Introduction

Votre CRM peur être une source de risque importante sans que vous vous ayez connaissance.

crm et données sensibles

Il a peut-être accès à des informations sur vos clients que vous avez oubliées, ou que vous n’auriez jamais dû y stocker :

  • La mention d’arrêt maladie d’un contact client glissée dans une note commerciale explicative ;
  • Un IBAN complet rempli par mégarde dans un champ personnalisé ;
  • Une pièce d’identité en pièce jointe d’un ticket de support ;
  • La transcription automatique d’un échange mentionnant des information personnelles ;

Ces données stockées dans votre base, sont accessibles aux utilisateurs qui n’en ont pas besoin. Pire, elles sont parfois lues par une IA que vous avez activée sans y penser.

En France, la CNIL a enregistré 17 193 plaintes et prononcé 87 sanctions en 2024. En Europe, les amendes RGPD ont atteint 1,2 milliard d’euros en 2025. Le coût moyen d’une violation de données s’élève à 4,4 millions de dollars dans le monde selon IBM. Ces chiffres ne concernent pas que les grandes entreprises.

Cet article s’adresse aux dirigeants de TPE et PME qui utilisent un CRM au quotidien pour voir ce que sont réellement les données sensibles, ce qu’elles engagent juridiquement, comment les protéger concrètement dans votre outil.

Pour illustrer nos propos, nous prendront le CRM HubSpot comme fil conducteur.

Hubspot logo

Découvrez l’offre CRM gratuite de HubSpot !

Hubspot logo

Découvrez l’offre CRM gratuite de HubSpot !

Données sensibles dans un CRM : de quoi parle-t-on ?

La plupart des dirigeants pensent pouvoir définir ce qu’est une donnée raisonnable. En réalité, la notion juridique est assez précise et bien souvent plus large que ce qu’ils imaginent.

Ce que dit le RGPD : trois niveaux à distinguer

Le RGPD oppose deux catégories qu’il faut impérativement ne pas confondre.

Les données personnelles

Une donnée personnelle (article 4) désigne toute information se rapportant à une personne physique identifiable : un nom, une adresse e-mail, un numéro de téléphone.

Dans un CRM, c’est la quasi-totalité de vos fiches contacts. La donnée personnelle doit être protégée, son traitement est possible sous plusieurs bases légales courantes.

Les données sensibles

Une donnée sensible (article 9) est une sous-catégorie des données personnelles dont le traitement est interdit par défaut . Elle recouvre : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques aux fins d’identification unique, les données de santé, la vie sexuelle ou l’orientation sexuelle.

Pour traiter légalement ces données, une base juridique explicite et des mesures de sécurité renforcées sont obligatoires, le consentement seul ne suffit pas toujours.

Les données pénales

Une troisième catégorie mérite d’être mentionnée : les données pénales (article 10), relatives aux infractions et condamnations. Elles ne sont pas techniquement des “données sensibles” au sens de l’article 9, mais leur traitement est encore plus encadré.

Une donnée sensible n’est pas simplement une donnée “importante” ou “confidentielle”. C’est une catégorie juridique précise. Ignorer cette distinction exposée à des sanctions, qu’importe la taille de l’entreprise.

Ce qui se cache réellement dans votre CRM

Le problème n’est pas que les dirigeants stockent préférentiellement des données sensibles. C’est qu’elles entrent dans le CRM par des canaux invisibles, au fil du travail quotidien des équipes.

Les cinq endroits où elles se nichent le plus souvent :

  • Les notes libres des commerciaux : “client en arrêt maladie jusqu’à fin mars”, “contact en procédure de divorce, budget bloqué”
  • Les pièces jointes dans les tickets de support : copie de pièce d’identité, relevé bancaire envoyé pour justifier un retard de paiement
  • Les champs personnalisés sont créés sans doctrine : “commentaire interne”, “situation client”, “contexte négo”
  • Les transcriptions automatiques d’appels générés par une IA connectée au CRM
  • Les données enrichies provenant de bases tierces intégrant des informations comportementales ou démographiques non vérifiées

Un audit rapide (par exemple un examen de 50 fiches contacts et 20 tickets de support) suffit généralement à mesurer l’ampleur réelle du problème dans une PME. La plupart des dirigeants qui s’y préparent sont surpris par ce qu’ils se trouvent.

