Sécurité des données IA HubSpot : guide RGPD 2026

L'adoption de l'intelligence artificielle dans HubSpot transforme les opérations marketing, mais soulève une question critique pour les responsables marketing : comment exploiter Breeze, l'IA native de HubSpot, sans compromettre la sécurité des données IA HubSpot ni violer le RGPD ? En 2025, la CNIL a prononcé 486,8 millions d'euros d'amendes, un montant multiplié par neuf en un an. Ce guide détaille les protections natives de HubSpot, vos obligations en tant que responsable de traitement, et la checklist concrète pour sécuriser vos usages IA dès aujourd'hui.

En bref : Sécurité des données IA dans HubSpot

HubSpot Breeze applique trois protections natives : Zero Data Retention, EU Regional Data Control et Data Masking.
Les données traitées par les fournisseurs IA tiers de HubSpot sont supprimées immédiatement après traitement LLM.
Les clients européens peuvent activer un traitement IA 100 % intra-européen, sans configuration supplémentaire.
HubSpot dispose d'un rapport SOC 2 Type 2 et d'un rapport SOC 3 public ; l'infrastructure repose sur AWS (certifié ISO 27001).
La fonctionnalité Sensitive Data est réservée aux comptes Enterprise et exclut les propriétés sensibles de l'entraînement des modèles.
Vous restez data controller : HubSpot fournit les outils, mais vos politiques internes et votre DPA sont obligatoires.
Une checklist en 7 étapes permet de configurer une gouvernance IA conforme en moins d'une journée.

Pourquoi la sécurité des données IA est devenue critique en 2026

Pour un responsable marketing, l'IA générative dans le CRM n'est plus une option : elle automatise la qualification de leads, rédige les séquences d'emails et synthétise les conversations. Mais chaque prompt envoyé à un modèle IA est un transfert de données potentiellement personnelles. Sans cadre, ce transfert engage votre responsabilité au titre du RGPD, comme le rappelle notre article sur la mise en conformité RGPD.

La pression réglementaire CNIL atteint un niveau historique

Selon le rapport annuel 2025 de la CNIL publié en mai 2026, l'autorité française a prononcé 486,8 millions d'euros d'amendes en 2025, contre 55 millions l'année précédente, soit une multiplication par neuf. Les notifications de violations de données ont également bondi à 17 802 incidents déclarés en 2025, contre 5 630 en 2024.

Plus déterminant pour les usages IA : depuis août 2025, la CNIL est officiellement l'une des autorités françaises de régulation de l'intelligence artificielle, au titre du règlement européen IA Act. Elle peut donc contrôler simultanément le respect du RGPD et du règlement IA sur les mêmes systèmes. Un responsable marketing qui déploie un agent IA pour scorer ses leads ou personnaliser ses emails s'expose à un double risque de sanction.

Le paradoxe du responsable marketing

Vous êtes pris entre deux feux. D'un côté, votre direction attend que l'IA accélère la production de contenus, la qualification commerciale et l'enrichissement de la base CRM. De l'autre, votre DPO et votre DSI exigent que chaque outil IA respecte la confidentialité des données IA CRM, la traçabilité des accès et l'hébergement européen. Comment concilier vitesse et conformité ? La question rejoint celle, plus large, du référencement à l'ère des IA génératives (GEO) : on ne peut plus dissocier performance marketing et gouvernance des données.

La réponse passe par le choix d'un environnement IA qui intègre la sécurité dès la conception, plutôt que par l'empilement d'outils tiers (ChatGPT, Claude, Gemini) connectés à votre CRM via des intégrations non gouvernées. C'est précisément la promesse de HubSpot Breeze : une IA native qui hérite des contrôles de sécurité de la plateforme HubSpot.

Le risque du shadow AI dans les équipes marketing

Le « shadow AI » désigne l'usage non encadré d'outils IA grand public par les collaborateurs : copier-coller de listes de prospects dans ChatGPT, génération d'emails via des extensions non validées, exports de données CRM vers des plateformes externes. Chaque action de ce type peut constituer un transfert non autorisé de données personnelles vers un sous-traitant non répertorié dans votre registre RGPD. C'est l'une des dérives que nous documentons dans notre dossier sur la prospection IA.

En centralisant l'IA dans HubSpot Breeze, vous reprenez la maîtrise : tous les traitements IA sont tracés, soumis aux mêmes contrôles d'accès que le reste du CRM, et couverts par le contrat de sous-traitance HubSpot.

Comment HubSpot Breeze sécurise vos données IA : le framework 2026

HubSpot a structuré sa stratégie de sécurité des données IA HubSpot autour de trois piliers techniques, documentés publiquement sur sa page AI Trust officielle et confirmés par Nicholas Holland, head of AI chez HubSpot, dans une déclaration officielle à EMARKETER en avril 2025.

