Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
HighLevel est une plateforme marketing et CRM tout en un, basée aux États Unis, utilisée par les agences pour gérer tunnels de vente, emails, SMS, calendriers, agents IA et SaaS en marque blanche. Elle dépose des cookies first party sur les tunnels clients, capture les données de formulaire et d'attribution, et traite les données personnelles aux États Unis, ce qui déclenche les obligations de consentement et de transfert du RGPD.
HighLevel, aussi appelé GoHighLevel, est une plateforme marketing et CRM tout en un conçue principalement pour les agences et les revendeurs. Elle regroupe tunnels de vente, sites, automatisation email et SMS, calendriers, pipelines, gestion de réputation, assistants IA et une couche SaaS en marque blanche que les agences revendent à leurs clients. Parce qu''elle se trouve au cœur de la capture de leads, de l''attribution publicitaire et des messages clients, HighLevel traite un volume important de données personnelles : noms, emails, téléphones, adresses IP, événements comportementaux et historiques de conversation.
Sur les tunnels, formulaires et sites construits avec HighLevel, la plateforme dépose généralement des cookies first party de visiteur et de session, des identifiants d''attribution, des jetons CSRF et des cookies de session de formulaire. Des pixels publicitaires peuvent en outre être ajoutés par l''agence, comme Meta, Google Ads ou TikTok, qui relèvent du régime du consentement. Les webhooks serveur et le module Conversations conservent également les journaux de messages, les enregistrements d''appels et les fiches prospects dans le CRM. Toutes ces technologies doivent être évaluées ensemble dans la stratégie de consentement.
HighLevel LLC est basé aux États Unis et traite les données sur une infrastructure américaine, notamment AWS et Cloudflare. Pour les responsables de traitement européens, cela déclenche le chapitre V du RGPD. Les transferts doivent être encadrés par les Clauses Contractuelles Types et, lorsque le sous traitant concerné est certifié, par le cadre Data Privacy Framework UE États Unis. Un Transfer Impact Assessment doit être réalisé, les mesures supplémentaires documentées et le registre des activités de traitement mis à jour.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La base légale dépend de l''usage. Les fonctionnalités CRM demandées par la personne concernée, comme la réservation d''un créneau, la création d''un compte ou la confirmation d''une commande, peuvent reposer sur l''article 6(1)(b) RGPD exécution du contrat. L''automatisation marketing, le scoring, les pixels publicitaires et l''analyse comportementale reposent sur l''article 6(1)(a) RGPD consentement, combiné à l''article 82 de la loi Informatique et Libertés pour tout dépôt ou lecture d''informations sur le terminal. Le consentement doit être préalable, spécifique, éclairé et libre.
Le niveau de risque global de HighLevel est moyen à élevé. La plateforme combine identifiants, données comportementales, contenus de communication et traitements IA, ce qui peut constituer un profilage à grande échelle. Une analyse d''impact relative à la protection des données est fortement recommandée lorsque HighLevel sert au scoring, à l''envoi automatisé de SMS et d''emails, à l''entraînement d''agents IA sur des conversations clients ou à la centralisation de données issues de plusieurs sources publicitaires.
Signez un accord de traitement avec HighLevel, intégrez la plateforme à une CMP qui bloque les cookies et pixels non essentiels tant que le consentement n''est pas donné, configurez les événements serveur pour respecter le signal de consentement, documentez les durées de conservation, restreignez les sièges admin et agence, auditez les sous clients en marque blanche, et mettez à jour la politique de confidentialité et la politique cookies pour mentionner HighLevel, les États Unis comme pays destinataire et le mécanisme de transfert applicable.
Les sites web utilisant HighLevel doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée lorsque HighLevel est utilisé pour de l'automatisation marketing à grande échelle, du scoring de leads, des campagnes SMS et email sortantes, ou lorsque des catégories sensibles peuvent être collectées via des formulaires. Risques clés : transferts vers les États Unis, profilage cross canal, durée de conservation des fiches CRM, chaîne de sous traitants, et combinaison des données CRM avec des identifiants publicitaires. Documentez le mécanisme de transfert (CCT, DPF), réalisez une analyse d'impact des transferts, configurez la conservation, restreignez les accès admin et assurez vous que le consentement est recueilli avant tout dépôt de cookies non essentiels.
Exemple de texte de consentement
Nous utilisons HighLevel pour gérer nos tunnels, formulaires, calendriers et CRM. Avec votre consentement, HighLevel peut déposer des cookies et identifiants pour mesurer la performance des tunnels, attribuer les conversions et personnaliser les relances. Vous pouvez accepter, refuser ou modifier votre choix à tout moment depuis notre bandeau cookies.
