Conditionally compliant·Non-EU transfer detected
Legal mechanism: Data Privacy Framework + SCC + DPA HubSpot. Hébergement EU optionnel (Frankfurt) recommandé.
Cookies set by this tool
Detected during standard use. Must be declared in your cookie policy.
| Name | Type | Purpose | Duration |
|---|---|---|---|
| hubspotutk | premier | Identification utilisateur cross-domain HubSpot | 6 mois |
| _hssc | premier | Compteur sessions HubSpot | 30 min |
| _hssrc | premier | Identifie nouvelle session | Session |
| __hstc | premier | Tracking visiteurs (visites, timestamp, source) | 6 mois |
Associated trackers:js.hs-scripts.comtrack.hubspot.comapi.hubapi.comforms.hubspot.com
GDPR risks to know
- Tracking cookies HubSpot déclenchés par défaut avant consentement
- Hébergement US par défaut = transferts massifs
- Intégrations tierces (Zapier, Slack, OpenAI Content Assistant) multiplient chaînes de sous-traitance
- Lead scoring + tracking comportemental = profilage RGPD strict
- Workflows automatisés peuvent constituer décisions automatisées (Art. 22 RGPD)
Configure HubSpot compliantly
Configuration RGPD-compliant pour HubSpot :
1. **Choisir l'hébergement EU à la souscription** : option payante mais essentielle pour souveraineté. Si déjà US : migration vers EU possible sous conditions.
2. **Activer GDPR Compliance Tools** : Settings > Privacy > GDPR. Active consentement granulaire forms, lawful basis tracking.
3. **Bloquer scripts tracking avant consentement** : utiliser CMP pour empêcher chargement js.hs-scripts.com. Tag Manager recommandé.
4. **Activer Cookie Banner HubSpot ou intégrer CMP tierce** : Settings > Tracking & Analytics > Cookie consent banner.
5. **Signer le DPA HubSpot** : Account > Account & Billing > Sign DPA. Disponible avec DPF mention.
6. **Auditer intégrations** : chaque app Marketplace = sous-traitant potentiel. Lister, signer DPA respectifs, mentionner dans politique.
7. **Encadrer fonctionnalités IA** : ChatSpot et Content Assistant envoient données vers OpenAI. Désactiver pour données sensibles client. Consentement client B2B si activé.
8. **Mentionner dans politique** : HubSpot comme sous-traitant principal, hébergement (US ou EU), DPF, cookies déposés, finalité tracking, droit opposition.
GDPR-friendly alternatives to HubSpot
Solutions hosted in EU or with strong legal framework.
Pipedrive
EstonieCRM européen, hébergement EU, conformité RGPD native. Plus simple que HubSpot. Tarifs : 14-99 €/mois/user.
Brevo CRM (ex-Sendinblue)
FranceCRM + marketing automation + email, hébergement EU, RGPD-friendly. Tarifs : 19-69 €/mois.
Salesflare
BelgiqueCRM B2B européen, hébergement EU, focus simplicité. Tarifs : 29-99 €/mois/user.
Is this tool active on your site?
RGPDScan automatically detects 400+ SaaS tools on your website and alerts you on associated GDPR risks.
Scan my site for freeFrequently asked questions
HubSpot est-il conforme RGPD en 2026 ?
Conditionnellement oui : DPA signé, DPF actif, hébergement EU recommandé, blocage tracking avant consentement. Configuration par défaut non-conforme — paramétrage obligatoire.
Combien coûte l'hébergement EU HubSpot ?
Supplément variable selon volume (typiquement +10-25% sur licence). Disponible uniquement à la souscription ou via migration encadrée. Recommandé pour conformité.
Mon CRM HubSpot peut-il être audité par la CNIL ?
Oui en cas de plainte ou contrôle sectoriel. Contenu B2B audité (contacts, deals, emails). Vérifier durées conservation (3 ans après dernier contact pour prospects).
Quelle alternative française gratuite à HubSpot ?
Brevo CRM (gratuit jusqu'à 250 contacts), HubSpot CRM gratuit reste populaire malgré RGPD. EspoCRM (open-source self-hosted), SuiteCRM gratuit.
Les workflows HubSpot constituent-ils profilage automatique ?
Si décisions automatisées sans intervention humaine impactant fortement personne (Art. 22 RGPD) : oui. Lead scoring + envoi automatisé = limite. Audit recommandé.
Puis-je utiliser ChatSpot (IA HubSpot) en RGPD ?
Avec prudence : ChatSpot envoie données vers OpenAI USA. DPA OpenAI nécessaire. Pour données clients : anonymisation préalable ou désactivation recommandée.