et RGPD et Salesforce et RGPD, ainsi que notre guide complet RGPD et outils.

Qualification juridique : Pipedrive comme sous-traitant

Dans le cadre de l’utilisation standard de son CRM, Pipedrive agit en qualité de sous-traitant (processor) au sens de l’article 28 du RGPD. Vous êtes le responsable de traitement : vous décidez quels contacts importer, quelles données collecter, et pour quelles finalités commerciales.

Cette qualification est claire et non ambiguë pour les fonctionnalités principales de Pipedrive : gestion des contacts et des organisations, suivi du pipeline, envoi d’emails, planification d’activités, reporting.

Les fonctionnalités d’enrichissement de données méritent cependant une attention particulière :

  • Prospector : cette fonctionnalité permet de rechercher et d’ajouter des contacts professionnels à partir de bases de données tierces. Pipedrive agit ici en partie pour ses propres finalités (constitution et maintenance de la base de données de prospection). La qualification de sous-traitant pur peut être discutée.
  • LeadBooster : les chatbots et formulaires web collectent des données directement auprès des visiteurs de votre site. Pour cette fonctionnalité, Pipedrive agit clairement comme sous-traitant.
  • Web Visitors : le suivi des entreprises visitant votre site web s’appuie sur des bases de données tierces pour identifier les entreprises à partir des adresses IP. L’article 14 du RGPD (information des personnes dont les données n’ont pas été collectées directement) s’applique à ces données.

Catégories de données traitées :

  • Données d’identité : nom, prénom, email, téléphone, adresse, entreprise, poste
  • Données commerciales : deals, montants, étapes du pipeline, probabilités, date de clôture
  • Données d’interaction : emails envoyés/reçus, appels, notes, activités planifiées
  • Données techniques : adresse IP, logs de connexion, type de navigateur
  • Données enrichies (si Prospector activé) : données professionnelles issues de sources tierces

Catégories de personnes concernées : clients, prospects, leads, contacts importés, visiteurs web (si Web Visitors activé).

Inscrivez Pipedrive comme sous-traitant dans votre registre des traitements en précisant la base légale de chaque traitement. Pour la prospection B2B, l’intérêt légitime est généralement la base légale appropriée, à condition de documenter la balance des intérêts.

Analyse du DPA Pipedrive

Le DPA de Pipedrive est intégré dans ses conditions générales et accessible via la page pipedrive.com/en/privacy. C’est un DPA de type click-through qui s’applique automatiquement à tous les clients. Il est disponible en anglais.

Exigence Art. 28 Couverture Pipedrive Commentaire
Objet, durée, nature du traitement Oui Défini par référence aux services CRM souscrits
Instructions documentées du RT Oui Traitement sur instructions du client uniquement
Confidentialité du personnel Oui Engagement de confidentialité des employés
Mesures de sécurité (Art. 32) Oui Annexe sécurité avec mesures techniques et organisationnelles
Sous-traitants ultérieurs Oui Liste publique, notification, possibilité d’objection
Assistance droits des personnes Oui Outils d’export et de suppression + engagement d’assistance
Suppression/restitution en fin de contrat Oui Export disponible + suppression après résiliation
Audits Partiel Rapports de certification (SOC 2, ISO 27001), pas d’audit sur site
Transferts hors UE Oui CCT + DPF + hébergement EU

Points forts du DPA Pipedrive : pour un CRM destiné aux PME, la couverture est solide et conforme aux exigences de l’article 28. Le document est plus court et plus lisible que ceux de HubSpot ou Salesforce, ce qui est un avantage pratique pour les organisations sans juriste dédié. La liste des sous-traitants ultérieurs est publique et relativement courte (bénéfice d’un écosystème moins complexe).

Points d’attention : comme pour HubSpot, le droit d’audit est limité aux rapports de certification. Pipedrive ne propose pas d’audit sur site. Pour la grande majorité des PME, les rapports SOC 2 et ISO 27001 constituent une preuve suffisante, mais les organisations soumises à des exigences sectorielles fortes devront évaluer cette limitation.

La chaîne de sous-traitants ultérieurs de Pipedrive est plus courte que celle de HubSpot ou Salesforce, ce qui simplifie votre propre analyse de conformité et réduit la surface de risque liée aux transferts en cascade.

Transferts internationaux et TIA

Pipedrive présente un profil de transfert intéressant : fondé en Estonie (État membre de l’UE), l’entreprise a ensuite établi son siège social à New York (États-Unis) tout en conservant une présence technique majeure en Europe (Tallinn, Dublin, Lisbonne). Cette double identité EU/US a des conséquences directes sur l’analyse des transferts.

Hébergement des données

Pipedrive héberge les données de ses clients européens dans des data centers situés à Francfort (Allemagne), sur infrastructure AWS. L’hébergement EU est le choix par défaut pour les comptes créés depuis l’Europe – un avantage par rapport à d’autres CRM américains où l’hébergement EU doit être explicitement activé.

