Quel CRM choisir pour gérer ses données clients en respectant le RGPD en France ?

HubSpot et Salesforce sont juridiquement utilisables avec DPA + CCT, mais le risque transfert hors UE existe. Pour un solopreneur français, Twenty (FR, OSS), Brevo (FR) et Pipedrive (UE) couvrent 90 % des besoins en restant souverains.

Laurent SOUHY's profile

Rédigé par Laurent SOUHY

6 min de lecture
Quel CRM choisir pour gérer ses données clients en respectant le RGPD en France ?

Le choix du CRM est l'une des décisions structurantes qu'un solopreneur ou une startup prend tôt — souvent trop tôt, avant d'avoir lu un mot de RGPD. Le résultat typique : trois mois plus tard, deux mille contacts dans HubSpot, aucun DPA signé, aucun TIA documenté, et une découverte tardive que le réflexe de souveraineté EU exigerait une migration. Cet article fait la carte des options sérieuses, classe les CRM par juridiction d'établissement principal, et donne une grille de décision sans dogmatisme.

Le RGPD ne vous interdit pas un CRM américain. Il exige une chaîne de sous-traitance Art. 28 documentée, des transferts hors UE Art. 44-49 encadrés (CCT + Transfer Impact Assessment), et un registre des traitements Art. 30 à jour. Tout CRM sérieux sur le marché — y compris HubSpot et Salesforce — propose les pièces contractuelles nécessaires. La question n'est donc pas « est-ce légal ? » (oui, à conditions), mais « est-ce le meilleur compromis pour mon stade, mon volume, mon discours commercial et mon ambition souveraineté ? ».

En résumé

  • HubSpot, Salesforce, Pipedrive : juridiquement utilisables avec DPA + CCT + TIA. Tous proposent les pièces contractuelles.
  • Twenty (FR, OSS) : alternative française open source en croissance rapide, idéale pour solopreneur souveraineté.
  • Brevo (FR) : CRM + emailing intégré, idéal pour une startup en phase amorçage avec discours souverain.
  • Le vrai critère : volume mensuel, nombre de contacts, intégrations natives nécessaires, ambition discours commercial souverain.
  • Pour un usage Niveau 3 EUDAI (CRM exposé à vos clients via portail ou via agent IA), bascule vers solution self-host EU prioritaire.

La grille des sept articles à valider pour tout CRM

Avant de comparer les solutions, gravez la grille de validation. Chaque CRM que vous évaluez doit cocher ces sept points, sinon ne signez pas.

Article RGPD / AI ActQuestion pratiqueRéponse attendue
Art. 28Le CRM propose-t-il un DPA standardisé en ligne ?Oui, signable sans négociation pour les plans solo / startup
Art. 28.3La liste des sous-traitants ultérieurs est-elle publique ?Oui, avec URL stable (/legal/subprocessors ou équivalent)
Art. 44-49Les serveurs hébergeant mes données sont-ils en UE / EEE ?Idéal : data residency forcée. Sinon : CCT signées.
Art. 32Chiffrement au repos + en transit, MFA, audit ISO 27001 ?Oui sur les trois points
Art. 30Les exports de données pour mon registre sont-ils accessibles ?Oui, format machine-readable (CSV, JSON)
Art. 15-22Procédure documentée pour droit d'accès / opposition / portabilité ?Oui, avec délai de réponse < 1 mois
Art. 33-34Le CRM s'engage à notifier une violation < 72 h ?Clause explicite dans DPA

Si l'éditeur ne répond pas oui aux sept points avec une documentation publique vérifiable, passez. Vous ne voulez pas devoir négocier ces clauses en cas de contrôle CNIL.

Le tableau comparatif honnête

CRMJuridictionHébergement EU possibleDPAOSS / self-hostTarif solo (entrée)Verdict
HubSpot🇺🇸 États-UnisOui (Frankfurt)Oui standardiséNon~45 €/moisOK Niveau 2 avec DPA + TIA + data region EU forcée
Salesforce🇺🇸 États-UnisOui (Hyperforce EU)Oui standardiséNon~25 €/mois StarterOK Niveau 2 idem, ergonomie lourde pour solo
Pipedrive🇪🇪 Estonie (UE)Oui (Frankfurt AWS)Oui standardiséNon~15 €/mois EssentialRecommandé Niveau 2, juridiction EU
Brevo (ex-Sendinblue)🇫🇷 FranceOui (FR)Oui standardiséNonGratuit jusqu'à 300 envois / jourRecommandé solopreneur amorçage + emailing intégré
Twenty🇫🇷 FranceSelf-host totalOui (cloud)Oui (GPL v3)Gratuit self-host / ~9 €/mois cloudRecommandé souveraineté max + dev technique
Axonaut🇫🇷 FranceOui (FR)Oui standardiséNon~30 €/moisSolopreneur français à l'aise avec interface FR
noCRM🇫🇷 FranceOui (FR)Oui standardiséNon~10 €/moisCRM lead-management minimaliste FR
Odoo CRM🇧🇪 BelgiqueSelf-host + cloud EUOui standardiséOui (LGPL v3)Gratuit module CRM seulRecommandé pour ERP / CRM unifié
EspoCRM🇨🇿 République tchèqueSelf-host totalOui (cloud)Oui (GPL v3 / AGPL)Gratuit self-hostRecommandé tech à l'aise sysadmin
Zoho CRM🇮🇳 IndeOui (NL)Oui standardiséNon~14 €/mois StandardOK mais Inde + transferts à documenter sérieusement
Monday CRM🇮🇱 IsraëlOui (Frankfurt)Oui standardiséNon~15 €/moisOK avec TIA documenté (Israël = décision d'adéquation 2011)
NocoDB🇮🇳 Inde (OSS, équipe internationale)Self-hostOui (cloud)Oui (AGPL v3)Gratuit self-hostAlternative Airtable, à muscler pour CRM dédié

Les trois recommandations EuTrustedIA

Pour un solopreneur français qui démarre, trois options se distinguent. Aucune n'est universellement meilleure — la bonne dépend de votre contexte.

