Zoho CRM et RGPD : guide de conformité 2026
Zoho CRM est-il conforme au RGPD ? Datacenter UE, transferts, DPA, base légale de prospection et configuration recommandée.
- Zoho CRM est un sous-traitant : à vous le rôle de responsable de traitement
- Le vrai angle mort : héberger dans l’UE ne fait pas de Zoho une entreprise européenne
- Le positionnement « vie privée » de Zoho : un atout réel, mais pas un blanc-seing
- Le cœur du sujet pour un CRM : la base légale de la prospection
- Sécurité : une responsabilité partagée
- Information et droits des personnes
- Ce qu’il faut retenir
- FAQ
Zoho CRM est l’une des alternatives les plus populaires à Salesforce et HubSpot sur le marché français, en particulier auprès des PME séduites par son tarif et par le discours « pro-vie privée » de l’éditeur. Mais une question revient sans cesse dans mes échanges avec des dirigeants : « Zoho héberge en Europe, donc je suis tranquille pour le RGPD ? » La réponse est plus nuancée — et l’angle mort se situe rarement là où on l’attend.
Zoho CRM est un sous-traitant : à vous le rôle de responsable de traitement
Quand vous utilisez Zoho CRM pour gérer vos contacts, vos leads et votre pipeline commercial, c’est vous qui décidez quelles données vous collectez, pourquoi et combien de temps vous les conservez. Vous êtes donc responsable de traitement au sens de l’Art. 4(7) du RGPD. Zoho Corporation, qui traite ces données pour votre compte et selon vos instructions, est sous-traitant au sens de l’Art. 28.
Cette qualification a une conséquence directe : le contrat de sous-traitance (DPA, Data Processing Addendum) prévu par l’Art. 28(3) est obligatoire. Zoho propose un avenant de traitement des données fondé sur les clauses contractuelles types, accessible depuis son centre de confiance. Première action concrète : récupérez-le, vérifiez qu’il est bien rattaché à votre compte, et conservez-en une copie dans votre dossier de conformité. Sans DPA signé, vous êtes en infraction caractérisée, quelle que soit la qualité technique de l’outil.
Le vrai angle mort : héberger dans l’UE ne fait pas de Zoho une entreprise européenne
C’est le point que la plupart des articles passent sous silence. Zoho dispose bien de deux datacenters européens — Amsterdam (Pays-Bas) et Dublin (Irlande) — accessibles via le domaine zoho.eu. Si vous choisissez cette région, vos données CRM sont stockées et sauvegardées exclusivement sur le sol européen. Pour le stockage, il n’y a alors pas de transfert au sens du chapitre V du RGPD.
Mais l’hébergement ne dit pas tout. Zoho Corporation est une multinationale d’origine indienne, dont le siège opérationnel est à Chennai et dont l’entité de tête est immatriculée à Austin, au Texas. Or :
- L’Inde ne bénéficie d’aucune décision d’adéquation de la Commission européenne (contrairement, par exemple, au Royaume-Uni ou à la Suisse) ;
- Une maison mère immatriculée aux États-Unis expose potentiellement le groupe à une législation extraterritoriale de type CLOUD Act.
Autrement dit : vos données peuvent reposer physiquement à Amsterdam tout en étant administrées par un groupe soumis à des droits tiers. C’est exactement la situation que j’observe aussi avec les hyperscalers américains hébergeant en Europe — j’y reviens en détail dans mon analyse du cloud et du RGPD. La conséquence pratique : le DPA et ses clauses contractuelles types ne sont pas une formalité, ils constituent votre filet de sécurité juridique pour les accès distants et les éventuels transferts hors UE au sein du groupe ou via ses sous-traitants ultérieurs. Vérifiez la liste des sous-traitants publiée par Zoho et les garanties associées.
Le piège de configuration à connaître absolument
Le choix du datacenter se fait au moment de l’inscription, en fonction du pays déclaré (pré-rempli selon votre adresse IP). Une fois le compte créé, les données restent dans le datacenter d’origine et ne migrent pas automatiquement : un changement de région exige une demande de migration spécifique auprès de Zoho.
