Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/HubSpot et RGPD : guide de conformite 2026
RGPD

HubSpot et RGPD : guide de conformite 2026

HubSpot est-il conforme au RGPD ? Analyse du DPA, des transferts, de la securite et configuration recommandee.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202612 min de lecture
Sommaire
  1. Qualification juridique : HubSpot comme sous-traitant
  2. Analyse du DPA HubSpot
  3. Transferts internationaux et TIA
  4. Securite informatique
  5. Configuration recommandee pour la conformite RGPD
  6. Points d’attention specifiques a HubSpot
  7. FAQ

HubSpot est l’un des CRM les plus utilises en France, en particulier par les PME et les startups en phase de croissance. La plateforme couvre un spectre fonctionnel large : gestion des contacts et des deals, marketing automation (emails, landing pages, formulaires), service client (ticketing, chat en direct), et un CMS integre. En France, HubSpot revendique des milliers d’utilisateurs actifs et une presence commerciale locale depuis 2019.

Du point de vue du RGPD, un CRM comme HubSpot traite un volume consequent de donnees personnelles : donnees d’identite (nom, email, telephone), donnees comportementales (pages visitees, emails ouverts, clics), donnees transactionnelles (historique des deals, montants), et potentiellement des donnees de support (tickets, conversations). Les personnes concernees incluent vos clients, prospects, leads generes par vos formulaires, et les visiteurs de votre site web traces par le cookie HubSpot.

Faut-il s’inquieter d’utiliser HubSpot ? Non. Utiliser un CRM leader du marche comme HubSpot n’est pas un risque RGPD en soi – des grandes entreprises, des cabinets d’avocats et des organisations publiques ont deja audite la plateforme de maniere approfondie. Le veritable risque de conformite reside dans la mauvaise configuration de votre instance et dans l’absence de documentation de votre cote. C’est precisement ce que ce guide detaille : ce que vous devez verifier, configurer et documenter pour utiliser HubSpot en conformite avec le RGPD.

Consultez egalement nos analyses de Salesforce et RGPD et Pipedrive et RGPD, ainsi que notre guide complet RGPD et outils.

Qualification juridique : HubSpot comme sous-traitant

Lorsque vous utilisez HubSpot pour gerer vos contacts et vos operations commerciales, HubSpot agit en qualite de sous-traitant (processor) au sens de l’article 28 du RGPD. Vous restez le responsable de traitement : c’est vous qui determinez les finalites (prospection commerciale, gestion de la relation client, marketing) et les moyens essentiels du traitement.

Cette qualification s’applique clairement aux fonctionnalites principales du CRM : stockage des contacts, envoi d’emails marketing, gestion des deals, ticketing. HubSpot traite les donnees selon vos instructions et pour votre compte.

Toutefois, certaines fonctionnalites meritent une analyse plus fine. Les outils publicitaires de HubSpot (HubSpot Ads, synchronisation avec Facebook/Google Ads) peuvent creer une situation de responsabilite conjointe au sens de l’article 26 du RGPD, dans la mesure ou HubSpot et les plateformes publicitaires determinent conjointement certaines finalites du traitement. De meme, les fonctionnalites d’enrichissement de donnees (HubSpot Insights, achat de donnees tierces) modifient la qualification : HubSpot agit alors partiellement pour ses propres finalites.

Categories de donnees traitees :

  • Donnees d’identite : nom, prenom, email, telephone, adresse, entreprise, poste
  • Donnees comportementales : pages visitees, emails ouverts, clics, soumissions de formulaires
  • Donnees transactionnelles : pipeline commercial, montants des deals, historique d’achat
  • Donnees de support : tickets, transcriptions de chat, satisfaction client
  • Donnees techniques : adresse IP, type de navigateur, geolocalisation approximative

Categories de personnes concernees : clients, prospects, leads, visiteurs du site web, contacts importes.

