Guide d'intégration du consentement aux cookies HubSpot : suivi conforme au GDPR pour les marketeurs en 2026
HubSpot est l'une des plateformes marketing les plus profondément intégrées sur le web actuel. Son script de suivi tourne sur des millions de sites B2B, capturant les pages vues, les soumissions de formulaires, les sessions de chat et les comportements liés aux identifiants, qui remontent directement dans le CRM HubSpot. Le problème est que, par défaut, ce script commence à collecter des données personnelles dès le chargement de la page — bien avant que le visiteur ait eu la moindre possibilité de faire un choix. Pour toute organisation touchant du trafic en provenance de l'UE, du Royaume-Uni, du Brésil ou de Californie, ce comportement par défaut n'est plus conforme, et c'est de plus en plus le type de problème que les régulateurs signalent dans de vraies réclamations. Ce guide explique ce que HubSpot suit réellement, où se situe la frontière du consentement, et comment connecter HubSpot à une plateforme de gestion du consentement tierce pour que les analytics marketing continuent de fonctionner sans risquer une amende.
Pourquoi le suivi HubSpot a besoin d'un vrai signal de consentement
HubSpot dépose plusieurs cookies propriétaires sur l'appareil du visiteur dès l'exécution du script de suivi (le snippet JavaScript HubSpot, généralement hs-scripts.com/{hub_id}.js). Les plus importants sont __hstc, hubspotutk et __hssc, qui ensemble identifient le visiteur entre les sessions, relient les soumissions de formulaires à l'historique de navigation anonyme, et alimentent les modèles de lead-scoring dans le CRM. En vertu du GDPR et de la directive ePrivacy, les trois sont des cookies non essentiels qui exigent un consentement préalable librement donné, spécifique, éclairé et sans ambiguïté. Charger le snippet dans l'en-tête du document — ce qui est le modèle d'intégration par défaut de HubSpot — place ces cookies avant que le visiteur ait été interrogé sur quoi que ce soit.
Les conséquences ne sont pas théoriques. Les autorités de protection des données en France, en Italie et en Espagne ont toutes pris des mesures d'exécution au cours des deux dernières années contre des organisations dont les stacks marketing plaçaient des cookies de suivi avant le consentement. Les amendes ont varié de pénalités à cinq chiffres pour les petits éditeurs à des pénalités de plusieurs millions d'euros pour les grandes entreprises. La bannière de cookies native de HubSpot existe, mais elle est intentionnellement légère et ne bloque pas, à elle seule, le déclenchement du snippet. La plupart des contrôleurs de conformité la traitent comme une couche de notification plutôt que comme une couche de contrôle.
Ce que HubSpot suit réellement
Avant de décider comment conditionner HubSpot, il est utile d'être précis sur les catégories de traitement en jeu. La surface de suivi de HubSpot se divise en quatre compartiments qui se chevauchent, chacun avec ses propres implications en matière de consentement.
Analytics comportementale
Les événements de page vue, de clic, de défilement et de durée de session sont collectés automatiquement dès le chargement du code de suivi. Ces événements construisent la chronologie du visiteur visible dans les fiches de contact HubSpot et constituent le fondement de chaque règle de lead-scoring ou de workflow. Du point de vue d'un régulateur, il s'agit d'un suivi analytique simple qui exige un consentement opt-in dans l'UE et l'EEE. Au Royaume-Uni, les orientations 2023 de l'ICO le traitent de façon identique.
Formulaires et chat
Les formulaires HubSpot et le widget de chat HubSpot (anciennement intégration Drift) peuvent être configurés pour se charger indépendamment du script de suivi principal. Les soumissions de formulaires sont, dans la plupart des analyses juridiques, considérées comme une activité de traitement distincte avec sa propre base légale — généralement l'exécution d'un contrat ou l'intérêt légitime. Le chat qui enregistre des transcriptions sur un serveur tiers, en revanche, nécessite généralement un consentement pour l'enregistrement lui-même.