Conséquence : si un collaborateur a créé le compte depuis le domaine zoho**.com** (datacenter américain) au lieu de zoho**.eu**, vos données françaises peuvent se trouver hébergées aux États-Unis sans que personne ne s’en soit aperçu. Vérifiez dès aujourd’hui dans quel datacenter votre compte est rattaché (l’URL de connexion et les paramètres du compte l’indiquent). C’est le contrôle le plus rentable que vous puissiez faire en cinq minutes.
Le positionnement « vie privée » de Zoho : un atout réel, mais pas un blanc-seing
À la différence de beaucoup d’acteurs, Zoho revendique de ne tirer aucun revenu publicitaire, de ne pas vendre les données de ses clients et de désactiver les cookies publicitaires tiers sur ses produits. C’est un argument sérieux et différenciant, qui réduit certains risques en aval.
Mais attention au raccourci : ce positionnement engage Zoho en tant que sous-traitant sur l’usage qu’il fait des données. Il ne vous exonère en rien de vos obligations de responsable de traitement — base légale, information, durées de conservation, sécurité, droits des personnes. Un bon sous-traitant facilite votre conformité ; il ne la produit pas à votre place.
Le cœur du sujet pour un CRM : la base légale de la prospection
Un CRM n’est pas un simple outil de stockage : c’est une machine à prospecter. Et c’est là que se concentrent la plupart des non-conformités que je constate. La question n’est pas « Zoho est-il conforme ? » mais « le traitement que je fais transiter par Zoho est-il licite ? » au sens de l’Art. 6.
En B2C, l’envoi d’emails ou de SMS de prospection suppose en principe le consentement préalable de la personne (Art. 6(1)(a) et art. L34-5 du CPCE). En B2B, la CNIL admet que la prospection puisse reposer sur l’intérêt légitime (Art. 6(1)(f)), à condition que le message concerne l’activité professionnelle de la personne, que les données aient été collectées loyalement et que l’opposition reste simple à exercer. Je détaille l’ensemble de ces règles dans mon guide dédié à la prospection commerciale et au RGPD.
Trois réflexes à intégrer dans votre paramétrage Zoho :
- Documentez la base légale par finalité dans votre registre des activités de traitement. Un même CRM héberge souvent plusieurs traitements (prospection, gestion clients, support) avec des bases légales différentes.
- Respectez la durée de conservation des prospects. La CNIL recommande de ne pas conserver les données d’un prospect au-delà de 3 ans après le dernier contact resté sans réponse (Art. 5(1)(e)). Configurez des règles de purge ou d’anonymisation : un CRM qui accumule des leads « morts » depuis cinq ans est un risque, pas un actif. Voir mon article sur la durée de conservation des données.
- Traitez le droit d’opposition comme prioritaire. En matière de prospection, le droit d’opposition de l’Art. 21 est absolu : aucune justification n’est exigée de la personne. Le lien de désabonnement doit être fonctionnel et la désinscription répercutée immédiatement dans Zoho.
Minimisation : votre CRM n’est pas une base de renseignement
La tentation, avec un CRM riche en champs personnalisés et en fonctions d’enrichissement, est de tout collecter « au cas où ». Le principe de minimisation de l’Art. 5(1)© impose l’inverse : chaque champ doit être justifié par une finalité. Méfiez-vous particulièrement des champs libres (« notes » commerciales) où peuvent se glisser des informations excessives, voire des données sensibles (santé, opinions, appartenance syndicale) qui n’ont rien à faire dans un fichier de prospection.
Sécurité : une responsabilité partagée
L’Art. 32 impose des mesures de sécurité adaptées. Zoho assure sa part : chiffrement en transit et au repos, certifications, hébergement sécurisé. Mais une partie majeure de la sécurité dépend de votre configuration :
- Gestion fine des rôles et profils : tous vos commerciaux n’ont pas besoin d’accéder à l’intégralité de la base. Appliquez le principe du moindre privilège.
- Authentification multifacteur (MFA) pour tous les comptes, et révocation immédiate au départ d’un collaborateur.