Zero Data Retention : suppression immédiate après traitement LLM

Le principe : lorsqu'une fonctionnalité Breeze envoie une requête à un modèle de langage tiers (par exemple OpenAI), les données transmises sont supprimées immédiatement par le fournisseur IA après traitement de la requête. Aucune information ne reste stockée chez le sous-traitant LLM.

Concrètement, si Breeze résume une conversation client, le contenu de la conversation est traité par le LLM pour produire le résumé, puis effacé du système du fournisseur tiers. Cette politique « zero retention » fait l'objet d'engagements contractuels entre HubSpot et ses fournisseurs IA.

EU Regional Data Control : traitement 100 % européen

Pour les comptes hébergés dans le data center européen de HubSpot (Francfort, Allemagne, disponible depuis juillet 2021), toutes les fonctionnalités LLM s'exécutent intégralement en Europe, sans configuration supplémentaire. Aucun transfert transfrontalier n'est introduit par l'IA.

Cet hébergement régional est un atout fort pour les entreprises soumises au RGPD : il limite les risques liés aux transferts hors UE, sujet qui a alimenté plusieurs sanctions CNIL ces dernières années. Si vous êtes un nouveau client HubSpot, vous pouvez choisir le data center EU dès l'inscription. Si vous êtes client historique, un outil de migration permet de basculer.

Data Masking : anonymisation automatique des données personnelles

Avant qu'un prompt ne soit envoyé au modèle IA, HubSpot applique une couche de masquage automatique des données personnelles. Les éléments identifiants (noms, adresses email, numéros de téléphone) sont détectés et masqués avant traitement LLM. Le modèle traite donc une version anonymisée du contenu, ce qui réduit le risque de fuite de données sensibles HubSpot IA via les logs ou les caches du fournisseur tiers.

Permission-aware AI : Breeze hérite de vos droits CRM

Selon la documentation officielle HubSpot sur Breeze, Breeze respecte strictement le modèle de permissions du CRM. Un utilisateur ne peut interroger via Breeze que les données auxquelles il a déjà accès dans HubSpot. Si un commercial n'a pas le droit de voir un deal, Breeze refusera de générer un résumé de ce deal pour lui. Le même principe s'applique au scoring prédictif et au lead scoring HubSpot.

Par ailleurs, l'activation de certaines fonctionnalités IA générative (comme Breeze Assistant) nécessite des droits Super Admin. Cette restriction empêche un utilisateur standard d'activer involontairement des features qui ouvrent l'accès aux données du compte.

Point d'attention sur Sensitive Data — La fonctionnalité Sensitive Data de HubSpot, qui permet de marquer des propriétés comme sensibles et de les exclure de l'entraînement des modèles IA, est exclusivement disponible sur les éditions Enterprise (Marketing Hub Enterprise, Sales Hub Enterprise, Service Hub Enterprise, Data Hub Enterprise, Content Hub Enterprise, Smart CRM Enterprise, Commerce Hub Enterprise). Si vous êtes sur une édition Professional, vous ne disposez pas de cette couche supplémentaire de chiffrement. À prendre en compte si votre activité traite des données financières, médicales ou des numéros d'identification.

Comparatif sécurité : HubSpot Breeze face aux autres outils IA marketing

Pour aider un responsable marketing à arbitrer, voici un comparatif synthétique des principales solutions IA utilisées dans les équipes B2B, sur les critères de sécurité des données IA HubSpot et de conformité RGPD. Nous distinguons les plateformes IA intégrées au CRM (HubSpot Breeze, Salesforce Einstein, Microsoft Copilot) des LLM généralistes (ChatGPT Business, Anthropic Claude), souvent utilisés en parallèle. Ce tableau s'appuie sur les documentations publiques de chaque éditeur, consultées en mai 2026.

Critère	HubSpot Breeze	Salesforce Einstein	Microsoft Copilot	ChatGPT Business	Anthropic Claude
Hébergement EU natif	Oui (Francfort)	Oui (Hyperforce EU)	Oui (EU Data Boundary)	Oui (Data Residency)	Non en direct (via AWS Bedrock EU ou Vertex EU)
Zero Data Retention	Oui, par défaut	Oui (Einstein Trust Layer)	Oui (no training)	Oui, paramétrable	Oui (ZDR addendum Enterprise)
Pas d'entraînement sur données clients	Oui	Oui	Oui	Oui (Business/Enterprise)	Oui (Commercial Terms)
Masquage auto des données personnelles	Oui (Data Masking)	Oui (Einstein Trust Layer)	Partiel (Purview)	Non natif	Non natif (à gérer côté prompt)
Permissions CRM héritées par l'IA	Oui	Oui	Oui (Graph permissions)	N/A (pas un CRM)	N/A (pas un CRM)
SOC 2 Type II	Oui	Oui	Oui	Oui	Oui
ISO 27001	Oui	Oui	Oui	Oui	Oui (27001:2022 + 42001:2023)
Inclus dans abonnement principal	Oui (Breeze gratuit)	Non (add-on)	Non (licence M365)	Non (forfait dédié)	Non (API ou Enterprise)

Sources : documentations officielles HubSpot, Salesforce, Microsoft, OpenAI, et Anthropic Trust Portal (trust.anthropic.com), consultées en mai 2026.