Couture d'identité inter-domaines
Si vous utilisez le même portail HubSpot sur plusieurs domaines, le snippet tentera de définir et de lire des cookies d'une manière qui relie les visiteurs à travers ces propriétés. Cela entre dans ce que l'EDPB appelle le « suivi » au sens strict et est la catégorie à risque le plus élevé. C'est aussi celle la plus susceptible d'être signalée lors d'une DPIA.
Intégrations marketing
HubSpot peut envoyer des événements vers Google Ads, Meta, LinkedIn et d'autres réseaux publicitaires via ses intégrations. Chacun de ces transferts ultérieurs comporte sa propre exigence de consentement et, dans l'UE, sa propre évaluation du transfert de données.
Bannière native HubSpot vs. CMP tierce
HubSpot est livré avec une bannière de consentement aux cookies intégrée que vous pouvez activer depuis Paramètres > Confidentialité & Consentement. Elle affichera un avis configurable, enregistrera un enregistrement de consentement contre le contact, et respectera un opt-out unique pour les analytics. Pour les très petites organisations opérant dans des juridictions à faible risque, cela peut suffire. Pour quiconque prend la conformité au sérieux — ou quiconque gère de la publicité prenant en charge le mode de consentement — ce n'est pas le cas.
Les raisons de passer à une CMP tierce sont pratiques :
- Catégories granulaires. La bannière native ne sépare pas les cookies strictement nécessaires, fonctionnels, analytiques et marketing en bascules distinctes, ce qui est la structure attendue par les régulateurs.
- Support IAB TCF et GPP. Si vous participez à la publicité programmatique, vous avez besoin d'une CMP certifiée Google qui émet une chaîne TC valide. La bannière native de HubSpot ne fait pas cela.
- Consent Mode v2. Google exige désormais des signaux de consentement livrés au format v2 pour le trafic EEE. Une CMP dédiée câble cela de bout en bout, y compris la configuration de refus par défaut.
- Multi-langue et accessibilité. La plupart des CMP sont livrées avec 30+ packs de langue et des paramètres par défaut conformes WCAG. La bannière intégrée de HubSpot est plus limitée.
- Journalisation de qualité audit. Une CMP dédiée enregistre chaque décision de consentement avec l'horodatage, la version de la bannière et le choix — les preuves que les régulateurs demandent lors des enquêtes.
Intégration étape par étape avec une CMP tierce
Le modèle d'intégration qui fonctionne de manière fiable est de garder le snippet HubSpot sur la page mais d'empêcher son exécution jusqu'à ce qu'une décision de consentement soit enregistrée. Voici l'approche canonique, rédigée de manière générique pour s'appliquer à toute CMP moderne y compris FlexyConsent.
1. Supprimer le snippet par défaut de l'en-tête du document
Dans le modèle de votre site, supprimez la balise <script> inline qui charge hs-scripts.com/{hub_id}.js. Remplacez-la par un espace réservé que votre CMP peut activer ultérieurement, généralement en définissant l'attribut type sur text/plain et en ajoutant un attribut de données de catégorie tel que data-category="marketing".
2. Mapper HubSpot à la bonne catégorie de consentement
La plupart des CMP utilisent l'IAB TCF ou un modèle à quatre compartiments : nécessaire, fonctionnel, analytique, marketing. Le script de suivi de HubSpot touche à la fois les catégories analytiques et marketing en raison de l'intégration CRM. Le mappage conservateur consiste à conditionner l'intégralité du snippet à la catégorie marketing, qui est le compartiment le plus restrictif. Si votre CMP permet un mappage fin, vous pouvez diviser : charger les formulaires sous fonctionnel, charger les événements analytiques sous analytique, et charger la couture d'identité CRM sous marketing.
