Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Pipedrive et RGPD : guide de conformite 2026
RGPD

Pipedrive et RGPD : guide de conformite 2026

Pipedrive est-il conforme au RGPD ? Analyse du DPA, des transferts, de la securite et configuration recommandee.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202613 min de lecture
Sommaire
  1. Qualification juridique : Pipedrive comme sous-traitant
  2. Analyse du DPA Pipedrive
  3. Transferts internationaux et TIA
  4. Securite informatique
  5. Configuration recommandee pour la conformite RGPD
  6. Points d’attention specifiques a Pipedrive
  7. FAQ

Pipedrive est un CRM centre sur la gestion du pipeline commercial, particulierement populaire aupres des PME et des equipes commerciales de taille moyenne en France. Fonde en Estonie en 2010, Pipedrive a ensuite etabli son siege social a New York tout en conservant une forte presence technique a Tallinn. La plateforme se distingue par sa simplicite d’utilisation et son focus sur le processus de vente : gestion des contacts, suivi des deals dans un pipeline visuel, envoi d’emails, planification d’activites, et reporting commercial.

Du point de vue des donnees personnelles, Pipedrive traite les donnees classiques d’un CRM commercial : identite des contacts (nom, email, telephone, entreprise), historique des interactions (emails, appels, notes), donnees du pipeline (deals, montants, probabilites, dates de cloture), et donnees d’activite (rendez-vous, taches). Les fonctionnalites complementaires comme LeadBooster et Prospector ajoutent une couche d’enrichissement de donnees provenant de sources tierces.

Faut-il s’inquieter d’utiliser Pipedrive du point de vue RGPD ? Non. Utiliser un CRM leader comme Pipedrive n’est pas un risque RGPD en soi. La plateforme a fait l’objet d’audits de securite independants et dispose des certifications standard du marche. De plus, son ecosysteme d’integrations est plus restreint que celui de HubSpot ou Salesforce, ce qui simplifie mecaniquement l’analyse de conformite. Le risque reel se situe, comme toujours, dans la configuration de votre compte et dans la documentation de vos traitements.

Ce guide detaille ce que vous devez verifier et mettre en place. Consultez egalement nos analyses de HubSpot et RGPD et Salesforce et RGPD, ainsi que notre guide complet RGPD et outils.

Qualification juridique : Pipedrive comme sous-traitant

Dans le cadre de l’utilisation standard de son CRM, Pipedrive agit en qualite de sous-traitant (processor) au sens de l’article 28 du RGPD. Vous etes le responsable de traitement : vous decidez quels contacts importer, quelles donnees collecter, et pour quelles finalites commerciales.

Cette qualification est claire et non ambigue pour les fonctionnalites principales de Pipedrive : gestion des contacts et des organisations, suivi du pipeline, envoi d’emails, planification d’activites, reporting.

Les fonctionnalites d’enrichissement de donnees meritent cependant une attention particuliere :

  • Prospector : cette fonctionnalite permet de rechercher et d’ajouter des contacts professionnels a partir de bases de donnees tierces. Pipedrive agit ici en partie pour ses propres finalites (constitution et maintenance de la base de donnees de prospection). La qualification de sous-traitant pur peut etre discutee.
  • LeadBooster : les chatbots et formulaires web collectent des donnees directement aupres des visiteurs de votre site. Pour cette fonctionnalite, Pipedrive agit clairement comme sous-traitant.
  • Web Visitors : le suivi des entreprises visitant votre site web s’appuie sur des bases de donnees tierces pour identifier les entreprises a partir des adresses IP. L’article 14 du RGPD (information des personnes dont les donnees n’ont pas ete collectees directement) s’applique a ces donnees.

Categories de donnees traitees :

  • Donnees d’identite : nom, prenom, email, telephone, adresse, entreprise, poste
  • Donnees commerciales : deals, montants, etapes du pipeline, probabilites, date de cloture
  • Donnees d’interaction : emails envoyes/recus, appels, notes, activites planifiees
  • Donnees techniques : adresse IP, logs de connexion, type de navigateur
  • Donnees enrichies (si Prospector active) : donnees professionnelles issues de sources tierces

Categories de personnes concernees : clients, prospects, leads, contacts importes, visiteurs web (si Web Visitors active).