Les données au repos (contacts, deals, emails, fichiers) sont stockées en Europe. Certains traitements peuvent impliquer un transit vers les États-Unis, notamment pour certains services d’infrastructure.

Base juridique pour les transferts

Pipedrive est certifié au EU-US Data Privacy Framework (DPF). Le DPA intègre les clauses contractuelles types (CCT) comme mécanisme complémentaire. L’origine estonienne de l’équipe technique et la localisation européenne de l’hébergement réduisent naturellement le volume de transferts transatlantiques.

Analyse d’impact des transferts (TIA)

Résumé pratique de la TIA pour Pipedrive :

  • Législation du pays destinataire : en tant qu’entreprise américaine (siège à New York), Pipedrive est soumise à la législation américaine (section 702 FISA, EO 12333, CLOUD Act). Les garanties de l’Executive Order 14086 et du DPF s’appliquent.
  • Mesures supplémentaires : chiffrement en transit (TLS 1.2+) et au repos (AES-256), hébergement EU par défaut, équipe technique majoritairement basée en UE (Estonie), chaîne de sous-traitants plus courte que les grands CRM américains, accès aux données limité et journalisé.
  • Évaluation : le risque résiduel est faible. La combinaison d’un hébergement EU par défaut, d’une équipe technique européenne, et d’une chaîne de sous-traitants plus courte place Pipedrive dans une position favorable par rapport aux CRM purement américains pour les données commerciales standard.

Recommandation pratique : vérifiez que votre compte est bien hébergé en EU (c’est normalement le défaut), documentez votre TIA, et maintenez les CCT comme mécanisme de secours. Pour plus de détails sur les mécanismes de transfert de données hors UE, consultez notre guide dédié.

Sécurité informatique

Pipedrive dispose d’un programme de sécurité solide pour un CRM de sa taille, avec des certifications reconnues :

  • SOC 2 Type II : audit annuel portant sur la sécurité et la disponibilité
  • ISO 27001 : certification du système de management de la sécurité de l’information
  • Chiffrement : AES-256 au repos, TLS 1.2+ en transit
  • Authentification : MFA disponible (TOTP, compatible avec les applications d’authentification standard), SSO via SAML 2.0 pour les comptes Enterprise et Advanced
  • Contrôle d’accès : permissions par rôle (admin, manager, regular user), visibilité configurable par équipe
  • Équipe sécurité basée en UE : l’équipe d’ingénierie et de sécurité est majoritairement basée à Tallinn (Estonie), ce qui constitue un avantage en termes de juridiction pour les données européennes
  • Infrastructure : AWS EU (Francfort), avec les garanties de disponibilité et de sécurité physique associées

Un point notable : l’origine estonienne de Pipedrive n’est pas anecdotique en matière de sécurité. L’Estonie est reconnue comme l’un des pays les plus avancés au monde en matière de cybersécurité et de gouvernance numérique (e-residency, X-Road, centre d’excellence OTAN de cyberdéfense à Tallinn). L’équipe technique de Pipedrive bénéficie de cet écosystème.

Ces plateformes CRM investissent des sommes considérables dans leur infrastructure de sécurité. Le niveau de protection est largement supérieur à ce qu’une PME française typique pourrait bâtir. Votre obligation au titre du RGPD est de vérifier et documenter ces mesures – pas de les égaliser. Demandez le rapport SOC 2 Type II via le Trust Center de Pipedrive et conservez-le dans votre dossier de conformité.

Configuration recommandée pour la conformité RGPD

  1. Vérifier l’application du DPA. Le DPA de Pipedrive s’applique automatiquement via les conditions générales. Téléchargez-en une copie depuis la page Privacy de Pipedrive et conservez-la dans votre dossier de conformité.

  2. Confirmer l’hébergement EU. Vérifiez dans Settings > Company Settings que votre instance est hébergée en EU. Pour les comptes créés depuis l’Europe, c’est normalement le cas par défaut. En cas de doute, contactez le support Pipedrive.

  3. Configurer les durées de conservation. Pipedrive ne supprime pas automatiquement les anciens contacts. Mettez en place une routine régulière (trimestrielle ou semestrielle) de nettoyage des contacts inactifs. Utilisez les filtres avancés pour identifier les contacts sans activité depuis une période définie, puis supprimez-les ou archivez-les.

  4. Désactiver les fonctionnalités d’enrichissement non nécessaires. Si vous n’utilisez pas activement Prospector ou Web Visitors, désactivez-les dans Settings > Tools and Apps. Ces fonctionnalités impliquent des traitements de données supplémentaires (y compris des données issues de sources tierces) qui ajoutent de la complexité à votre conformité.

  5. Auditer les intégrations. Dans Settings > Tools and Apps > Integrations, vérifiez chaque application tierce connectée à votre Pipedrive. Chaque intégration représente un flux de données potentiel vers un sous-traitant additionnel. Supprimez les intégrations que vous n’utilisez plus.

