La plupart des guides RGPD expliquent la réglementation de manière abstraite. Celui-ci se concentre sur quelque chose de plus spécifique : ce que le RGPD exige réellement lorsque vous collectez des données via des formulaires en ligne, et ce que vous devez vérifier avant d’en publier un.
Si votre organisation collecte des données de personnes dans l’UE — via un formulaire de contact, un formulaire de génération de leads, une inscription à un événement, ou tout autre formulaire touchant des données personnelles — le RGPD peut s’appliquer à vous, quel que soit le lieu où se trouve le siège de votre organisation.
Cet article est à titre informatif uniquement et ne constitue pas un conseil juridique. Consultez un professionnel qualifié de la protection des données pour des conseils spécifiques à votre organisation.
Sur cette page
- À qui s’applique le RGPD
- Ce qui compte comme données personnelles dans le contexte d’un formulaire
- Base légale : laquelle s’applique à votre formulaire ?
- Champs de consentement : qu’est-ce qui les rend conformes au RGPD ?
- Minimisation des données : ne collectez que ce dont vous avez besoin
- Conservation des données : combien de temps pouvez-vous conserver les réponses des formulaires ?
- Le droit à l’effacement : ce que cela signifie pour les formulaires soumis
- Votre créateur de formulaires en tant que sous-traitant de données : ce qu’il faut exiger
- Liste de vérification de la conformité RGPD
À qui s’applique le RGPD
Le Règlement Général sur la Protection des Données (RGPD) s’applique à toute organisation qui :
- Est établie dans l’UE, quel que soit le lieu où se déroule le traitement des données, ou
- Traite des données personnelles de personnes dans l’UE, même si l’organisation elle-même est en dehors de l’UE, lorsque ce traitement est lié à l’offre de biens ou de services à des personnes dans l’UE ou à la surveillance de leur comportement
Cela signifie qu’une entreprise basée aux États-Unis qui exploite un formulaire de génération de leads que des personnes dans l’UE peuvent soumettre peut être soumise au RGPD si les conditions de l’article 3 sont remplies. Une entreprise SaaS avec des clients européens qui collecte des données via des formulaires d’intégration peut tomber sous le coup du RGPD sur la même base. La portée territoriale du règlement est large. Si vous offrez des biens ou des services à des personnes dans l’UE, ou surveillez leur comportement, le RGPD peut s’appliquer à vous, quel que soit le lieu où se trouve le siège de votre organisation.
Ce qui compte comme données personnelles dans le contexte d’un formulaire
Selon le RGPD, les données personnelles sont toute information qui peut identifier une personne physique, directement ou indirectement. Dans le contexte des formulaires en ligne, cela inclut :
- Données d’identification directe : nom, adresse e-mail, numéro de téléphone, adresse physique, date de naissance
- Données d’identification indirecte : adresse IP (si collectée lors de la soumission), identifiants de l’appareil, données de localisation
- Données sensibles (catégories particulières) : informations de santé, croyances religieuses, opinions politiques, origine raciale ou ethnique, données biométriques. Celles-ci sont soumises à des règles plus strictes selon l’article 9 et nécessitent qu’une condition spécifique de la liste de l’article 9(2) soit remplie avant que le traitement ne soit licite
Si votre formulaire collecte l’une des données ci-dessus, les exigences de conformité au RGPD s’appliquent à ces données.
Base légale : laquelle s’applique à votre formulaire ?
Le RGPD exige une base légale pour chaque instance de traitement de données personnelles (Article 6). Pour les formulaires en ligne, les bases les plus pertinentes sont :
Consentement — La personne concernée a donné un consentement clair, spécifique, éclairé et sans ambiguïté. Cela convient aux formulaires marketing, aux inscriptions à des newsletters et à la collecte de données facultative. Le consentement doit être donné librement et aussi facile à retirer qu’à donner.
Contrat — Le traitement est nécessaire à l’exécution d’un contrat, ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat. Cela s’applique aux formulaires de commande, de réservation et aux accords de service.
