TL;DR
HubSpot dépose plusieurs cookies de tracking sur les sites qui intègrent son script (hubspot.com/hs-script). Ces cookies ont des finalités analytiques et marketing qui nécessitent le consentement préalable des visiteurs au sens du RGPD. Sans blocage du script HubSpot avant consentement, le site est en infraction.
Quels cookies HubSpot dépose-t-il ?
HubSpot est une plateforme CRM et marketing qui propose des outils d'email marketing, de formulaires, de chat, de suivi de contacts et d'analyse web. Pour fonctionner, HubSpot injecte un script de tracking (_hsq) qui dépose plusieurs cookies sur l'appareil du visiteur.
Les principaux cookies HubSpot
- __hstc : cookie de tracking principal, suit les visites et sessions du contact (180 jours)
- hubspotutk : identifiant unique du visiteur pour le CRM HubSpot (180 jours)
- __hssc : suit les sessions en cours (30 minutes)
- __hssrc : détermine si le visiteur a ouvert un nouvel onglet ou relancé la session (session)
- messagesUtk : identifiant pour le chat HubSpot (1 an)
- __ptq.gif : pixel de tracking HubSpot (session)
Ces cookies permettent à HubSpot de suivre les visiteurs à travers plusieurs sessions, de les identifier dans le CRM dès qu'ils remplissent un formulaire, et de mesurer les conversions des campagnes marketing. Ils relèvent des catégories analytique et marketing, soumises à consentement.
HubSpot et la conformité RGPD
HubSpot traite des données personnelles (adresse IP, identifiants de cookies, comportements de navigation) au titre de sous-traitant. En tant que responsable de traitement, l'entreprise qui utilise HubSpot est responsable de la conformité de cette collecte.
La CNIL a clairement indiqué que les cookies de CRM et de marketing automation qui suivent le comportement des visiteurs sur plusieurs sessions nécessitent un consentement préalable. Il ne s'agit pas d'une catégorie exemptée d'analytics : les cookies HubSpot permettent une identification individuelle et un suivi multi-sessions.
HubSpot et le droit d'opposition
HubSpot propose une page d'opt-out via `legal.hubspot.com/privacy-policy`, mais cet opt-out géré par HubSpot ne remplace pas l'obligation de recueillir le consentement préalable sur votre site. Le RGPD impose un mécanisme de consentement avant le dépôt des cookies, pas après.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Comment configurer HubSpot pour rester conforme au RGPD
Étape 1 : bloquer le script HubSpot avant consentement
Le script HubSpot (`hs-script.hubspot.com`) doit être bloqué par une CMP tant que l'utilisateur n'a pas consenti à la catégorie analytique ou marketing. Avec FlowConsent, ce blocage est automatique et ne nécessite pas de configuration manuelle du script HubSpot.
Voir aussi notre guide sur la preuve de consentement cookies pour les exigences de documentation.
Étape 2 : utiliser le HubSpot Cookie Consent Banner (optionnel)
HubSpot propose une bannière de cookies intégrée dans ses portails. Cette bannière présente deux limitations importantes pour la conformité RGPD : elle n'est disponible que sur les pages du portail HubSpot (pas sur votre site principal), et elle ne bloque pas techniquement les scripts HubSpot avant consentement. Elle peut compléter votre CMP mais ne la remplace pas.
Étape 3 : configurer la durée de rétention dans HubSpot
Dans les paramètres de votre compte HubSpot, définissez la durée de conservation des données de contact et d'activité. La CNIL recommande de ne pas conserver les données de tracking au-delà de 13 mois. Dans HubSpot CRM, configurez des règles d'archivage et de suppression automatique des contacts inactifs.
Étape 4 : signer le DPA HubSpot
HubSpot agit comme sous-traitant de données au sens du RGPD. Un accord de traitement des données (DPA) doit être signé avec HubSpot. Ce DPA est disponible dans les paramètres du compte HubSpot sous Mentions légales > Accord de traitement des données. Sa signature est obligatoire pour la conformité.
Étape 5 : gérer les formulaires HubSpot
Les formulaires HubSpot déclenchent une identification du visiteur dans le CRM (liaison du cookie hubspotutk à un contact). Avant tout envoi de formulaire, l'utilisateur doit avoir consenti à l'usage marketing de ses données. Une case à cocher de consentement marketing distincte du consentement cookies est recommandée sur chaque formulaire.