Inscrivez Pipedrive comme sous-traitant dans votre registre des traitements en precisant la base legale de chaque traitement. Pour la prospection B2B, l’interet legitime est generalement la base legale appropriee, a condition de documenter la balance des interets.

Analyse du DPA Pipedrive

Le DPA de Pipedrive est integre dans ses conditions generales et accessible via la page pipedrive.com/en/privacy. C’est un DPA de type click-through qui s’applique automatiquement a tous les clients. Il est disponible en anglais.

Exigence Art. 28 Couverture Pipedrive Commentaire
Objet, duree, nature du traitement Oui Defini par reference aux services CRM souscrits
Instructions documentees du RT Oui Traitement sur instructions du client uniquement
Confidentialite du personnel Oui Engagement de confidentialite des employes
Mesures de securite (Art. 32) Oui Annexe securite avec mesures techniques et organisationnelles
Sous-traitants ulterieurs Oui Liste publique, notification, possibilite d’objection
Assistance droits des personnes Oui Outils d’export et de suppression + engagement d’assistance
Suppression/restitution en fin de contrat Oui Export disponible + suppression apres resiliation
Audits Partiel Rapports de certification (SOC 2, ISO 27001), pas d’audit sur site
Transferts hors UE Oui CCT + DPF + hebergement EU

Points forts du DPA Pipedrive : pour un CRM destine aux PME, la couverture est solide et conforme aux exigences de l’article 28. Le document est plus court et plus lisible que ceux de HubSpot ou Salesforce, ce qui est un avantage pratique pour les organisations sans juriste dedie. La liste des sous-traitants ulterieurs est publique et relativement courte (benefice d’un ecosysteme moins complexe).

Points d’attention : comme pour HubSpot, le droit d’audit est limite aux rapports de certification. Pipedrive ne propose pas d’audit sur site. Pour la grande majorite des PME, les rapports SOC 2 et ISO 27001 constituent une preuve suffisante, mais les organisations soumises a des exigences sectorielles fortes devront evaluer cette limitation.

La chaine de sous-traitants ulterieurs de Pipedrive est plus courte que celle de HubSpot ou Salesforce, ce qui simplifie votre propre analyse de conformite et reduit la surface de risque liee aux transferts en cascade.

Transferts internationaux et TIA

Pipedrive presente un profil de transfert interessant : fonde en Estonie (Etat membre de l’UE), l’entreprise a ensuite etabli son siege social a New York (Etats-Unis) tout en conservant une presence technique majeure en Europe (Tallinn, Dublin, Lisbonne). Cette double identite EU/US a des consequences directes sur l’analyse des transferts.

Hebergement des donnees

Pipedrive heberge les donnees de ses clients europeens dans des data centers situes a Francfort (Allemagne), sur infrastructure AWS. L’hebergement EU est le choix par defaut pour les comptes crees depuis l’Europe – un avantage par rapport a d’autres CRM americains ou l’hebergement EU doit etre explicitement active.

Les donnees au repos (contacts, deals, emails, fichiers) sont stockees en Europe. Certains traitements peuvent impliquer un transit vers les Etats-Unis, notamment pour certains services d’infrastructure.

Base juridique pour les transferts

Pipedrive est certifie au EU-US Data Privacy Framework (DPF). Le DPA integre les clauses contractuelles types (CCT) comme mecanisme complementaire. L’origine estonienne de l’equipe technique et la localisation europeenne de l’hebergement reduisent naturellement le volume de transferts transatlantiques.

Analyse d’impact des transferts (TIA)

Resume pratique de la TIA pour Pipedrive :

  • Legislation du pays destinataire : en tant qu’entreprise americaine (siege a New York), Pipedrive est soumise a la legislation americaine (section 702 FISA, EO 12333, CLOUD Act). Les garanties de l’Executive Order 14086 et du DPF s’appliquent.
  • Mesures supplementaires : chiffrement en transit (TLS 1.2+) et au repos (AES-256), hebergement EU par defaut, equipe technique majoritairement basee en UE (Estonie), chaine de sous-traitants plus courte que les grands CRM americains, acces aux donnees limite et journalise.
  • Evaluation : le risque residuel est faible. La combinaison d’un hebergement EU par defaut, d’une equipe technique europeenne, et d’une chaine de sous-traitants plus courte place Pipedrive dans une position favorable par rapport aux CRM purement americains pour les donnees commerciales standard.