En pratique, vous devez documenter cette qualification dans votre registre des traitements en identifiant HubSpot comme sous-traitant pour chaque activite de traitement concernee, avec la base legale appropriee (typiquement l’interet legitime pour la prospection B2B, le contrat pour la gestion client, le consentement pour le marketing direct B2C).

Analyse du DPA HubSpot

Le Data Processing Agreement (DPA) de HubSpot est disponible a l’adresse legal.hubspot.com/dpa. C’est un DPA de type click-through : il s’applique automatiquement a tous les clients HubSpot et ne necessite pas de signature separee. Le document est disponible en anglais uniquement.

Voici notre evaluation du DPA au regard des exigences de l’article 28 du RGPD :

Exigence Art. 28 Couverture HubSpot Commentaire
Objet, duree, nature du traitement Oui Defini par reference aux services souscrits
Instructions documentees du RT Oui HubSpot ne traite que sur instructions documentees
Confidentialite du personnel Oui Engagement de confidentialite des employes
Mesures de securite (Art. 32) Oui Renvoi a l’annexe securite detaillee
Sous-traitants ulterieurs Oui Liste publique, notification, droit d’objection
Assistance droits des personnes Oui HubSpot aide le RT a repondre aux demandes
Suppression/restitution en fin de contrat Oui Suppression dans les 90 jours apres resiliation
Audits Partiel Audit sur dossier (rapports SOC 2, ISO), pas d’audit physique sur site
Transferts hors UE Oui CCT + DPF + mesures supplementaires

Points forts du DPA HubSpot : la couverture des exigences de l’article 28 est globalement solide. La liste des sous-traitants ulterieurs est publique et maintenue a jour a l’adresse legal.hubspot.com/sub-processors. HubSpot s’engage a notifier par email tout changement de sous-traitant avec un delai de 30 jours, pendant lequel vous pouvez formuler une objection.

Point d’attention : le droit d’audit est limite. HubSpot ne permet pas d’audit physique sur site mais fournit ses rapports de certification (SOC 2 Type II, ISO 27001) comme preuve de conformite. C’est une pratique courante chez les grands editeurs SaaS et generalement acceptee par les autorites de controle, mais les organisations soumises a des exigences reglementaires strictes (secteur financier, sante) devront evaluer si cela suffit.

En pratique, verifiez que le DPA est effectivement active dans votre compte HubSpot (Settings > Account Defaults > Legal). Pour les comptes Enterprise, une version negociee du DPA est possible.

Transferts internationaux et TIA

HubSpot, Inc. a son siege a Cambridge, Massachusetts (Etats-Unis). C’est une entreprise americaine soumise au CLOUD Act, ce qui signifie que les autorites americaines peuvent theoriquement exiger l’acces aux donnees, y compris celles stockees en Europe.

Hebergement des donnees

HubSpot propose un hebergement en Union europeenne (data center AWS a Francfort, Allemagne) pour les comptes Starter, Professional et Enterprise. Cette option doit etre activee explicitement lors de la creation du compte ou par migration ulterieure. Lorsque l’hebergement EU est active, les donnees principales du CRM (contacts, deals, tickets, emails) sont stockees a Francfort.

Attention cependant : certaines donnees peuvent transiter temporairement par les Etats-Unis meme avec l’hebergement EU active, notamment pour certains services de traitement (intelligence artificielle, certains services d’analyse).

Base juridique pour les transferts

HubSpot est certifie au EU-US Data Privacy Framework (DPF) depuis sa mise en place en juillet 2023. Cette certification fournit une base legale pour les transferts vers les Etats-Unis au sens de l’article 45 du RGPD. En complement, le DPA de HubSpot integre les clauses contractuelles types (CCT) de la Commission europeenne comme mecanisme de transfert subsidiaire.