La nomenclature HubSpot : données sensibles et données hautement sensibles

Pour les entreprises utilisant HubSpot, la plateforme introduit une technique de classification propre qui vient s’ajouter au cadre juridique RGPD sans le remplacer.

Les données sensibles

Les données sensibles regroupent des données autorisées sous conditions : historique de paiement partiel, quatre derniers chiffres d’un compte bancaire, données de salaire, évaluations de performance, données de santé générales.

Les données très sensibles 

Les données très sensibles couvrent des informations à protection maximale : numéros complets de compte bancaire, IBAN, déclarations fiscales, relevés bancaires complets, numéros de sécurité sociale. Ces propriétés sont chiffrées par défaut, leur valeur est masquée à l’écran et ne peut être déchiffrée que par un utilisateur autorisé, chaque consultation étant tracée dans les journaux d’audit.

A savoir : La classification HubSpot est un outil technique utile. Elle ne se substitue pas à l’analyse juridique RGPD. Une donnée peut être classée comme “donnée sensible” au sens HubSpot sans relever de l’article 9 du RGPD, et inversement. Les deux grilles de lecture sont complémentaires, pas interchangeables.
Hubspot logo

Découvrez l’offre CRM gratuite de HubSpot !

Hubspot logo

Découvrez l’offre CRM gratuite de HubSpot !

Risques et obligations : ce que vous engagez en tant que dirigeant

Connaître les catégories juridiques ne suffit pas. Ce qui pousse un dirigeant à agir, c’est de mesurer concrètement ce qu’il risque, financièrement, juridiquement, commercialement, si sa gestion des données sensibles est défaillante.

Les sanctions réelles en France et en Europe

Les chiffres sont rarement connus des dirigeants de petites structures. Ils méritent d’être posés clairement.

En Europe en 2025 :

  • 1,2 milliard d’euros d’amendes RGPD prononcées sur l’année (DLA Piper, janvier 2026)
  • 443 notifications de violations de données par jour, soit +22 % sur un an

En France en 2024 :

  • 17 193 plaintes reçues par la CNIL
  • 87 sanctions prononcées pour un total de 55,2 M€ (Rapport annuel EDPB 2024)

Le coût d’un incident pour une entreprise :

  • 4,4 millions de dollars en moyenne mondiale pour une violation de données (IBM Cost of a Data Breach, 2025)
  • 97 % des organisations ayant subi un incident de sécurité lié à l’IA ne disposaient pas de contrôles d’accès adaptés (IBM/Ponemon, 2025)

Au-delà de l’amendement, une violation entraîne une obligation de notification à la CNIL dans les 72 heures , un risque d’action en justice des personnes concernées, des coûts de remédiation technique et, souvent, une atteinte durable à la réputation commerciale. Pour une PME dont la croissance repose sur la confiance de ses clients, ce dernier point peut être le plus coûteux.

Selon IBM, les entreprises sans contrôles d’accès adaptés pour leurs systèmes IA représentent 97 % des cas d’incidents déclarés en 2025. Dans un CRM connecté à une IA, l’absence de gouvernance des accès n’est plus un risque théorique.

Les obligations concrètes pour une TPE/PME

En droit français, tout traitement de données sensibles est interdit par défaut . Pour le rendre légal, il faut une base juridique explicite parmi celles prévues par l’article 9 du RGPD.

Pour une TPE/PME commerciale classique, cela se traduit par trois règles opérationnelles :

Vous ne pouvez pas stocker des données de santé dans votre CRM commercial sans base légale explicite, sans mesures de sécurité renforcées et sans information préalable des personnes concernées.
Vous ne pouvez pas enrichir des fiches perspectives avec des informations sur leur situation financière personnelle, leur appartenance religieuse ou politique, ou leur état de santé, même si ces informations sont accessibles publiquement.
Le consentement doit être documenté, libre, éclairé et révocable. Un consentement implicite ou présumé ne constitue pas une base légale valide pour le traitement de données sensibles.

