Le choix du CRM est l'une des décisions structurantes qu'un solopreneur ou une startup prend tôt — souvent trop tôt, avant d'avoir lu un mot de RGPD. Le résultat typique : trois mois plus tard, deux mille contacts dans HubSpot, aucun DPA signé, aucun TIA documenté, et une découverte tardive que le réflexe de souveraineté EU exigerait une migration. Cet article fait la carte des options sérieuses, classe les CRM par juridiction d'établissement principal, et donne une grille de décision sans dogmatisme.
Le RGPD ne vous interdit pas un CRM américain. Il exige une chaîne de sous-traitance Art. 28 documentée, des transferts hors UE Art. 44-49 encadrés (CCT + Transfer Impact Assessment), et un registre des traitements Art. 30 à jour. Tout CRM sérieux sur le marché — y compris HubSpot et Salesforce — propose les pièces contractuelles nécessaires. La question n'est donc pas « est-ce légal ? » (oui, à conditions), mais « est-ce le meilleur compromis pour mon stade, mon volume, mon discours commercial et mon ambition souveraineté ? ».
Avant de comparer les solutions, gravez la grille de validation. Chaque CRM que vous évaluez doit cocher ces sept points, sinon ne signez pas.
| Article RGPD / AI Act | Question pratique | Réponse attendue |
|---|---|---|
| Art. 28 | Le CRM propose-t-il un DPA standardisé en ligne ? | Oui, signable sans négociation pour les plans solo / startup |
| Art. 28.3 | La liste des sous-traitants ultérieurs est-elle publique ? | Oui, avec URL stable (/legal/subprocessors ou équivalent) |
| Art. 44-49 | Les serveurs hébergeant mes données sont-ils en UE / EEE ? | Idéal : data residency forcée. Sinon : CCT signées. |
| Art. 32 | Chiffrement au repos + en transit, MFA, audit ISO 27001 ? | Oui sur les trois points |
| Art. 30 | Les exports de données pour mon registre sont-ils accessibles ? | Oui, format machine-readable (CSV, JSON) |
| Art. 15-22 | Procédure documentée pour droit d'accès / opposition / portabilité ? | Oui, avec délai de réponse < 1 mois |
| Art. 33-34 | Le CRM s'engage à notifier une violation < 72 h ? | Clause explicite dans DPA |
Si l'éditeur ne répond pas oui aux sept points avec une documentation publique vérifiable, passez. Vous ne voulez pas devoir négocier ces clauses en cas de contrôle CNIL.
| CRM | Juridiction | Hébergement EU possible | DPA | OSS / self-host | Tarif solo (entrée) | Verdict |
|---|---|---|---|---|---|---|
| HubSpot | 🇺🇸 États-Unis | Oui (Frankfurt) | Oui standardisé | Non | ~45 €/mois | OK Niveau 2 avec DPA + TIA + data region EU forcée |
| Salesforce | 🇺🇸 États-Unis | Oui (Hyperforce EU) | Oui standardisé | Non | ~25 €/mois Starter | OK Niveau 2 idem, ergonomie lourde pour solo |
| Pipedrive | 🇪🇪 Estonie (UE) | Oui (Frankfurt AWS) | Oui standardisé | Non | ~15 €/mois Essential | Recommandé Niveau 2, juridiction EU |
| Brevo (ex-Sendinblue) | 🇫🇷 France | Oui (FR) | Oui standardisé | Non | Gratuit jusqu'à 300 envois / jour | Recommandé solopreneur amorçage + emailing intégré |
| Twenty | 🇫🇷 France | Self-host total | Oui (cloud) | Oui (GPL v3) | Gratuit self-host / ~9 €/mois cloud | Recommandé souveraineté max + dev technique |
| Axonaut | 🇫🇷 France | Oui (FR) | Oui standardisé | Non | ~30 €/mois | Solopreneur français à l'aise avec interface FR |
| noCRM | 🇫🇷 France | Oui (FR) | Oui standardisé | Non | ~10 €/mois | CRM lead-management minimaliste FR |
| Odoo CRM | 🇧🇪 Belgique | Self-host + cloud EU | Oui standardisé | Oui (LGPL v3) | Gratuit module CRM seul | Recommandé pour ERP / CRM unifié |
| EspoCRM | 🇨🇿 République tchèque | Self-host total | Oui (cloud) | Oui (GPL v3 / AGPL) | Gratuit self-host | Recommandé tech à l'aise sysadmin |
| Zoho CRM | 🇮🇳 Inde | Oui (NL) | Oui standardisé | Non | ~14 €/mois Standard | OK mais Inde + transferts à documenter sérieusement |
| Monday CRM | 🇮🇱 Israël | Oui (Frankfurt) | Oui standardisé | Non | ~15 €/mois | OK avec TIA documenté (Israël = décision d'adéquation 2011) |
| NocoDB | 🇮🇳 Inde (OSS, équipe internationale) | Self-host | Oui (cloud) | Oui (AGPL v3) | Gratuit self-host | Alternative Airtable, à muscler pour CRM dédié |
Pour un solopreneur français qui démarre, trois options se distinguent. Aucune n'est universellement meilleure — la bonne dépend de votre contexte.