Recommandation pratique : verifiez que votre compte est bien heberge en EU (c’est normalement le defaut), documentez votre TIA, et maintenez les CCT comme mecanisme de secours. Pour plus de details sur les mecanismes de transfert de donnees hors UE, consultez notre guide dedie.

Securite informatique

Pipedrive dispose d’un programme de securite solide pour un CRM de sa taille, avec des certifications reconnues :

  • SOC 2 Type II : audit annuel portant sur la securite et la disponibilite
  • ISO 27001 : certification du systeme de management de la securite de l’information
  • Chiffrement : AES-256 au repos, TLS 1.2+ en transit
  • Authentification : MFA disponible (TOTP, compatible avec les applications d’authentification standard), SSO via SAML 2.0 pour les comptes Enterprise et Advanced
  • Controle d’acces : permissions par role (admin, manager, regular user), visibilite configurable par equipe
  • Equipe securite basee en UE : l’equipe d’ingenierie et de securite est majoritairement basee a Tallinn (Estonie), ce qui constitue un avantage en termes de juridiction pour les donnees europeennes
  • Infrastructure : AWS EU (Francfort), avec les garanties de disponibilite et de securite physique associees

Un point notable : l’origine estonienne de Pipedrive n’est pas anecdotique en matiere de securite. L’Estonie est reconnue comme l’un des pays les plus avances au monde en matiere de cybersecurite et de gouvernance numerique (e-residency, X-Road, centre d’excellence OTAN de cyberdefense a Tallinn). L’equipe technique de Pipedrive beneficie de cet ecosysteme.

Ces plateformes CRM investissent des sommes considerables dans leur infrastructure de securite. Le niveau de protection est largement superieur a ce qu’une PME francaise typique pourrait batir. Votre obligation au titre du RGPD est de verifier et documenter ces mesures – pas de les egaliser. Demandez le rapport SOC 2 Type II via le Trust Center de Pipedrive et conservez-le dans votre dossier de conformite.

Configuration recommandee pour la conformite RGPD

  1. Verifier l’application du DPA. Le DPA de Pipedrive s’applique automatiquement via les conditions generales. Telechargez-en une copie depuis la page Privacy de Pipedrive et conservez-la dans votre dossier de conformite.

  2. Confirmer l’hebergement EU. Verifiez dans Settings > Company Settings que votre instance est hebergee en EU. Pour les comptes crees depuis l’Europe, c’est normalement le cas par defaut. En cas de doute, contactez le support Pipedrive.

  3. Configurer les durees de conservation. Pipedrive ne supprime pas automatiquement les anciens contacts. Mettez en place une routine reguliere (trimestrielle ou semestrielle) de nettoyage des contacts inactifs. Utilisez les filtres avances pour identifier les contacts sans activite depuis une periode definie, puis supprimez-les ou archivez-les.

  4. Desactiver les fonctionnalites d’enrichissement non necessaires. Si vous n’utilisez pas activement Prospector ou Web Visitors, desactivez-les dans Settings > Tools and Apps. Ces fonctionnalites impliquent des traitements de donnees supplementaires (y compris des donnees issues de sources tierces) qui ajoutent de la complexite a votre conformite.

  5. Auditer les integrations. Dans Settings > Tools and Apps > Integrations, verifiez chaque application tierce connectee a votre Pipedrive. Chaque integration represente un flux de donnees potentiel vers un sous-traitant additionnel. Supprimez les integrations que vous n’utilisez plus.

  6. Configurer les permissions. Pipedrive offre des niveaux de permission (admin, manager, utilisateur standard) et des parametres de visibilite par equipe. Appliquez le principe du moindre privilege : un commercial ne doit voir que les deals de son equipe, pas ceux de toute l’entreprise. Activez le MFA pour tous les utilisateurs.

  7. Parametrer la synchronisation email. Si vous utilisez la synchronisation email de Pipedrive, sachez que les emails sont stockes dans le CRM. Definissez une politique claire : quels emails sont synchronises, pendant combien de temps, et informez vos interlocuteurs si necessaire (mention dans la signature email par exemple).