3. Configurer le rappel d'activation
Votre CMP expose un événement ou un rappel qui se déclenche lorsqu'un utilisateur accorde son consentement pour une catégorie. Dans ce rappel, réécrivez l'attribut type de la balise script de l'espace réservé en text/javascript et ajoutez-la au document. Le script se chargera et s'exécutera alors normalement. Pour une SPA, enregistrez le rappel à chaque changement de route afin que les pages nouvellement montées reçoivent également l'activation.
4. Câbler le Consent Mode v2
Si vous utilisez Google Ads ou GA4 aux côtés de HubSpot, votre CMP doit injecter les signaux de consentement v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — dans le dataLayer avant le déclenchement d'une balise Google. HubSpot lui-même ne consomme pas ces signaux, mais le reste de votre stack oui, et l'incohérence entre HubSpot et Google apparaîtra dans vos rapports sous la forme d'un écart de revenus mesurable.
5. Synchroniser l'état du consentement dans le CRM HubSpot
Lorsqu'un contact connu met à jour son consentement (par exemple, en revisitant la bannière et en révoquant le consentement marketing), vous devez refléter cela dans l'enregistrement HubSpot afin que la logique de workflow arrête d'envoyer des e-mails marketing. L'API HubSpot expose un point de terminaison communication-preferences qui accepte les mises à jour au niveau des abonnements. La plupart des CMP peuvent être configurées pour appeler ce point de terminaison depuis un hook côté serveur.
Pièges courants et comment les éviter
Trois erreurs d'intégration représentent la majorité des résultats d'audit que nous observons sur les stacks à forte utilisation de HubSpot.
Chargement du snippet trop tôt
Certaines équipes placent la balise HubSpot dans un gestionnaire de balises et supposent que le gestionnaire de balises gère le consentement. Google Tag Manager honore bien le mode de consentement, mais uniquement pour les balises qui exigent explicitement un état accordé. Si la balise HubSpot est configurée sans cette exigence, GTM la déclenchera quand même. Définissez toujours le champ Consentement supplémentaire sur la balise pour exiger le consentement marketing avant le déclenchement.
Oublier les scripts de formulaire
Les formulaires HubSpot sont servis depuis un domaine distinct (forms.hsforms.com) et peuvent être intégrés avec leur propre script. Si vous conditionnez le snippet de suivi principal mais laissez le script de formulaire se charger au rendu initial, vous n'avez pas vraiment résolu le problème — la bibliothèque de formulaires définit ses propres cookies d'identification. Conditionnez les deux, et laissez la CMP les charger ensemble.
Traiter l'opt-out comme un opt-in
Les paramètres natifs de HubSpot incluent une option Do Not Track et un opt-out en un clic. Certaines équipes interprètent cela comme un mécanisme suffisant pour se conformer au GDPR. Ce n'est pas le cas — le GDPR exige un opt-in affirmatif pour les cookies non essentiels, et une case à cocher d'opt-out enfouie dans une page de confidentialité ne satisfait pas à cette exigence. Faites de la CMP la source faisant autorité de l'état du consentement, et configurez HubSpot pour s'y conformer.
Documentation prête pour l'audit
Une fois l'intégration technique en place, la dernière étape consiste à s'assurer que votre piste de preuves peut résister à une demande de régulateur. Au minimum, conservez un enregistrement de : les catégories auxquelles votre CMP mappe HubSpot, la version de la bannière de consentement en vigueur à une date donnée, des exemples de chaînes TC montrant un consentement valide, et les journaux API prouvant que HubSpot n'a déclenché aucun appel de suivi avant l'octroi du consentement. La plupart des actions d'exécution ne s'arrêtent pas sur la technologie mais sur la documentation — les organisations capables de produire une piste documentaire claire résolvent généralement les enquêtes beaucoup plus rapidement que celles qui ne le peuvent pas. Une plateforme de gestion du consentement qui exporte ces artefacts à la demande transforme l'audit d'une course effrénée de plusieurs semaines en une réponse d'une après-midi.