  6. Configurer les permissions. Pipedrive offre des niveaux de permission (admin, manager, utilisateur standard) et des paramètres de visibilité par équipe. Appliquez le principe du moindre privilège : un commercial ne doit voir que les deals de son équipe, pas ceux de toute l’entreprise. Activez le MFA pour tous les utilisateurs.

  7. Paramétrer la synchronisation email. Si vous utilisez la synchronisation email de Pipedrive, sachez que les emails sont stockés dans le CRM. Définissez une politique claire : quels emails sont synchronisés, pendant combien de temps, et informez vos interlocuteurs si nécessaire (mention dans la signature email par exemple).

  8. Documenter dans le registre. Ajoutez Pipedrive dans votre registre des traitements en précisant : finalité (gestion commerciale, prospection), base légale (intérêt légitime pour le B2B, consentement le cas échéant), catégories de données, durées de conservation, transferts vers les États-Unis, et mesures de sécurité.

Points d’attention spécifiques à Pipedrive

LeadBooster et Prospector : enrichissement de données

Prospector est la fonctionnalité de Pipedrive qui permet de rechercher des contacts professionnels dans une base de données tierce et de les ajouter directement à votre CRM. Du point de vue du RGPD, cela soulève deux questions spécifiques.

Premièrement, l’article 14 du RGPD s’applique : lorsque vous obtenez des données personnelles autrement que directement auprès de la personne concernée, vous devez l’informer dans un délai raisonnable (au maximum un mois). Concrètement, si vous ajoutez un contact via Prospector, vous devez l’informer de la source de ses données et de la base légale de votre traitement lors de votre premier contact.

Deuxièmement, la base légale de ce traitement doit être soigneusement évaluée. L’intérêt légitime est généralement invoqué pour la prospection B2B, mais vous devez documenter votre balance des intérêts et vous assurer que le contact n’a pas exercé son droit d’opposition.

Web Visitors : identification des entreprises

La fonctionnalité Web Visitors identifie les entreprises qui visitent votre site web en croisant les adresses IP avec des bases de données professionnelles. Il ne s’agit pas de données personnelles au sens strict (identification de l’entreprise, pas de l’individu), mais la prudence est de mise : dans certains cas, l’identification de l’entreprise combinée à d’autres informations peut conduire à l’identification d’une personne physique.

Écosystème plus simple = risque moindre

Un avantage de Pipedrive par rapport à HubSpot ou Salesforce est la relative simplicité de son écosystème. Le nombre d’intégrations tierces disponibles est plus limité, la chaîne de sous-traitants est plus courte, et les flux de données sont plus prévisibles. Pour une PME qui cherche à maintenir une conformité RGPD simple et maîtrisable, c’est un argument en faveur de Pipedrive. Moins de complexité signifie moins de points de contrôle, moins de DPA à vérifier, et moins de risque de flux de données non documentés.

Pipedrive s’intègre couramment avec des outils d’email marketing comme Brevo pour la prospection sortante – documentez ces flux dans votre registre.

FAQ

Pipedrive est-il conforme au RGPD ?

Pipedrive fournit les éléments nécessaires à une utilisation conforme : DPA couvrant l’article 28, hébergement EU par défaut, certifications SOC 2 et ISO 27001, outils d’export et de suppression des données. La conformité effective dépend néanmoins de votre configuration : gestion des durées de conservation, paramétrage des fonctionnalités d’enrichissement, et documentation de vos traitements dans votre registre.

Faut-il signer un DPA avec Pipedrive ?

Le DPA de Pipedrive s’applique automatiquement via les conditions générales de service. Vous n’avez pas de signature séparée à effectuer. Téléchargez une copie du DPA et de la politique de confidentialité de Pipedrive, et conservez-les dans votre dossier de conformité comme preuve de l’encadrement contractuel du traitement.

Pipedrive transfère-t-il des données hors de l’UE ?

Pipedrive héberge les données des clients européens en EU (Francfort) par défaut. Cependant, en tant qu’entreprise dont le siège est aux États-Unis, certains transferts transatlantiques peuvent avoir lieu (infrastructure, support). Pipedrive est certifié DPF et applique les CCT. Le profil de transfert de Pipedrive est globalement favorable grâce à son héritage européen et à son équipe technique basée en Estonie.

Comment gérer les données obtenues via Prospector au regard du RGPD ?

Les données obtenues via Prospector sont des données collectées indirectement. L’article 14 du RGPD vous oblige à informer les personnes concernées de la collecte de leurs données, de la source, et de la base légale, dans un délai maximal d’un mois. Concrètement, lors de votre premier email ou appel à un contact obtenu via Prospector, indiquez la source des données et offrez un moyen simple d’exercer le droit d’opposition. Documentez votre balance des intérêts au titre de l’intérêt légitime et respectez les listes d’opposition (Bloctel pour le B2C téléphonique).

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformité cloud infrastructure

9 avril 2026 · 16 min