Twenty (FR, OSS, GPL v3). Lancée en 2024 par d'anciens d'Airbnb et de Doctolib, Twenty est l'alternative open-source la plus active sur le marché CRM EU souverain en 2026. Stack moderne (Next.js, React, GraphQL, Postgres), interface très proche de Notion / Airtable, déploiement Docker en une commande. Pour un porteur technique qui veut maîtriser sa stack, signer son AIPD interne en deux pages, et aligner son discours commercial sur la souveraineté, Twenty est le choix par défaut. Limite actuelle : l'écosystème d'intégrations est encore léger comparé à HubSpot (mais zapier-compatible, Make-compatible, et l'API GraphQL est mature).
Brevo (FR). Anciennement Sendinblue, racheté par les fondateurs français, Brevo combine CRM + emailing transactionnel + emailing marketing en une plateforme unique. Pour un solopreneur en amorçage qui ne veut pas multiplier les outils, c'est imbattable. Le DPA est signable en ligne, les données sont hébergées en France, et l'éditeur publie une documentation RGPD particulièrement claire. Limite : Brevo n'est pas un vrai CRM commercial avancé (pipelines complexes, scoring, automation conditionnelle) — c'est un CRM léger orienté emailing.
Pipedrive (UE). Établi en Estonie, Pipedrive est un CRM commercial classique, bien fait, avec une UX très fluide. La juridiction estonienne le place sous droit européen, le DPA est standard, et l'hébergement par défaut est en Frankfurt. Pour un porteur qui veut une expérience CRM mature sans dépendance US, c'est l'option safe. Pas open-source, mais EU établi avec un track record sérieux.
Le CRM devient un sujet Niveau 3 EUDAI dans deux cas. Premier cas, vous exposez à vos clients un portail self-service qui leur permet de consulter ou modifier leurs données dans votre CRM. Vous devenez alors déployeur d'un système où vos clients sont utilisateurs finaux, et l'ensemble des obligations Pilier 1 EUDAI (souveraineté radicale) s'applique. Bascule recommandée vers une solution self-host EU (Twenty, EspoCRM, Odoo).
Deuxième cas, vous branchez un agent IA (LLM) sur votre CRM pour produire automatiquement des messages commerciaux, des fiches client enrichies, des recommandations de relance. Si ces sorties sont visibles par vos clients (mails sortants automatisés à partir de leur dossier CRM), vous êtes en Niveau 3, et l'AI Act Art. 50 s'applique : marquage explicite que le contenu est aidé par IA, à partir du 2 août 2026.
Sujet souvent confondu avec le RGPD pur : pour envoyer un email de prospection commerciale B2B en France, vous vous appuyez sur l'intérêt légitime Art. 6.1.f RGPD + la Directive e-Privacy (ePrivacy 2002/58/CE) + la doctrine CNIL spécifique à la prospection B2B. La règle : email professionnel + lien direct avec la fonction de la personne (DSI pour un produit DSI, RH pour un produit RH) + opt-out facile + mention claire des intérêts. La CNIL a publié plusieurs fiches sur le sujet, accessibles sur cnil.fr.
Votre CRM doit gérer un registre des opt-out et permettre de respecter une demande de désinscription en moins de 24 heures. Tous les CRM listés ci-dessus le font nativement. C'est une fonctionnalité critique, pas un nice-to-have.
Voici la matrice de décision rapide.
Le bon CRM est celui qui correspond à votre stade, à votre volume, et à votre ambition discours commercial. La conformité RGPD est traitable avec à peu près tous les acteurs sérieux du marché — c'est la souveraineté qui devient un différenciateur à mesure que votre offre s'adresse à des clients B2B EU sophistiqués.
Notre page de recommandations 12 outils liste Twenty et Brevo parmi les outils EU validés. Pour un audit cartographié de votre stack CRM + emailing avec analyse de la chaîne Art. 28, voir nos plans POSITRONIA-CORE.
Cet article a été rédigé par Claude Opus 4.7 sur la base du Framework EUDAI v1. Relecture humaine Laurent SOUHY. Vos retours : contact@eutrustedia.eu.