Lecture du tableau — comment arbitrer ?
Pour un usage CRM intégré (qualification de leads, automatisation, reporting), HubSpot Breeze coche toutes les cases sécurité sans coût additionnel. Les LLM généralistes comme ChatGPT Business ou Anthropic Claude répondent à d'autres besoins (rédaction, analyse documentaire, code) mais ne sont pas conçus pour manipuler des bases de contacts.

Point de vigilance Anthropic Claude : l'API directe n'offre pas encore d'hébergement EU natif. La conformité RGPD passe obligatoirement par AWS Bedrock (régions EU) ou Google Vertex AI (régions EU). Plusieurs autorités (CNIL, DSK allemande) ont émis des réserves sur l'exposition au CLOUD Act des LLM américains hébergés hors UE. Pour les traitements sensibles, Anthropic recommande l'addendum Zero Data Retention couplé à un déploiement via hyperscaler EU.

En pratique, beaucoup d'équipes marketing combinent les deux : Breeze pour tout ce qui touche au CRM et aux données clients, un LLM généraliste pour la production de contenu hors-CRM.

Configurer la sécurité IA dans HubSpot : checklist en 7 étapes

Voici la séquence opérationnelle à suivre pour activer une gouvernance IA conforme dans votre compte HubSpot. Comptez une demi-journée pour un Responsable Marketing accompagné d'un Super Admin.

Vérifier votre édition HubSpot. Identifiez si vous êtes en Starter, Professional ou Enterprise. Sensitive Data et certaines protections avancées ne sont disponibles qu'en Enterprise. Si vous opérez un environnement complexe avec ERP, anticipez aussi les enjeux d'intégration HubSpot vers votre ERP.
Confirmer votre data center. Dans Paramètres > Sécurité du compte, vérifiez que votre data center est bien Francfort (EU). Si vous êtes en US East et que vous opérez en Europe, lancez une demande de migration via la page officielle HubSpot data centers.
Auditer les utilisateurs Super Admin. Listez les comptes avec droits Super Admin. Ces utilisateurs peuvent activer les fonctionnalités IA. Limitez ce rôle au strict nécessaire.
Activer les bons toggles dans AI Settings. Le Super Admin configure : accès aux outils IA générative, accès aux données CRM, accès aux données conversationnelles, accès aux fichiers. La documentation officielle Use Breeze Tools détaille chaque toggle. Réfléchissez à chaque option avant de l'activer.
Signer ou récupérer le DPA HubSpot. Le Data Processing Agreement HubSpot intègre les Clauses Contractuelles Types européennes (SCC 2021/914). Vérifiez aussi la liste à jour des sous-processeurs HubSpot.
Mettre à jour votre politique de confidentialité. Ajoutez une mention explicite : « Nous utilisons l'IA générative de HubSpot Breeze pour [usages]. Les données sont traitées selon les modalités décrites dans le DPA HubSpot. » Sans cette mise à jour, votre information aux personnes concernées est incomplète.
Former vos équipes au shadow AI. Diffusez une charte interne : aucun copier-coller de données CRM dans ChatGPT, Claude ou Gemini sans validation préalable. Listez les outils IA validés et ceux qui ne le sont pas.

Checklist rapide à valider avant lancement IA

Data center HubSpot = EU (Francfort)
Liste à jour des Super Admin
AI Settings configurés selon le principe de moindre privilège
DPA HubSpot signé et archivé
Politique de confidentialité mise à jour
Charte interne « usage IA » diffusée
Registre des traitements RGPD mis à jour

RGPD et IA : vos obligations en tant que data controller HubSpot

Le point juridique le plus mal compris par les responsables marketing : HubSpot est votre sous-traitant, pas votre responsable de traitement. Cette distinction, formalisée dans le HubSpot Security Program, structure toutes vos obligations.

Ce que HubSpot couvre en tant que data processor

Hébergement sécurisé des données (data center EU, chiffrement TLS 1.2/1.3 en transit, AES-256 au repos).
Mise à disposition d'un DPA conforme aux exigences de l'article 28 du RGPD, intégrant les Clauses Contractuelles Types européennes.
Publication de la liste des sous-processeurs avec mécanisme d'objection sous 30 jours.
Outils techniques pour exercer les droits des personnes : « GDPR delete », gestion du consentement, bannières de cookies.
Engagement de niveau de service avec un objectif de disponibilité de 99,95 % par mois calendaire.