La CNIL rappelle par ailleurs le principe de minimisation : toute donnée collectée doit être adéquate, pertinente et strictement limitée à ce qui est nécessaire à la finalité déclarée du traitement. En langage dirigeant : si vous n’avez pas besoin d’une information pour exercer votre activité commerciale, vous n’avez pas le droit de la conserver.

Le risque spécifique des CRM connectés à une IA

L’intégration d’assistants et d’agents IA dans les CRM crée une surface de risque nouvelle que la réglementation commence à peine à encadrer et que la plupart des dirigeants n’ont pas encore intégré dans leur gestion du risque.

Ce que l’IA voit dans votre CRM

Lorsque votre CRM est connecté à une IA — qu’il s’agisse de HubSpot Breeze, d’un assistant tiers ou d’un modèle connecté via API — l’IA accède à l’ensemble des données comprises dans son périmètre d’autorisation. Si des données sensibles sont présentes dans des notes libres, des champs personnalisés ou des pièces jointes, elles peuvent se retrouver dans des invites, dans des résumés automatiques ou dans des réponses client générées sans supervision humaine.

Le cas HubSpot : une limite documentée mais peu connue

HubSpot le formule explicitement dans sa documentation produit : les fonctionnalités IA Breeze ne font pas partie du périmètre Sensitive Data. Il est recommandé de ne pas insérer de données sensibles dans des invites, car elles sortiraient ainsi de tout cadre de protection. Autrement dit, activer la protection des données sensibles dans HubSpot ne protège pas ces données dans les utilisations IA de la plateforme.

Pour en savoir plus : Breeze Agents HubSpot : comprendre et choisir les agents IA par fonction métier

Ce que disent les référentiels réglementaires et sécurité

L’EDPB a publié en 2025 une méthodologie sur les risques vie privée liés aux LLM, rappelant que l’extractibilité de données personnelles depuis un modèle IA doit être évaluée au cas par cas. Le cadre OWASP pour les applications LLM identifie trois risques directement applicables : l’injection de prompt, la divulgation d’informations sensibles et l’agentivité excessive

>
Pour un dirigeant, la question à se poser n’est pas “mon CRM est-il sécurisé ?” mais “qu’est-ce que mon IA a le droit de lire dans mon CRM ?”

Gérer ma relation client
avec HubSpot

Créer et héberger mon site
avec Hostinger

Facturer et gérer ma compta
avec Abby

Gérer ma relation
avec HubSpot

Créer et héberger mon site
avec Hostinger

Facturer et gérer ma compta
avec Abby

Protéger les données sensibles dans votre CRM : méthode pratique

Passer du constat à l’action est souvent là où les dirigeants butent. Non par manque de volonté, mais parce que la gouvernance des données ressemble de loin à un chantier de DSI. En réalité, pour une TPE/PME, quatre étapes suffisent pour réduire significativement le risque, sans mobiliser une équipe technique.

Cartographier ce que vous stockez réellement

Avant toute technique de décision, il faut savoir ce que contient réellement votre CRM. C’est une étape que la majorité des dirigeants n’ont jamais faite formellement.

Méthode rapide pour une PME de moins de 50 personnes :

Consacrez une demi-journée à examinateur un échantillon représentatif : 50 fiches contacts choisies au hasard, 20 tickets de support récent, 10 fiches issues de chaque équipe utilisatrice.

Pour chaque enregistrement, notez ce qui sort du cadre purement commercial : mentions de situations personnelles, pièces jointes non documentées, champs personnalisés dont personne ne se souvient de l’origine.

L’objectif n’est pas l’exhaustivité, c’est la prise de conscience. Dans la quasi-totalité des PME qui s’y prêtent, au moins trois catégories de données non anticipées remontent systématiquement :

  • informations de santé glissées dans des notes,
  • documents d’identité en pièce jointe,
  • données financières personnelles dans des champs libres.

Une fois cet état des lieux fait, classez ce que vous trouvez selon trois niveaux :

NiveauType de donnéesAction
StandardIdentité, coordonnées, historique commercialConserver, protéger par gestion des accès
Métier confidentielContrats, marges, prix, négociationsRestreindre l’accès, ancien les équipes
Sensible ou très sensibleSanté, IBAN complet, pièce d’identité, données art. 9 RGPDSupprimer si non nécessaire, ou isoler avec protection renforcée

Appliquer le principe de minimisation avant tout outil

Le principe de minimisation est la mesure de protection la plus efficace et la moins coûteuse qui soit : si vous ne stockez pas une donnée sensible, vous ne pouvez ni la violer ni être sanctionné pour sa mauvaise gestion.