Analyse d’impact des transferts (TIA)

En application des recommandations du CEPD (lignes directrices 01/2020), voici un resume pratique de l’analyse d’impact pour les transferts vers HubSpot :

  • Legislation du pays destinataire : les Etats-Unis disposent de la section 702 du FISA et de l’Executive Order 12333, qui permettent la surveillance des communications electroniques. L’Executive Order 14086 (octobre 2022) a introduit des garanties supplementaires et un mecanisme de recours (Data Protection Review Court), base du DPF.
  • Mesures supplementaires : chiffrement en transit (TLS 1.2/1.3) et au repos (AES-256), hebergement EU disponible, acces limite aux donnees par le personnel americain, engagement contractuel de contestation des demandes excessives.
  • Evaluation : le risque residuel est faible pour les donnees commerciales standard (contacts B2B, historique de deals). Il est plus eleve pour les donnees sensibles ou les secteurs reglementees.

Recommandation pratique : activez l’hebergement EU dans HubSpot, documentez votre TIA, et conservez les CCT comme mecanisme de secours en cas d’invalidation du DPF. Pour plus de details sur les mecanismes de transfert de donnees hors UE, consultez notre guide dedie.

Securite informatique

HubSpot dispose d’un programme de securite mature, atteste par plusieurs certifications independantes :

  • SOC 2 Type II : audit annuel portant sur la securite, la disponibilite et la confidentialite des systemes
  • ISO 27001 : certification du systeme de management de la securite de l’information
  • Chiffrement : AES-256 au repos, TLS 1.2/1.3 en transit
  • Authentification : MFA disponible (et recommande), SSO via SAML 2.0 pour les comptes Enterprise
  • Controle d’acces : permissions granulaires par role, journalisation des acces
  • Programme de bug bounty : via HackerOne, ouvert aux chercheurs en securite externes
  • Continuite d’activite : infrastructure multi-AZ sur AWS, SLA de 99,99% pour les comptes Enterprise

HubSpot investit des dizaines de millions de dollars par an dans son infrastructure de securite. Le niveau de protection technique est nettement superieur a ce qu’une PME francaise typique pourrait construire en interne. Votre obligation au titre du RGPD n’est pas d’egaliser ce niveau de securite, mais de verifier et documenter que votre sous-traitant met en oeuvre des mesures techniques et organisationnelles appropriees au sens de l’article 32 du RGPD.

En pratique, demandez a HubSpot (ou telechargez depuis leur Trust Center) le rapport SOC 2 Type II le plus recent et conservez-le dans votre dossier de conformite. Verifiez la date du rapport et son perimetre.

Configuration recommandee pour la conformite RGPD

Voici les etapes a suivre pour configurer votre instance HubSpot de maniere conforme :

  1. Verifier l’activation du DPA. Dans Settings > Account Defaults > Legal, verifiez que le DPA est actif. Pour les comptes gratuits et Starter, il s’applique automatiquement via les conditions generales.

  2. Activer l’hebergement EU. Dans Settings > Account Defaults > Data Hosting, selectionnez la region EU (Francfort). Si votre compte est deja cree sur la region US, demandez une migration au support HubSpot.

  3. Configurer les durees de conservation. Dans Settings > Properties, definissez des politiques de suppression automatique pour les contacts inactifs. HubSpot permet de creer des workflows de nettoyage bases sur la date de derniere activite.

  4. Desactiver le partage de donnees non necessaire. Dans Settings > Tracking & Analytics, verifiez les options de collecte de donnees. Desactivez le partage avec des tiers si vous ne l’utilisez pas. Examinez les parametres de HubSpot Insights (enrichissement automatique des contacts).

  5. Reviser les integrations connectees. Dans Settings > Integrations > Connected Apps, auditez chaque application tierce connectee. Chaque integration constitue potentiellement un nouveau sous-traitant necessitant son propre DPA. Supprimez les integrations inutilisees.