- Maîtrise des clés API et des intégrations : une clé API exposée, c’est potentiellement toute votre base contacts qui fuite. Les connecteurs tiers (formulaires, marketing, téléphonie) sont autant de sous-traitants ultérieurs à recenser.
- Encadrement des usages dans une charte informatique opposable.
En cas de violation de données, l’Art. 33 vous impose, en tant que responsable de traitement, de notifier la CNIL dans les 72 heures. Zoho doit vous alerter sans délai en cas d’incident de son côté ; à vous d’apprécier et de déclarer.
Information et droits des personnes
N’oubliez pas l’amont : l’Art. 13 impose d’informer les personnes dès la collecte (finalités, base légale, durée, destinataires, transferts). Vos formulaires de contact et de capture de leads alimentant Zoho doivent comporter cette information et un lien vers votre politique de confidentialité.
En aval, vous devez pouvoir répondre aux demandes d’exercice de droits : droit d’accès (Art. 15) et droit à l’effacement (Art. 17) notamment. Les fonctions d’export et de suppression de Zoho CRM vous aident à les honorer dans le délai d’un mois — encore faut-il avoir identifié où sont les données et qui peut traiter la demande.
Ce qu’il faut retenir
- Vous êtes responsable de traitement, Zoho est sous-traitant. Le DPA fondé sur l’Art. 28(3) est obligatoire : récupérez-le et archivez-le.
- Héberger dans l’UE ≠ être une entreprise européenne. Zoho est un groupe d’origine indienne immatriculé aux États-Unis ; l’Inde n’a pas de décision d’adéquation. Le DPA et ses clauses contractuelles types restent votre filet de sécurité pour les transferts.
- Vérifiez votre datacenter. Le choix se fait à l’inscription et ne change pas tout seul : assurez-vous d’être sur zoho.eu (UE) et non sur le datacenter américain.
- La conformité d’un CRM se joue sur la prospection : base légale (consentement B2C / intérêt légitime B2B encadré), durée de conservation de 3 ans, droit d’opposition absolu, minimisation des champs.
- La sécurité est partagée : rôles, MFA, clés API et intégrations relèvent de votre paramétrage.
FAQ
Zoho CRM est-il conforme au RGPD ?
Zoho CRM fournit les briques nécessaires à la conformité (datacenter UE optionnel, DPA fondé sur les clauses contractuelles types, chiffrement, fonctions d’export et d’effacement). Mais la conformité dépend surtout de votre usage : base légale, datacenter correctement choisi, durées de conservation, sécurité du paramétrage. L’outil ne vous rend pas conforme à lui seul.
Où sont hébergées les données de Zoho CRM en Europe ?
Si vous vous inscrivez via zoho.eu, vos données sont stockées dans les datacenters européens de Zoho (Amsterdam et Dublin), sauvegardes comprises. Attention : le datacenter est figé au moment de l’inscription et ne migre pas automatiquement. Vérifiez que votre compte n’a pas été créé sur le datacenter américain (zoho.com).
Faut-il signer un DPA avec Zoho ?
Oui. Le contrat de sous-traitance prévu par l’Art. 28(3) du RGPD est obligatoire dès lors que Zoho traite des données personnelles pour votre compte. Zoho met à disposition un avenant de traitement des données ; assurez-vous qu’il est rattaché à votre compte et conservez-en une copie.
Puis-je faire de la prospection B2B avec Zoho CRM sans consentement ?
En B2B, la CNIL admet la prospection sur la base de l’intérêt légitime, sans consentement préalable, si le message concerne l’activité professionnelle du destinataire, si les données ont été collectées loyalement et si l’opposition reste simple. En B2C, le consentement préalable reste la règle pour les emails et SMS. Dans tous les cas, le droit d’opposition de l’Art. 21 doit être respecté immédiatement.
Vous souhaitez recevoir nos analyses de conformité RGPD chaque semaine, y compris nos décryptages d’outils et de décisions CNIL ? Inscrivez-vous à notre newsletter — concret, à jour, sans jargon inutile.