Domaines tiers contactes
gohighlevel.comapp.gohighlevel.commsgsndr.comleadconnectorhq.comcdn.msgsndr.comservices.leadconnectorhq.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| ghl_visitor_id | first_party | 1 year | Persistent visitor identifier used by HighLevel to track returning visitors across funnels and forms for attribution and lead matching. |
| ghl_session | first_party | Session | Session cookie used to maintain the funnel and form state across page navigation within a single browsing session. |
| _gh_uniq | first_party | 30 days | Attribution cookie that stores UTM parameters, referrer and first touch source to attribute leads to the correct marketing campaign. |
| ghl_form_session | first_party | Session | Form session cookie used to preserve form inputs, multi step state and CSRF protection during the form completion flow. |
| ghl_csrf | first_party | Session | CSRF protection token used to secure form submissions and API requests against cross site request forgery. |
HighLevel utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
HighLevel dépose en général des cookies first party sur les tunnels, formulaires et sites, dont un identifiant visiteur, un cookie de session, un cookie de session de formulaire, des identifiants d'attribution et UTM ainsi qu'un jeton CSRF. Les agences ajoutent souvent des pixels publicitaires tiers comme Meta, Google Ads et TikTok, soumis au consentement. La liste exacte dépend des modules activés, de la configuration du domaine et des intégrations ajoutées par l'agence.
Oui, lorsque HighLevel est utilisé pour de l'automatisation marketing, des pixels publicitaires, de l'analyse comportementale ou des identifiants de retargeting, le consentement préalable est requis au titre de l'article 82 de la loi Informatique et Libertés et de l'article 6(1)(a) RGPD. Les fonctionnalités CRM strictement demandées par l'utilisateur, comme la réservation d'un créneau ou la confirmation d'une commande, peuvent reposer sur l'article 6(1)(b) sans consentement.
La base légale est mixte. Les flux CRM opérationnels demandés par la personne concernée reposent sur l'article 6(1)(b) RGPD exécution de contrat. L'automatisation marketing, le scoring, le retargeting et les pixels publicitaires reposent sur l'article 6(1)(a) RGPD consentement, combiné à la directive ePrivacy pour tout dépôt ou lecture d'informations sur le terminal. Documentez les deux bases dans le registre des traitements.
Oui. HighLevel LLC est une société américaine et traite les données sur une infrastructure aux États Unis, dont AWS et Cloudflare. Les transferts doivent être encadrés par les Clauses Contractuelles Types et, lorsque cela s'applique, par le Data Privacy Framework UE États Unis pour les sous traitants certifiés. Un Transfer Impact Assessment et une description des mesures supplémentaires sont recommandés.
Une AIPD est fortement recommandée lorsque HighLevel est utilisé pour de l'automatisation marketing à grande échelle, du profilage comportemental, du scoring de leads, des conversations pilotées par IA ou la centralisation de données issues de plusieurs sources dans un même CRM. La combinaison d'identifiants, de contenus de communication et de traitements IA remplit en général au moins deux des critères du CEPD.
Signez un DPA, intégrez HighLevel à une plateforme de gestion du consentement, bloquez cookies et pixels non essentiels tant que le consentement n'est pas obtenu, configurez les événements serveur pour respecter le signal de consentement, définissez les durées de conservation, restreignez les sièges admin et agence, auditez les sous clients en marque blanche, et mettez à jour la politique de confidentialité et la politique cookies pour mentionner HighLevel, les États Unis et le mécanisme de transfert applicable.
Les alternatives européennes ou hébergées en Europe qui couvrent une partie du périmètre de HighLevel incluent HubSpot avec hébergement UE, Brevo, ActiveCampaign avec options UE, Plezi, Webmecanik, Pipedrive et Salesforce avec résidence des données UE. Aucune ne couvre exactement la dimension SaaS en marque blanche, donc une analyse de migration doit comparer tunnels, CRM, messagerie et SaaS revendable à votre usage réel.
Listez les cookies et identifiants HighLevel utilisés sur vos tunnels et formulaires, décrivez leur finalité et leur durée, indiquez HighLevel LLC comme destinataire, mentionnez les États Unis comme pays de destination, nommez le mécanisme de transfert (CCT et DPF le cas échéant), et reliez à un moyen pour les utilisateurs de retirer ou modifier leur consentement à tout moment.