Intérêts légitimes — Le traitement est nécessaire aux intérêts légitimes du responsable du traitement ou d’un tiers, à condition que ces intérêts ne soient pas supplantés par les droits et intérêts de la personne concernée. Cela nécessite un test d’équilibre documenté en trois parties (objectif, nécessité, équilibre). Ce n’est pas une solution universelle, et les personnes concernées conservent le droit de s’opposer au traitement sur cette base selon l’article 21. Les responsables peuvent toutefois passer outre cette opposition s’ils peuvent démontrer des motifs légitimes impérieux qui l’emportent sur les intérêts de la personne concernée.
Obligation légale — Le traitement est requis par la loi. S’applique aux formulaires de conformité, à la documentation fiscale et aux dépôts réglementaires.
Conseils pratiques : La plupart des formulaires marketing et de génération de leads nécessitent le consentement comme base légale. La plupart des formulaires transactionnels (achats, réservations, contrats) reposent sur la base contractuelle. Utiliser la mauvaise base légale — ou prétendre avoir obtenu le consentement alors que l’utilisateur n’avait pas de véritable choix — est l’une des violations les plus courantes du RGPD.
Champs de consentement : qu’est-ce qui les rend conformes au RGPD ?
Si votre base légale est le consentement, le mécanisme pour obtenir ce consentement est important. Le RGPD fixe des exigences spécifiques :
À quoi ressemble un consentement valide :
- Une action claire et affirmative — une case à cocher non cochée que l’utilisateur doit cocher activement, pas une case cochée par défaut
- Spécifique à l’objectif — des cases à cocher séparées pour des objectifs distincts (par exemple, une pour le traitement de la soumission du formulaire, une autre pour les e-mails marketing)
- Éclairé — accompagné d’une brève explication de l’utilisation des données et d’un lien vers votre politique de confidentialité complète
- Donné librement — l’utilisateur doit pouvoir soumettre le formulaire sans être obligé de consentir à un traitement non lié, et il ne doit y avoir aucun déséquilibre de pouvoir ou préjudice pour le refus de consentement
À quoi ressemble un consentement invalide :
- Cases à cocher cochées par défaut
- Consentement intégré à l’acceptation des termes et conditions
- “En soumettant ce formulaire, vous acceptez…” sans mécanisme de consentement explicite séparé
- Consentement au marketing combiné avec le consentement au traitement de la demande — ceux-ci doivent être séparés
- Conception visuelle asymétrique qui incite les utilisateurs à consentir — par exemple, un bouton “Accepter” bien en vue associé à une option “Refuser” ou “Paramètres” grisée ou cachée. Les autorités du RGPD ont systématiquement constaté que ces pratiques trompeuses compromettent l’exigence de “consentement librement donné”, même lorsqu’une option de refus technique existe
Retrait du consentement : Le RGPD exige que le retrait soit aussi facile que le consentement. Pour les données collectées via des formulaires, cela signifie fournir un mécanisme de désinscription clair et honorer les demandes de suppression lorsque le consentement est la seule base légale.
Minimisation des données : ne collectez que ce dont vous avez besoin
Le principe de minimisation des données du RGPD (Article 5(1)(c)) stipule que vous ne devez collecter que les données personnelles qui sont adéquates, pertinentes et limitées à ce qui est nécessaire pour l’objectif déclaré.
Pour la conception des formulaires, cela signifie :
- Vérifiez vos champs — chaque champ sert-il l’objectif déclaré ? Un formulaire de contact n’a pas besoin d’une date de naissance. Une inscription à un webinaire n’a pas besoin d’un numéro de téléphone à moins que vous ne prévoyiez d’appeler les participants.
- Rendre les champs non essentiels facultatifs — si un champ est utile mais non requis, marquez-le comme facultatif et ne l’exigez pas pour la soumission du formulaire.
- Ne collectez pas de données que vous ne traitez pas — si vous collectez un champ mais ne l’utilisez jamais, cela crée une exposition inutile à la conformité.
La minimisation des données est également un avantage pratique : les formulaires plus courts ont des taux de complétion plus élevés. Le RGPD et une bonne expérience utilisateur vont dans le même sens.
Conservation des données : combien de temps pouvez-vous conserver les réponses des formulaires ?
Le principe de limitation de la conservation du RGPD (Article 5(1)(e)) exige que les données personnelles soient conservées pas plus longtemps que nécessaire pour l’objectif pour lequel elles ont été collectées.
