Aller au contenu principal
ConformeCheck

Formulaire de contact RGPD : les 5 règles à respecter

Un simple formulaire de contact collecte des données personnelles (nom, email, téléphone) et relève donc du RGPD. Pourtant, la majorité des sites de PME ne respectent pas les règles de base. Voici les 5 règles essentielles pour un formulaire conforme.

Règle 1 : Ajouter une mention d’information

Les articles 13 et 14 du RGPD imposent d’informer la personne au moment de la collecte. Sous votre formulaire, ajoutez une mention courte indiquant :

  • Qui collecte les données (votre entreprise)
  • Pourquoi (répondre à votre demande)
  • Combien de temps (durée de conservation)
  • Quels droits (accès, rectification, effacement)
  • Un lien vers la politique de confidentialité complète

Exemple : « Les informations recueillies font l’objet d’un traitement par [Entreprise] pour répondre à votre demande. Elles sont conservées 3 ans. Vous disposez d’un droit d’accès, de rectification et d’effacement. En savoir plus dans notre politique de confidentialité. »

Règle 2 : Ne collecter que le nécessaire

Le principe de minimisation (article 5 du RGPD) impose de ne collecter que les données strictement nécessaires à la finalité. Pour un formulaire de contact : nom et email suffisent généralement. Le téléphone, l’adresse postale ou la date de naissance ne sont justifiés que si vous en avez réellement besoin.

Marquez clairement les champs obligatoires et facultatifs.

Règle 3 : Pas de case pré-cochée pour le marketing

Si votre formulaire inclut une case « Je souhaite recevoir votre newsletter » ou « J’accepte de recevoir des offres commerciales », cette case ne doit PAS être pré-cochée. Le consentement doit être un acte positif et explicite (arrêt CJUE Planet49). Le consentement pour le marketing est distinct de la finalité de contact.

Règle 4 : Définir une durée de conservation

Les données collectées via un formulaire de contact doivent avoir une durée de conservation définie et justifiée :

  • Demande de contact ponctuelle : 12 à 24 mois
  • Prospect (pas encore client) : 3 ans après le dernier contact
  • Client actif : durée de la relation + 3 ans

Passé ce délai, les données doivent être supprimées ou anonymisées.

Règle 5 : Sécuriser la transmission

L’article 32 du RGPD impose des mesures de sécurité adaptées. Pour un formulaire, cela signifie :

  • HTTPS obligatoire — Les données doivent transiter de manière chiffrée
  • Protection anti-spam — CAPTCHA ou honeypot pour éviter les soumissions automatiques
  • Validation côté serveur — Ne jamais faire confiance aux données côté client
  • Stockage sécurisé — Les données reçues doivent être stockées dans un système sécurisé

Base juridique : consentement ou intérêt légitime ?

Bonne nouvelle : un formulaire de contact ne nécessite pas forcément le consentement explicite. Le traitement peut reposer sur l’intérêt légitime (article 6.1.f du RGPD) : vous avez un intérêt légitime à répondre aux demandes reçues via votre site. En revanche, la mention d’information reste obligatoire, et l’envoi de newsletter nécessite un consentement séparé.

Vérifiez vos formulaires avec ConformCheck

ConformCheck analyse automatiquement les formulaires de votre site et vérifie la présence de mentions d’information, l’absence de cases pré-cochées, et la sécurisation HTTPS. Le scan est gratuit et prend 30 secondes.