Concrètement, cela signifie prendre trois décisions organisationnelles avant de toucher à la moindre configuration technique.

Décision 1 : définir ce que le CRM a le droit de contenir

Rédigez une politique interne d’une page précisant les types de données autorisées par objet CRM (contact, entreprise, deal, ticket). Ce document n’a pas besoin d’être juridique : il doit être lisible par un commercial de 25 ans qui vient d’arriver dans l’entreprise.

Décision 2 : Anciennes équipes

Une pièce d’identité reçue par e-mail n’a pas sa place dans un ticket CRM. Elle doit aller dans un espace documentaire dédié, avec accès contrôlé. Cette frontière entre ce qui relève du CRM et ce qui relève du stockage sécurisé doit être connue et comprise par tous, pas seulement écrite dans une charte que personne ne lit.

Décision 3 : Purger ce qui n’a pas de raison d’être là

Pour chaque donnée sensible identifiée lors de l’audit, posez la question : en avons-nous besoin pour exercer notre activité ? Si non, supprimez-la. La CNIL rappelle que la minimisation impose des données adéquates, pertinentes et limitées à ce qui est nécessaire .

Configurer les techniques de protection dans HubSpot

Pour les entreprises utilisant HubSpot en édition « Entreprise », la plateforme propose des mécanismes de protection natifs dont l’activation doit être une décision consciencieuse et documentée, pas un défaut découvert par hasard.

Sensitive Data

La fonctionnalité Sensitive Data permet de marquer des propriétés comme sensibles ou très sensibles. Les propriétés hautement sensibles sont chiffrées par défaut : leur valeur est masquée à l’écran et ne peut être déchiffrée que par un utilisateur autorisé, chaque consultation étant enregistrée dans les journaux d’audit.

Ce que cette fonctionnalité ne couvre pas
  • Les données sensibles sont indisponibles dans les sandbox, chatbots, playbooks et jetons de personnalisation
  • Les fonctionnalités IA Breeze ne font pas partie du périmètre Sensitive Data : insérer ces données dans un prompt les exposer hors de tout cadre de protection
  • Un compte ayant activé Sensitive Data ne peut pas servir de source pour le data mirroring dans une architecture multi-comptes
  • L’activation est irréversible : une fois le paramètre activé, il ne peut plus être désactivé

Les quatre autres leviers à activer en priorité

  1. Restrictions d’accès au niveau du champ : définir précisément qui peut voir et modifier chaque propriété sensible, dépendant du rôle général de l’utilisateur
  2. « Permission sets Enterprise » : permet de créer des profils d’accès granulaires par fonction. Ainsi, le commercial junior ne doit pas accéder aux mêmes données que le directeur financier
  3. Double authentification obligatoire : l’authentification forte est la première ligne de défense contre les accès non autorisés
  4. Audit logs activés et consultés : les journaux d’activité ne servent à rien s’ils ne sont pas lus régulièrement. Il faut à minima proposer une revue mensuelle.

Remarque

Il existe un point de vigilance qui est souvent négligé.

Les autorisations configurées dans l’interface HubSpot ne protègent pas contre les accès via l’API. Un utilisateur sans droit d’édition sur une propriété dans l’interface peut malgré tout définir sa valeur via l’API HubSpot si les accès API ne sont pas gouvernés avec la même rigueur.

La gouvernance des données sensibles doit couvrir vos connecteurs, vos « webhooks » et vos intégrations tierces avec la même exigence que l’interface utilisateur.

Définir une doctrine IA pour votre CRM

L’activation d’une IA dans votre CRM n’est pas un paramètre anodin. C’est une décision de gouvernance qui mérite d’être prise clairement, documentée et revue régulièrement.