Ce qui reste à votre charge en tant que data controller

Définir la base légale de chaque traitement de données personnelles (consentement, intérêt légitime, exécution contractuelle).
Tenir le registre des activités de traitement et y inscrire l'usage de l'IA HubSpot Breeze.
Informer les personnes concernées de l'utilisation de l'IA dans votre politique de confidentialité.
Réaliser une analyse d'impact (AIPD) pour les traitements IA à haut risque, conformément à l'IA Act et au RGPD.
Encadrer contractuellement vos propres sous-traitants tiers (agences, freelances) qui accéderaient à votre HubSpot.
Former vos collaborateurs et appliquer le principe de moindre privilège dans les rôles HubSpot.

Rappel CNIL — Le statut de sous-traitant de HubSpot ne vous décharge d'aucune responsabilité au titre du RGPD. Une sanction CNIL viserait votre entreprise en cas de manquement, pas HubSpot. La conformité HubSpot est une condition nécessaire mais pas suffisante.

Conclusion : transformer la sécurité IA en avantage compétitif

Pour un responsable marketing, la sécurité des données IA HubSpot n'est pas un frein, c'est un accélérateur. Une plateforme qui intègre nativement Zero Data Retention, hébergement EU, masquage automatique et permissions héritées vous permet de déployer l'IA générative sans multiplier les sous-traitants ni les risques RGPD.

Trois actions concrètes à engager cette semaine : vérifier votre data center HubSpot, auditer vos Super Admin et signer (ou retrouver) votre DPA. Vos équipes pourront ensuite exploiter Breeze en confiance, et votre DPO disposera des preuves nécessaires pour défendre vos pratiques.

Vous voulez tester Breeze sur votre propre stack HubSpot ? Découvrez les agents IA HubSpot Breeze ici. Et si vous avez besoin d'un audit de votre configuration HubSpot ou d'un accompagnement RGPD spécifique IA, Mi4, Diamond HubSpot Partner, peut intervenir sur l'ensemble du périmètre.

FAQ — Sécurité des données IA dans HubSpot

Selon la documentation HubSpot sur Sensitive Data, les données saisies dans les propriétés marquées comme « Sensitive Data » (disponibles en édition Enterprise) ne sont jamais utilisées pour entraîner les modèles IA de HubSpot. Pour les autres données, vous pouvez demander un opt-out en contactant privacy@hubspot.com. Par ailleurs, les fournisseurs IA tiers de HubSpot (comme OpenAI) appliquent une politique de Zero Data Retention : les contenus traités ne sont pas conservés pour entraîner leurs modèles publics.

HubSpot fournit un cadre conforme RGPD : DPA, Clauses Contractuelles Types, hébergement EU optionnel, registre des sous-processeurs, droits des personnes. Mais la conformité finale dépend de votre configuration et de vos politiques internes. HubSpot ne peut pas vous rendre conforme à votre place : vous restez responsable de traitement.

Les prompts envoyés à Breeze transitent par les modèles LLM des fournisseurs IA partenaires de HubSpot. Ces fournisseurs sont contractuellement engagés à supprimer immédiatement les données après traitement (Zero Data Retention) et à ne pas les utiliser pour entraîner leurs modèles. HubSpot recommande toutefois de ne jamais saisir d'informations hautement sensibles (numéros de sécurité sociale, données médicales) directement dans un prompt.

Si votre compte HubSpot est hébergé dans le data center EU (Francfort, Allemagne), toutes les fonctionnalités LLM de Breeze s'exécutent intégralement en Europe, grâce à l'EU Regional Data Control. Aucun transfert vers les États-Unis n'est introduit par l'IA, dans le cadre de cette configuration.

HubSpot met à disposition un rapport SOC 3 public et un rapport SOC 2 Type 2 confidentiel (téléchargeable depuis le Trust Center HubSpot après acceptation d'un NDA). L'infrastructure HubSpot repose sur AWS, certifié ISO 27001 et SOC 2 Type 2. À noter : HubSpot lui-même n'est pas certifié ISO 27001 ; c'est l'infrastructure AWS qui l'est.

HubSpot s'engage à notifier ses clients avant l'ajout d'un nouveau sous-processeur (consultable sur la page Sub-Processors). Vous disposez de 30 jours pour formuler une objection raisonnable. En cas de désaccord persistant, vous pouvez résilier votre contrat selon les conditions du DPA.

Hubspot Technologie

Intégration HubSpot

Accompagnement HubSpot