Il n’existe pas de période de conservation imposée par le RGPD — la durée appropriée dépend de l’objectif, des réglementations sectorielles applicables et de la législation des États membres. Le tableau suivant illustre des considérations courantes, mais vos périodes de conservation spécifiques doivent être déterminées en consultation avec votre délégué à la protection des données ou votre conseiller juridique :
| Type de formulaire | Considération typique de conservation |
|---|---|
| Formulaires de contact / support | Durée de la relation de support + période de suivi raisonnable |
| Formulaires de génération de leads | Durée de l’engagement commercial actif ; documenter la base pour une conservation prolongée |
| Inscription à un événement | Jusqu’à l’événement, plus toute période de conservation légale requise |
| Formulaires de contrat / service | Durée du contrat + période de prescription légale applicable |
| Formulaires de candidature à l’emploi | Régis par la législation sur l’emploi des États membres, qui varie considérablement — par exemple, l’AGG (loi générale sur l’égalité de traitement) de l’Allemagne crée un cas pratique pour conserver les dossiers pendant environ 6 mois pour se défendre contre les réclamations de discrimination, tandis que d’autres juridictions diffèrent. Consultez votre DPO ou conseiller juridique avant de fixer une période de conservation |
Ce que cela signifie en pratique : Vous avez besoin d’une politique de conservation des données documentée, et vos données de soumission de formulaire doivent être supprimées ou anonymisées lorsque la période de conservation prend fin.
PlatoForms vous offre une conservation des données configurable au niveau du compte — de 0 jours (données supprimées instantanément après la synchronisation avec votre cloud) à Toujours, avec des options pour 7 jours, 30 jours, 3 mois, 6 mois, 1 an, et 3 ans entre les deux. Consultez la documentation de la politique de conservation des données pour les détails de configuration.
Le droit à l’effacement : ce que cela signifie pour les formulaires soumis
En vertu du RGPD, les personnes concernées ont le droit de demander la suppression de leurs données personnelles (Article 17). Pour les données collectées via des formulaires, cela signifie :
- Si quelqu’un soumet un formulaire de contact et demande ensuite l’effacement de ses données, vous devez être capable d’identifier et de supprimer sa soumission
- Si le consentement est retiré, les données collectées sur la base de ce consentement doivent être supprimées (à moins qu’une autre base légale ne s’applique)
- Les demandes d’effacement doivent être traitées sans retard excessif et en tout état de cause dans un délai d’un mois (avec la possibilité d’une prolongation de deux mois pour les cas complexes, selon l’article 12(3))
Exigences pratiques :
- Vous devez être capable d’identifier les soumissions par individu (recherchable par e-mail ou nom)
- Vous devez être capable de supprimer des soumissions spécifiques, pas seulement de vider en masse votre base de données
- Si les données de soumission ont été exportées vers d’autres systèmes (CRM, cloud, e-mail), ces copies doivent également être supprimées ou anonymisées — à moins qu’une base légale distincte n’existe pour les conserver dans ce système
PlatoForms vous permet de rechercher des soumissions et de supprimer des enregistrements individuels depuis le tableau de bord. La fonctionnalité Effacer toutes les soumissions gère la suppression en masse si nécessaire.
Votre créateur de formulaires en tant que sous-traitant de données : ce qu’il faut exiger
En vertu du RGPD, lorsque vous utilisez un créateur de formulaires tiers pour collecter des données personnelles, ce créateur de formulaires agit en tant que sous-traitant de données en votre nom. Vous êtes le responsable du traitement des données. Cela crée des obligations spécifiques selon l’article 28.
Vous devez avoir un Accord de Traitement des Données (DPA) en place avec votre créateur de formulaires. Un DPA est un contrat qui précise :
- Quelles données le sous-traitant traite
- Les finalités et la durée du traitement
- Les mesures de sécurité techniques et organisationnelles
- Les exigences de divulgation et d’autorisation des sous-traitants
- Les obligations en cas de violation de données
Utiliser un créateur de formulaires sans DPA pour collecter des données personnelles de l’UE peut vous mettre en violation des exigences du RGPD selon l’article 28, même si le créateur de formulaires lui-même est techniquement sécurisé.