Dans HubSpot, quatre paramètres IA doivent être examinés et décidés consciemment :

  • Accès aux données CRM : activé par défaut. Pensez à les restreindre si des données sensibles sont présentes dans des propriétés accessibles à l’IA
  • Accès aux données de conversations clients : activé par défaut. C’est un point particulièrement risqué si vos appels sont transcrits automatiquement
  • Accès aux fichiers : désactivé par défaut. Ne pas activer sans analyser préalablement le contenu des pièces jointes
  • Entraînement des modèles HubSpot sur vos données : activé par défaut, sauf pour les comptes ayant activé Sensitive Data, pour lesquels l’opt-out est automatique et non révocable

Les quatre questions à se poser avant d’activer un agent IA sur votre CRM :

  1. Quelles données cet agent peut-il lire ? Y a-t-il des données sensibles dans son périmètre d’accès ?
  2. Ses sorties sont-elles des réponses par un humain avant envoi ou publication ?
  3. Existe-t-il un journal d’exécution consultable en cas d’incident ?
  4. Votre éditeur CRM garantit-il contractuellement que ses fournisseurs IA tiers n’utilisent pas vos données pour entraîner leurs modèles ?

HubSpot indique que ses fournisseurs IA tiers (dont OpenAI et Anthropic) ne sont pas autorisés à utiliser les données clients pour entraîner leurs modèles, et que la rétention est minimisée avec une politique de zéro rétention lorsque cela est possible. Cette garantie contractuelle est rassurante. Elle ne dispense pas pour autant d’une doctrine interne claire sur ce que vous autorisez l’IA à voir dans votre CRM.

Trois situations concrètes de dirigeants face aux données sensibles

La gouvernance des données sensibles ne se vit pas de la même manière selon votre secteur et votre organisation. Voici trois situations représentatives des TPE/PME françaises, avec les arbitrages que chacune impose.

Le cabinet de conseil ou l’agence de services B2B

Dans ces structures, les données sensibles entrent dans le CRM par un canal souvent sous-estimé : les notes de réunion.

Une note commerciale indiquant qu’un contact traverse une procédure de divorce qui bloque les décisions budgétaires. Un chef de projet mentionne qu’un interlocuteur est en arrêt longue durée. Ces informations, saisies avec les meilleures intentions, constituent des données de santé ou des données à caractère personnel renforcé au sens du RGPD.

S’y ajoutent les transcriptions automatiques d’appels, désormais activées par défaut dans de nombreux CRM connectés à une IA. Une transcription peut capturer en quelques minutes des informations que votre interlocuteur n’aurait jamais pensé “stocker” quelque part.

Trois mesures prioritaires :

  • Interdire dans la politique interne le stockage d’informations sur la situation personnelle, médicale ou familiale des contacts dans les notes CRM
  • Définir une politique de conservation et de suppression des transcriptions automatiques d’appels
  • Créer un espace documentaire séparé, à accès restreint, pour tout document contractuel ou confidentiel reçu d’un client

L’organisme de formation ou le secteur réglementé

Les organismes de formation gèrent simultanément trois populations dans leur CRM :

  • l’entreprise cliente,
  • le responsable RH acheteur,
  • l’apprenant.

C’est cette troisième fiche qui concentre les risques les plus élevés.

Une situation de handicap nécessitant une adaptation pédagogique, un apprenant mineur, un dossier de financement OPCO contenant des données sociales : ces éléments relevant de catégories protégées par l’article 9 du RGPD. Les stocker dans un standard commercial CRM, sans configuration adaptée, constituent une violation potentielle,  même si personne n’en a eu conscience.

La CNIL recommande de séparer strictement les bases commerciales et les bases à caractère médical ou social. Si vous utilisez HubSpot dans ce contexte, l’activation de « Sensitive Data Enterprise » est une condition nécessaire, mais attention, elle ne suffit pas : ces propriétés restent indisponibles dans les chatbots et les automatisations courantes, ce qui limite les workflows possibles et impose de repenser certains processus.

Mesure préventive : avant tout déploiement d’automatisation sur des données d’apprenants, faites réaliser une Analyse d’Impact relatif à la Protection des Données (AIPD) par votre DPO ou un conseil juridique spécialisé. C’est une obligation légale pour les traitements à risque élevé.