Erreurs fréquentes
Le script HubSpot se charge sans consentement. L'intégration classique du code HubSpot dans le <head> du site charge le script à chaque visite. Sans CMP bloquant ce script, les cookies sont déposés avant tout consentement.
Confondre la bannière HubSpot et une CMP. La bannière native HubSpot ne bloque pas techniquement les cookies HubSpot avant affichage. Elle ne remplace pas une CMP conforme au RGPD.
Oublier de signer le DPA. L'absence de DPA signé avec HubSpot expose l'entreprise à un risque de non-conformité RGPD sur la relation sous-traitant. Vérifier dans les paramètres HubSpot que le DPA est signé.
Ne pas informer les visiteurs des cookies de chat HubSpot. Le widget de chat HubSpot dépose le cookie messagesUtk (1 an). Si ce widget est utilisé, les cookies de chat doivent être listés dans la politique de cookies et inclus dans la demande de consentement.
Lier l'identité CRM sans consentement marketing. Quand un visiteur remplit un formulaire, HubSpot lie son historique de navigation (via hubspotutk) à son profil CRM. Cette liaison constitue un traitement marketing qui nécessite un consentement explicite distinct du consentement cookies.
Pour vérifier le taux de consentement sur vos pages HubSpot, utilisez notre guide dédié.
Checklist conformité HubSpot RGPD
- Le script HubSpot est bloqué par une CMP avant consentement.
- La catégorie analytique/marketing est explicitement présentée dans la bannière.
- Les cookies HubSpot (dont messagesUtk si chat) sont listés dans la politique de cookies.
- Le DPA HubSpot est signé dans les paramètres du compte.
- La durée de rétention des données CRM est configurée (maximum 13 mois pour les données de tracking).
- Les formulaires HubSpot comportent une case de consentement marketing distincte.
- La politique de confidentialité mentionne HubSpot comme sous-traitant.
- Les preuves de consentement sont enregistrées avec horodatage et version de bannière.
- Le mécanisme de suppression des données des contacts est en place.
- La configuration est vérifiée après chaque mise à jour du script HubSpot.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Conclusion
HubSpot est un outil CRM et marketing puissant, mais son script de tracking dépose par défaut des cookies de suivi multi-sessions sans demande de consentement. La conformité RGPD requiert de bloquer le script via une CMP, de signer le DPA HubSpot et de configurer les formulaires avec un consentement marketing explicite.
Vérifiez si le script HubSpot et d'autres traceurs sont correctement bloqués sur votre site avec le scanner de cookies FlowConsent.
Questions fréquentes
Quels cookies HubSpot dépose-t-il ?
HubSpot dépose plusieurs cookies dont : __hstc (suivi des visites, 13 mois), hubspotutk (identification des visiteurs, 13 mois), __hssc (session HubSpot, 30 minutes), __hssrc (session, durée de session), messagesUtk (widget de chat). Certains sont analytiques, d''autres fonctionnels. Tous doivent être déclarés dans votre politique de cookies.
Les cookies HubSpot nécessitent-ils un consentement RGPD ?
Oui pour les cookies analytiques et de tracking (hubspotutk, __hstc). Ces cookies identifient les visiteurs et suivent leur parcours entre les visites, ce qui nécessite un consentement préalable. Les cookies strictement nécessaires au fonctionnement technique peuvent être exemptés.
Comment rendre HubSpot conforme au RGPD ?
Utiliser une CMP qui bloque les cookies HubSpot non essentiels avant le consentement. Dans HubSpot, activer le module de confidentialité (GDPR settings) pour gérer les abonnements email. Configurer le tracking HubSpot pour ne se charger qu''après consentement. Documenter les traitements dans votre registre DPO.
HubSpot dispose-t-il d''une fonctionnalité de consentement aux cookies ?
HubSpot propose un bandeau de cookies natif, mais celui-ci n''est pas conçu pour satisfaire pleinement les exigences du RGPD européen (pas de refus en un clic, pas de granularité par catégorie). Il est recommandé d''utiliser une CMP dédiée comme FlowConsent qui bloque techniquement les scripts jusqu''au consentement.
Qu''est-ce que le cookie hubspotutk ?
Le cookie hubspotutk est un identifiant unique généré par HubSpot pour suivre les visites d''un même visiteur sur votre site web. Il est utilisé pour associer les soumissions de formulaire à un contact HubSpot et pour le suivi marketing. Sa durée est de 13 mois. Il nécessite un consentement préalable car il permet d''identifier et tracer les visiteurs.