Twenty (FR, OSS, GPL v3). Lancée en 2024 par d'anciens d'Airbnb et de Doctolib, Twenty est l'alternative open-source la plus active sur le marché CRM EU souverain en 2026. Stack moderne (Next.js, React, GraphQL, Postgres), interface très proche de Notion / Airtable, déploiement Docker en une commande. Pour un porteur technique qui veut maîtriser sa stack, signer son AIPD interne en deux pages, et aligner son discours commercial sur la souveraineté, Twenty est le choix par défaut. Limite actuelle : l'écosystème d'intégrations est encore léger comparé à HubSpot (mais zapier-compatible, Make-compatible, et l'API GraphQL est mature).

Brevo (FR). Anciennement Sendinblue, racheté par les fondateurs français, Brevo combine CRM + emailing transactionnel + emailing marketing en une plateforme unique. Pour un solopreneur en amorçage qui ne veut pas multiplier les outils, c'est imbattable. Le DPA est signable en ligne, les données sont hébergées en France, et l'éditeur publie une documentation RGPD particulièrement claire. Limite : Brevo n'est pas un vrai CRM commercial avancé (pipelines complexes, scoring, automation conditionnelle) — c'est un CRM léger orienté emailing.

Pipedrive (UE). Établi en Estonie, Pipedrive est un CRM commercial classique, bien fait, avec une UX très fluide. La juridiction estonienne le place sous droit européen, le DPA est standard, et l'hébergement par défaut est en Frankfurt. Pour un porteur qui veut une expérience CRM mature sans dépendance US, c'est l'option safe. Pas open-source, mais EU établi avec un track record sérieux.

Quand bascule-t-on en Niveau 3 ?

Le CRM devient un sujet Niveau 3 EUDAI dans deux cas. Premier cas, vous exposez à vos clients un portail self-service qui leur permet de consulter ou modifier leurs données dans votre CRM. Vous devenez alors déployeur d'un système où vos clients sont utilisateurs finaux, et l'ensemble des obligations Pilier 1 EUDAI (souveraineté radicale) s'applique. Bascule recommandée vers une solution self-host EU (Twenty, EspoCRM, Odoo).

Deuxième cas, vous branchez un agent IA (LLM) sur votre CRM pour produire automatiquement des messages commerciaux, des fiches client enrichies, des recommandations de relance. Si ces sorties sont visibles par vos clients (mails sortants automatisés à partir de leur dossier CRM), vous êtes en Niveau 3, et l'AI Act Art. 50 s'applique : marquage explicite que le contenu est aidé par IA, à partir du 2 août 2026.

La question des emails de prospection (Art. 6.1.f / e-Privacy)

Sujet souvent confondu avec le RGPD pur : pour envoyer un email de prospection commerciale B2B en France, vous vous appuyez sur l'intérêt légitime Art. 6.1.f RGPD + la Directive e-Privacy (ePrivacy 2002/58/CE) + la doctrine CNIL spécifique à la prospection B2B. La règle : email professionnel + lien direct avec la fonction de la personne (DSI pour un produit DSI, RH pour un produit RH) + opt-out facile + mention claire des intérêts. La CNIL a publié plusieurs fiches sur le sujet, accessibles sur cnil.fr.

Votre CRM doit gérer un registre des opt-out et permettre de respecter une demande de désinscription en moins de 24 heures. Tous les CRM listés ci-dessus le font nativement. C'est une fonctionnalité critique, pas un nice-to-have.

Stratégie pratique pour un solopreneur français

Voici la matrice de décision rapide.

  • Vous démarrez, < 100 contacts, budget zéro : Brevo gratuit (300 mails/jour) ou Twenty self-host. Coût minimum, souveraineté EU max.
  • Vous montez en charge, 500-5000 contacts, < 50 €/mois budget : Pipedrive (EU) ou Brevo Lite. Tooling mature, juridiction EU.
  • Vous êtes développeur, vous voulez tout maîtriser : Twenty self-host sur OVH ou Scaleway, EspoCRM sur Hetzner. Coût ~5 €/mois infra, contrôle total.
  • Vous êtes en B2B sophistiqué, votre client final exige souveraineté EU dans le DPA contractuel : Twenty self-host, Odoo self-host. Pas d'éditeur US dans la chaîne.
  • Vous êtes déjà sur HubSpot / Salesforce et vous avez 2 000 contacts : signez le DPA, activez la data region EU forcée, produisez un TIA, documentez tout dans votre registre Art. 30. Migration optionnelle, à coût-bénéfice évalué.

Conclusion

Le bon CRM est celui qui correspond à votre stade, à votre volume, et à votre ambition discours commercial. La conformité RGPD est traitable avec à peu près tous les acteurs sérieux du marché — c'est la souveraineté qui devient un différenciateur à mesure que votre offre s'adresse à des clients B2B EU sophistiqués.

Notre page de recommandations 12 outils liste Twenty et Brevo parmi les outils EU validés. Pour un audit cartographié de votre stack CRM + emailing avec analyse de la chaîne Art. 28, voir nos plans POSITRONIA-CORE.


Cet article a été rédigé par Claude Opus 4.7 sur la base du Framework EUDAI v1. Relecture humaine Laurent SOUHY. Vos retours : contact@eutrustedia.eu.

Partager: