Vous collectez des données clients dans HubSpot. Un prospect remplit un formulaire, puis une transaction finit dans votre ERP et un email circule. Soudain, vous devez répondre : "Où vivent ces données ? Sont-elles chiffrées ? Qui y a accès ? Comment les supprimez-vous si un client le demande ?"
Si vous ne posez pas ces questions avant de crier "RGPD compliant", vous êtes en danger légalement. Beaucoup d'entreprises découvrent tard que leur architecture de données est fragmentée et impossible à auditer.
Fibre Premium : données unifiées, conformité assurée
Fibre Premium, opérateur télécom, avait un problème ancien mais critique. Ses données clients existaient dans trois endroits : un système commercial chez Microsoft Dynamics NAV, des interactions marketing sur papier avant HubSpot, et des données bancaires ailleurs.
Quand la conformité RGPD a devenu une vraie obligation, Fibre Premium s'est rendu compte qu'elle ne pouvait pas faire une suppression complète des données sur un prospect. Il restait des traces partout. Récupérer l'historique entier prenait des jours.
Solution : DigitaWeb a architecturé une synchronisation bidirectionnelle entre Microsoft Dynamics et HubSpot, avec des règles claires. Dynamics NAV détient la vérité pour les données commerciales, contrats, services actifs, historique facturation. HubSpot gère les interactions marketing, emails, contenus consommés, opportunités. Quand un prospect demande la suppression, une procédure simple supprime à la fois dans HubSpot et dans Dynamics.
Résultats : vision 360° du client qui est aussi traçable. Données cohérentes entre systèmes. Conformité RGPD démontrable parce qu'il y a une source unique de vérité pour chaque information.
Bouygues Construction : traçabilité totale à grande échelle
Bouygues Construction emploie 47,000 collaborateurs. C'est une autre catégorie de défi. L'entreprise a construit une plateforme digitale, baptisée "The KIOSK", pour centraliser l'accès à tous les outils métiers dispersés. Des applications de gestion de projet, des plans BIM, des documents de sécurité.
Le vrai problème n'était pas HubSpot au départ. C'était l'absence de gouvernance sur qui accédait à quoi. Des outils étaient installés manuellement sur chaque poste. Zéro traçabilité. Zéro contrôle.
Solution : une plateforme Drupal 10 avec authentification SSO Azure. Chaque téléchargement est tracé. Chaque utilisateur a des droits granulaires selon son projet, sa géolocalisation, son rôle. Le système archive qui a téléchargé quoi, quand, d'où.
C'est plus que RGPD. C'est une architecture de conformité. Quand un auditeur arrive, Bouygues peut dire "Voilà qui avait accès à la donnée sensible, quand, et ce qu'il a fait." C'est le gold standard.
Votre situation ressemble à ça ? → Parlons-en
Ce que RGPD exige réellement
Beaucoup pensent que RGPD = juste un formulaire de consentement cookie. Faux. RGPD exige cinq choses.
Légalité du consentement : Vous devez avoir une raison légale pour collecter. Consentement explicite, pas opt-out mais opt-in.
Transparence sur l'usage : Une personne doit savoir exactement ce que vous faites de ses données.
Droit à l'oubli : Si quelqu'un demande suppression, vous supprimez partout, pas juste en HubSpot mais dans tous vos systèmes.
Responsabilité démontrable : Vous devez pouvoir prouver que vous respectez ces règles. Logs, audits, documentation.
Sécurité des données : Chiffrement en transit et au repos. Contrôle d'accès strict. Pas de données sensibles qui traînent.
HubSpot aide sur les trois premiers points. Mais vous devez faire le travail sur la sécurité et l'auditabilité.
Comment structurer votre conformité HubSpot
Étape 1 : Audit des données actuelles. Cartographiez où vivent vos données client entre HubSpot, votre ERP, votre email ou une feuille de calcul que personne ne savait qu'elle existait. Identifiez les données sensibles.
Étape 2 : Définir les permissions. Évaluez qui dans votre entreprise a vraiment besoin d'accéder aux données client. Un commercial a besoin des contacts de son pipeline. Un manager n'a besoin que de son équipe. Un développeur d'API n'a besoin d'aucun contact nominatif. Les permissions trop larges sont un risque.
Étape 3 : Implémenter le chiffrement. HubSpot chiffre en transit. Mais au repos, si vous stockez des données sensibles, numéro de carte ou numéro de sécurité sociale, elles doivent être chiffrées aussi. C'est un effort supplémentaire.
Étape 4 : Mettre en place le droit à l'oubli. Si quelqu'un demande suppression, avez-vous un workflow pour ça ? Cela doit être automatisé. Vous ne pouvez pas compter sur "je vais m'en occuper".
Étape 5 : Auditer régulièrement. Trimestriellement, examinez qui a accédé à quoi, avez-vous des données orphelines, avez-vous des requêtes RGPD en suspens ?
Fibre Premium l'a fait. Aujourd'hui, une demande RGPD prend quelques heures, pas quelques semaines.
Les risques de ne pas le faire
Non-conformité RGPD coûte cher. Les amendes arrivent à 4% du revenu global. Pour une ETI moyenne, c'est énorme.
Mais pire que l'amende : la perte de confiance client. Une fuite de données clients tue votre réputation.
Bonus : si vous avez un appel d'offres public ou européen, RGPD compliant est une baseline. Sans ça, vous êtes disqualifié.
FAQ
Est-ce que HubSpot est RGPD compliant ?
HubSpot lui-même l'est. Mais votre implémentation peut ne pas l'être. HubSpot ne gère pas les permissions granulaires ou le chiffrement au repos par défaut. C'est vous.
Combien ça coûte d'être conforme ?
Audit initial : 5k-10k€. Mise en place sécurité, permissions, chiffrement : 10k-20k€. Monitoring continu : 2k-5k€/an.
Comment documentez-vous la conformité ?
Vous créez un registre de traitement, RPAD en français. Qui accède à quoi ? Pourquoi ? Où les données vivent-elles ? Comment sont-elles supprimées ?
Et si j'utilise plusieurs systèmes (HubSpot + ERP + Email) ?
C'est plus compliqué. Vous devez avoir un processus de suppression qui s'exécute partout. C'est ce que Fibre Premium a dû architecturer.
Est-ce que les PME sans données sensibles doivent faire ça ?
Oui. RGPD s'applique à toute entreprise qui collecte des données personnelles, quelle que soit la taille. Une PME qui demande le prénom et l'email est soumise à RGPD.
Prêt à auditer votre conformité
Si vous n'êtes pas certain que vos données sont conformes RGPD, une conversation vaut le coup. Pas pour vous vendre quelque chose. Pour vous dire où vous êtes réellement vulnérable.
Une session d'audit : examen de votre architecture, identification des gaps de conformité, proposition d'étapes pour vous mettre en règle.
.png?width=600&height=400&name=RGPD%20B2B%20B2C%201%20(1).png)