HubSpot et RGPD en 2026 : utilisation conforme du CRM américain

HubSpot est l'un des CRM les plus utilisés par les PME et startups en France. Mais c'est un service américain (entité légale aux US), ce qui pose plusieurs questions RGPD : transfert de données hors UE, sous-traitance, consentement marketing, tracking on-site. Voici comment l'utiliser en conformité.

Les trois enjeux RGPD de HubSpot

1. Transfert de données hors UE

HubSpot Inc. est basé aux États-Unis. Vos contacts, deals, emails, données de tracking sont traités sur leur infra (avec option région EU sur certains plans, mais entité légale reste US).

C'est un transfert hors UE, encadré depuis 2023 par le Data Privacy Framework (DPF). HubSpot Inc. est certifié au DPF, ce qui permet le transfert dans un cadre légal — à condition de l'inscrire dans votre politique de confidentialité.

Détails sur le DPF, Schrems II et les SCC dans notre guide transferts hors UE.

2. Sous-traitance (DPA)

HubSpot traite vos données clients pour votre compte : c'est un sous-traitant au sens article 28 RGPD. Vous devez avoir un DPA signé. HubSpot propose un DPA standard intégré à ses CGU pro, généralement déjà accepté lors de la souscription. Vérifiez-le dans votre compte (Account → Privacy → Data Processing Agreement).

Pour le détail des obligations DPA, voir notre guide sous-traitant DPA 2026.

3. Consentement marketing et tracking

HubSpot pose des cookies (chat widget, formulaires, tracking on-page) et envoie des emails marketing. Deux obligations distinctes :

• Cookies tiers : consentement explicite obligatoire via bannière (voir bannière cookie conforme).
• Emails marketing : opt-in préalable (sauf B2B sur adresse pro avec opt-out + intérêt légitime documenté — cf. prospection commerciale RGPD).

Configurer HubSpot pour être conforme

Étape 1 — Activer la conformité RGPD native HubSpot

Dans HubSpot : Settings → Privacy & Consent → GDPR. Activez :

• GDPR functionality : ajoute les cases à cocher de consentement aux formulaires.
• Cookie consent banner : OK si vous n'avez pas déjà une CMP. Sinon désactivez-le pour éviter le doublon avec votre solution de bannière externe.
• Subscription types : créez des types d'abonnement distincts (newsletter, offres commerciales, événements) pour un consentement granulaire.

Étape 2 — Bloquer le tracking HubSpot sans consentement

Le code de tracking HubSpot (analytics JS, chat widget) pose des cookies AVANT consentement par défaut. Pour être conforme CNIL :

1. Soit utiliser le mode Consent Mode de HubSpot (paramètre dans Settings → Privacy).
2. Soit conditionner le chargement du script au consentement utilisateur via votre CMP (notre bannière ConformeRGPD le fait nativement).

Sans ça, vous tombez sous le même reproche que Google Analytics avant le Consent Mode v2 (cf. notre guide Consent Mode v2).

Étape 3 — Mentionner HubSpot dans la politique de confidentialité

Section type à inclure :

"Nous utilisons HubSpot Inc. (États-Unis), certifié au Data Privacy Framework, comme outil de gestion de la relation client et de marketing automation. Les données traitées sont : [identité, email, téléphone, historique de communication, comportement de navigation sur notre site, etc.]. Base légale : [exécution du contrat / intérêt légitime / consentement]. Durée de conservation : [3 ans après dernier contact pour les prospects, durée du contrat pour les clients]. HubSpot agit en tant que sous-traitant et est lié par un DPA. Plus d'informations sur sa politique : hubspot.com/legal/privacy-policy."

Modèle complet de politique de confidentialité : politique de confidentialité 2026.

Étape 4 — Gérer les droits RGPD

Un contact qui demande accès, rectification ou effacement :

• Accès : exporter sa fiche depuis HubSpot CRM (CSV ou via API).
• Rectification : modifier directement les champs.
• Effacement : GDPR DELETE (Settings → Privacy → Permanently delete contact). Attention : suppression définitive, non récupérable.

⚠️ Différence importante : "delete" simple = corbeille (récupérable 90 jours). GDPR delete = irréversible, conforme article 17. Utilisez le bon bouton.

Procédure détaillée : demande d'effacement RGPD.

Étape 5 — Durée de conservation

HubSpot ne purge pas automatiquement. À vous de définir et appliquer une politique :

• Prospects inactifs > 3 ans : effacement automatique via workflow HubSpot.
• Anciens clients > durée contractuelle + délai légal : effacement.
• Listes marketing : nettoyage trimestriel (bounces hard, unsubs, inactifs > 12 mois).

Voir notre guide durée de conservation RGPD pour les durées par type de donnée.

Alternatives européennes au CRM HubSpot

Si vous voulez éviter le transfert hors UE :

• Pipedrive (Estonie/UE) — CRM ventes, simple, EU hosting.
• Brevo (ex-Sendinblue, France) — CRM + emailing + marketing automation, infra UE.
• Axonaut (France) — CRM + facturation, 100% souverain, prix attractif TPE/PME.
• Salesflare (Belgique) — CRM ventes B2B, mature, hosting EU.

Évaluation honnête : HubSpot reste largement plus complet sur le marketing automation. La question est : avez-vous vraiment besoin de cette profondeur, ou un acteur EU couvrirait-il votre cas ?

Checklist conformité HubSpot

• [ ] DPA HubSpot accepté (vérifié dans Settings → Privacy)
• [ ] HubSpot mentionné dans la politique de confidentialité (avec DPF + finalités + durée)
• [ ] Tracking conditionné au consentement (Consent Mode ou via CMP externe)
• [ ] Subscription types créés pour un consentement granulaire
• [ ] Workflow d'effacement automatique des contacts inactifs > X années
• [ ] Procédure d'effacement RGPD documentée (utiliser GDPR DELETE, pas delete simple)
• [ ] HubSpot inscrit dans votre registre des traitements

Scannez votre site gratuitement pour détecter les scripts HubSpot qui se chargent avant consentement.