La PME industrielle ou le distributeur B2B multi-utilisateurs

Dans ces structures, le risque principal n’est pas la nature des données distribuées, ce sont rarement des données de santé, mais leur accessibilité non gouvernée. Lorsqu’une PME de 80 personnes dispose de 20 utilisateurs HubSpot sans segmentation de droits, le commercial junior accède aux mêmes données que le directeur commercial : conditions tarifaires négociées, marges par client, clauses contractuelles spécifiques.

Ces données ne relèvent pas de l’article 9 du RGPD, mais leur exposition non maîtrisée constitue un risque commercial et concurrentiel majeur. Un départ de collaborateur, une négligence, un accès non révoqué après une fin de contrat : les conséquences peuvent être sévères.

Deux mesures immédiates :

  • Implémenter dans Hubspot des équipes segmentées par rôle ou territoire dès que vous dépassez 10 utilisateurs actifs, avec des droits d’accès aux fiches et aux propriétés définies par profil
  • Mettre en place une procédure de révocation des accès dans les 24 heures suivant tout départ ou changement de fonction, et l’inscrire dans le processus RH standard de l’entreprise

Ce qu’il faut retenir

Votre CRM contient probablement des données sensibles que vous n’avez pas identifiées.

Votre CRM contient probablement des données sensibles que vous n’avez pas identifiées. Elles n’y sont pas par malveillance : elles y sont par habitude. Un audit rapide de 50 fiches suffit à prendre la mesure.

La donnée sensible est une catégorie juridique précise, définie par l’article 9 du RGPD (santé, origines, convictions, biométrie), dont le traitement est interdit par défaut. En France, 87 sanctions ont été prononcées par la CNIL en 2024 pour 55,2 M€ au total.

La minimisation est votre meilleure protection. Si vous ne stockez pas une donnée sensible, vous ne pouvez pas la violer. Si elle est déjà là, supprimez-la.

La technique ne vaut rien sans gouvernance. Activer Sensitive Data dans HubSpot est nécessaire, pas suffisant. Vos accès API, intégrations et workflows doivent être gouvernés avec la même rigueur.

L’IA dans votre CRM crée une surface de risque nouvelle. Dans HubSpot, Breeze n’est pas couvert par Sensitive Data. Définissez clairement ce que votre IA a le droit de lire.

Trois décisions prioritaires : définissez ce que le CRM a le droit de contenir, formez vos équipes, purgez ce qui n’a pas de raison d’être là.

FAQ

Quelles données sont considérées comme sensibles dans un CRM ?

Les données au sens du RGPD sont celles répertoriées à l’article 9 : santé, origines sensibles ethniques, convictions religieuses ou politiques, appartenance syndicale, données biométriques. Dans un CRM, elles se cachent souvent dans des notes libres ou des pièces jointes plutôt que dans des champs structurés.

Une PME est-elle vraiment concernée par les sanctions RGPD ?

Oui. La CNIL ne conditionne aucun seuil de sanction à la taille de l’entreprise. En 2024, elle a prononcé 87 sanctions en France. L’obligation de notifier une violation dans les 72 heures s’applique à toutes les structures sans exception.

Peut-on stocker des données de santé dans HubSpot ?

Uniquement en édition Entreprise avec la fonctionnalité « Données Sensibles » activée, et sous réserve d’une base légale RGPD explicite. Cette activation est irréversible et exclut ces données des fonctionnalités IA, des chatbots et des sandbox.

Par où commencer concrètement pour sécuriser son CRM ?

Par un audit rapide de 50 fiches contacts et 20 tickets de support. Identifier ce qui ne devrait pas être là, supprimer ce qui est inutile, restreindre l’accès au strict nécessaire. La minimisation avant la technique.

Pas encore de votes.
Chargement...
Sommaire
  • Données sensibles dans un CRM : de quoi parle-t-on ?
  • Risques et obligations : ce que vous engagez en tant que dirigeant
  • Le risque spécifique des CRM connectés à une IA
  • Protéger les données sensibles dans votre CRM : méthode pratique
  • Trois situations concrètes de dirigeants face aux données sensibles
  • Ce qu'il faut retenir
  • FAQ

Simple

Économique

Rapide

Besoin d’aide pour créer votre entreprise ?

Besoin de changer d’adresse ?

Besoin de protéger votre marque ?