Transferts de données transfrontaliers : Si votre créateur de formulaires stocke ou traite des données en dehors de l’UE/EEE, des exigences supplémentaires selon le chapitre V du RGPD s’appliquent — telles que les Clauses Contractuelles Types (SCC) ou la dépendance à une décision d’adéquation. Confirmez où vos données de soumission sont stockées et quel mécanisme de transfert est en place.
Ce qu’il faut rechercher chez un créateur de formulaires :
- Un DPA disponible pour examen et signature
- Données stockées dans des emplacements connus et divulgués (avec des options de résidence des données dans l’UE si pertinent)
- Transparence des sous-traitants (avec quels tiers le créateur de formulaires partage-t-il les données, et avez-vous autorisé leur utilisation ?)
- Chiffrement en transit et au repos
- Contrôles d’accès et journalisation des audits
- Un processus de notification de violation documenté
PlatoForms fournit un Accord de Traitement des Données (DPA) téléchargeable et un aperçu complet de l’infrastructure de sécurité, des sous-traitants et des certifications dans le Centre de Confiance.
Liste de vérification de la conformité RGPD pour les formulaires en ligne
Avant de publier tout formulaire qui collecte des données personnelles de l’UE :
Base légale
- Identifiez la base légale pour le traitement (consentement, contrat, intérêts légitimes, obligation légale, ou autre base de l’article 6)
- Documentez la base légale — ne vous fiez pas à la mémoire
- Si vous utilisez les intérêts légitimes : complétez et documentez un test d’équilibre ; assurez-vous que les personnes concernées peuvent exercer leur droit de s’opposer (Article 21)
Données de catégorie spéciale
- Si vous collectez des données sensibles (santé, religion, ethnicité, etc.), identifiez une condition spécifique selon l’article 9(2) — le consentement explicite est une option, mais pas la seule
- Appliquez des mesures de sécurité techniques supplémentaires appropriées pour les données de catégorie spéciale (par exemple, chiffrement, contrôles d’accès restreints)
Consentement (si le consentement est votre base légale)
- Utilisez des cases à cocher non cochées, pas des cases cochées par défaut
- Consentement séparé pour des objectifs distincts (traitement de la soumission vs. marketing)
- Incluez une brève description de l’objectif et un lien vers votre politique de confidentialité
- Assurez-vous que le retrait du consentement est aussi facile que le consentement
Minimisation des données
- Vérifiez chaque champ — chacun sert-il l’objectif déclaré ?
- Rendez les champs non essentiels facultatifs
- Supprimez les champs que vous ne traitez pas réellement
Conservation des données
- Documentez votre période de conservation pour les données de ce formulaire (déterminée avec l’avis juridique/DPO si nécessaire)
- Configurez la suppression automatique ou définissez un rappel de calendrier pour purger les anciennes soumissions
- Assurez-vous que votre créateur de formulaires prend en charge la conservation configurable
Droit à l’effacement
- Vous pouvez identifier les soumissions par individu
- Vous pouvez supprimer des soumissions individuelles sur demande
- Vous avez un processus pour traiter les demandes d’effacement sans retard excessif et dans un délai d’un mois
Exigences du sous-traitant et de transfert
- Vous avez un DPA signé avec votre créateur de formulaires
- Vous savez où vos données de soumission de formulaire sont stockées
- Vous savez quels sous-traitants votre créateur de formulaires utilise, et avez autorisé leur utilisation
- Si les données sont transférées en dehors de l’UE/EEE, un mécanisme de transfert valide (SCC, décision d’adéquation, etc.) est en place
La conformité au RGPD pour les formulaires concerne moins la théorie juridique que les décisions opérationnelles : ce que vous collectez, comment vous obtenez le consentement, combien de temps vous le conservez, et quels accords vous avez en place avec vos outils.
La liste de vérification ci-dessus couvre le minimum pratique. Pour les scénarios de traitement complexes — données de catégorie spéciale, collecte de leads à haut volume, transferts de données transfrontaliers, ou évaluations des intérêts légitimes — un délégué à la protection des données ou un conseiller juridique qualifié devrait examiner votre configuration spécifique.
Pour la documentation de conformité de PlatoForms, le DPA téléchargeable, et l’aperçu de l’architecture de sécurité, consultez le Centre de Confiance.