  8. Documenter dans le registre. Ajoutez Pipedrive dans votre registre des traitements en precisant : finalite (gestion commerciale, prospection), base legale (interet legitime pour le B2B, consentement le cas echeant), categories de donnees, durees de conservation, transferts vers les Etats-Unis, et mesures de securite.

Points d’attention specifiques a Pipedrive

LeadBooster et Prospector : enrichissement de donnees

Prospector est la fonctionnalite de Pipedrive qui permet de rechercher des contacts professionnels dans une base de donnees tierce et de les ajouter directement a votre CRM. Du point de vue du RGPD, cela souleve deux questions specifiques.

Premierement, l’article 14 du RGPD s’applique : lorsque vous obtenez des donnees personnelles autrement que directement aupres de la personne concernee, vous devez l’informer dans un delai raisonnable (au maximum un mois). Concretement, si vous ajoutez un contact via Prospector, vous devez l’informer de la source de ses donnees et de la base legale de votre traitement lors de votre premier contact.

Deuxiemement, la base legale de ce traitement doit etre soigneusement evaluee. L’interet legitime est generalement invoque pour la prospection B2B, mais vous devez documenter votre balance des interets et vous assurer que le contact n’a pas exerce son droit d’opposition.

Web Visitors : identification des entreprises

La fonctionnalite Web Visitors identifie les entreprises qui visitent votre site web en croisant les adresses IP avec des bases de donnees professionnelles. Il ne s’agit pas de donnees personnelles au sens strict (identification de l’entreprise, pas de l’individu), mais la prudence est de mise : dans certains cas, l’identification de l’entreprise combinee a d’autres informations peut conduire a l’identification d’une personne physique.

Ecosysteme plus simple = risque moindre

Un avantage de Pipedrive par rapport a HubSpot ou Salesforce est la relative simplicite de son ecosysteme. Le nombre d’integrations tierces disponibles est plus limite, la chaine de sous-traitants est plus courte, et les flux de donnees sont plus previsibles. Pour une PME qui cherche a maintenir une conformite RGPD simple et maitrisable, c’est un argument en faveur de Pipedrive. Moins de complexite signifie moins de points de controle, moins de DPA a verifier, et moins de risque de flux de donnees non documentes.

FAQ

Pipedrive est-il conforme au RGPD ?

Pipedrive fournit les elements necessaires a une utilisation conforme : DPA couvrant l’article 28, hebergement EU par defaut, certifications SOC 2 et ISO 27001, outils d’export et de suppression des donnees. La conformite effective depend neanmoins de votre configuration : gestion des durees de conservation, parametrage des fonctionnalites d’enrichissement, et documentation de vos traitements dans votre registre.

Faut-il signer un DPA avec Pipedrive ?

Le DPA de Pipedrive s’applique automatiquement via les conditions generales de service. Vous n’avez pas de signature separee a effectuer. Telechargez une copie du DPA et de la politique de confidentialite de Pipedrive, et conservez-les dans votre dossier de conformite comme preuve de l’encadrement contractuel du traitement.

Pipedrive transfere-t-il des donnees hors de l’UE ?

Pipedrive heberge les donnees des clients europeens en EU (Francfort) par defaut. Cependant, en tant qu’entreprise dont le siege est aux Etats-Unis, certains transferts transatlantiques peuvent avoir lieu (infrastructure, support). Pipedrive est certifie DPF et applique les CCT. Le profil de transfert de Pipedrive est globalement favorable grace a son heritage europeen et a son equipe technique basee en Estonie.

Comment gerer les donnees obtenues via Prospector au regard du RGPD ?

Les donnees obtenues via Prospector sont des donnees collectees indirectement. L’article 14 du RGPD vous oblige a informer les personnes concernees de la collecte de leurs donnees, de la source, et de la base legale, dans un delai maximal d’un mois. Concretement, lors de votre premier email ou appel a un contact obtenu via Prospector, indiquez la source des donnees et offrez un moyen simple d’exercer le droit d’opposition. Documentez votre balance des interets au titre de l’interet legitime et respectez les listes d’opposition (Bloctel pour le B2C telephonique).

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min