  6. Configurer les permissions utilisateurs. Dans Settings > Users & Teams, appliquez le principe du moindre privilege : chaque utilisateur ne doit acceder qu’aux donnees necessaires a sa fonction. Activez le MFA pour tous les utilisateurs.

  7. Parametrer le consentement cookies. Si vous utilisez le tracking HubSpot sur votre site web, configurez la banniere de cookies HubSpot (Settings > Tracking & Analytics > Cookie Consent) pour bloquer le tracking avant le consentement, conformement aux recommandations de la CNIL.

  8. Documenter dans le registre. Ajoutez une fiche dans votre registre des activites de traitement pour chaque utilisation de HubSpot (CRM, marketing, support), en precisant : finalite, base legale, categories de donnees, durees de conservation, transferts hors UE, et mesures de securite.

Points d’attention specifiques a HubSpot

Fonctionnalites d’intelligence artificielle

HubSpot a deploye plusieurs fonctionnalites IA : ChatSpot (assistant conversationnel), Content Assistant (generation de contenu), predictive lead scoring. La question centrale est : vos donnees sont-elles utilisees pour entrainer les modeles IA de HubSpot ?

Selon la politique actuelle de HubSpot, les donnees clients ne sont pas utilisees pour l’entrainement des modeles. Les fonctionnalites IA s’appuient sur des modeles tiers (OpenAI, notamment) avec des accords de non-retention. Verifiez cependant regulierement les mises a jour de la politique IA de HubSpot, car ce domaine evolue rapidement.

HubSpot Audiences et publicite

L’utilisation de HubSpot Ads (synchronisation de listes avec Facebook, Google, LinkedIn) implique un partage de donnees personnelles avec les plateformes publicitaires. Dans cette configuration, vous et la plateforme publicitaire etes probablement responsables conjoints au sens de l’article 26 du RGPD. Vous devez disposer d’une base legale specifique (generalement le consentement) et documenter l’accord de responsabilite conjointe.

Ecosysteme d’applications connectees

Le marketplace HubSpot propose des centaines d’applications tierces. Chaque application connectee a votre compte HubSpot accede potentiellement aux donnees personnelles de vos contacts. Traitez chaque application comme un sous-traitant additionnel : verifiez son DPA, sa localisation, et sa politique de securite avant connexion.

FAQ

HubSpot est-il conforme au RGPD ?

HubSpot fournit les outils et engagements contractuels necessaires a une utilisation conforme au RGPD : DPA couvrant l’article 28, hebergement EU, certifications de securite, gestion des sous-traitants ulterieurs. Cependant, la conformite finale depend de votre configuration et de votre documentation. HubSpot fournit le cadre ; c’est a vous de l’utiliser correctement.

Faut-il signer un DPA avec HubSpot ?

Le DPA de HubSpot s’applique automatiquement a tous les comptes via les conditions generales de service. Vous n’avez pas de signature separee a effectuer pour les comptes standard. Pour les comptes Enterprise, vous pouvez negocier un DPA personnalise. Dans tous les cas, verifiez dans vos parametres que le DPA est bien actif et conservez-en une copie dans votre dossier de conformite.

HubSpot transfere-t-il des donnees hors de l’UE ?

Par defaut, oui – HubSpot est une entreprise americaine et certaines donnees transitent par les Etats-Unis. Cependant, en activant l’hebergement EU (Francfort), vous limitez significativement ces transferts. HubSpot est certifie DPF et applique les CCT comme mecanisme complementaire. Documentez ces elements dans votre TIA.

HubSpot utilise-t-il mes donnees pour entrainer son IA ?

Selon la politique actuelle de HubSpot (avril 2026), les donnees clients ne sont pas utilisees pour entrainer les modeles d’IA. Les fonctionnalites IA de HubSpot s’appuient sur des modeles tiers avec des accords de non-retention. Consultez regulierement la page legal.hubspot.com/ai pour suivre l’evolution de cette politique, et desactivez les fonctionnalites IA si vous ne les utilisez pas.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min