Conformité RGPD pour les formulaires en ligne : Une liste de vérification pratique

La plupart des guides RGPD expliquent la réglementation. Celui-ci explique ce que cela signifie spécifiquement pour vos formulaires.
Luna Qin Dernière modification: 24 juin 2026
Temps de lecture: 12 minutes.

Liste de vérification de la conformité RGPD pour les formulaires en ligne : consentement, conservation des données et accords de sous-traitance

La plupart des guides RGPD expliquent la réglementation de manière abstraite. Celui-ci se concentre sur quelque chose de plus spécifique : ce que le RGPD exige réellement lorsque vous collectez des données via des formulaires en ligne, et ce que vous devez vérifier avant d’en publier un.

Si votre organisation collecte des données de personnes dans l’UE — via un formulaire de contact, un formulaire de génération de leads, une inscription à un événement, ou tout autre formulaire touchant des données personnelles — le RGPD peut s’appliquer à vous, quel que soit le lieu où se trouve le siège de votre organisation.

Cet article est à titre informatif uniquement et ne constitue pas un conseil juridique. Consultez un professionnel qualifié de la protection des données pour des conseils spécifiques à votre organisation.


À qui s’applique le RGPD

Le Règlement Général sur la Protection des Données (RGPD) s’applique à toute organisation qui :

  • Est établie dans l’UE, quel que soit le lieu où se déroule le traitement des données, ou
  • Traite des données personnelles de personnes dans l’UE, même si l’organisation elle-même est en dehors de l’UE, lorsque ce traitement est lié à l’offre de biens ou de services à des personnes dans l’UE ou à la surveillance de leur comportement

Cela signifie qu’une entreprise basée aux États-Unis qui exploite un formulaire de génération de leads que des personnes dans l’UE peuvent soumettre peut être soumise au RGPD si les conditions de l’article 3 sont remplies. Une entreprise SaaS avec des clients européens qui collecte des données via des formulaires d’intégration peut tomber sous le coup du RGPD sur la même base. La portée territoriale du règlement est large. Si vous offrez des biens ou des services à des personnes dans l’UE, ou surveillez leur comportement, le RGPD peut s’appliquer à vous, quel que soit le lieu où se trouve le siège de votre organisation.


Ce qui compte comme données personnelles dans le contexte d’un formulaire

Selon le RGPD, les données personnelles sont toute information qui peut identifier une personne physique, directement ou indirectement. Dans le contexte des formulaires en ligne, cela inclut :

  • Données d’identification directe : nom, adresse e-mail, numéro de téléphone, adresse physique, date de naissance
  • Données d’identification indirecte : adresse IP (si collectée lors de la soumission), identifiants de l’appareil, données de localisation
  • Données sensibles (catégories particulières) : informations de santé, croyances religieuses, opinions politiques, origine raciale ou ethnique, données biométriques. Celles-ci sont soumises à des règles plus strictes selon l’article 9 et nécessitent qu’une condition spécifique de la liste de l’article 9(2) soit remplie avant que le traitement ne soit licite

Si votre formulaire collecte l’une des données ci-dessus, les exigences de conformité au RGPD s’appliquent à ces données.


Base légale : laquelle s’applique à votre formulaire ?

Le RGPD exige une base légale pour chaque instance de traitement de données personnelles (Article 6). Pour les formulaires en ligne, les bases les plus pertinentes sont :

Illustration montrant quatre bases légales de l'article 6 du RGPD pour les formulaires en ligne : consentement, contrat, intérêts légitimes et obligation légale

Consentement — La personne concernée a donné un consentement clair, spécifique, éclairé et sans ambiguïté. Cela convient aux formulaires marketing, aux inscriptions à des newsletters et à la collecte de données facultative. Le consentement doit être donné librement et aussi facile à retirer qu’à donner.

Contrat — Le traitement est nécessaire à l’exécution d’un contrat, ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat. Cela s’applique aux formulaires de commande, de réservation et aux accords de service.

Intérêts légitimes — Le traitement est nécessaire aux intérêts légitimes du responsable du traitement ou d’un tiers, à condition que ces intérêts ne soient pas supplantés par les droits et intérêts de la personne concernée. Cela nécessite un test d’équilibre documenté en trois parties (objectif, nécessité, équilibre). Ce n’est pas une solution universelle, et les personnes concernées conservent le droit de s’opposer au traitement sur cette base selon l’article 21. Les responsables peuvent toutefois passer outre cette opposition s’ils peuvent démontrer des motifs légitimes impérieux qui l’emportent sur les intérêts de la personne concernée.

Obligation légale — Le traitement est requis par la loi. S’applique aux formulaires de conformité, à la documentation fiscale et aux dépôts réglementaires.

Conseils pratiques : La plupart des formulaires marketing et de génération de leads nécessitent le consentement comme base légale. La plupart des formulaires transactionnels (achats, réservations, contrats) reposent sur la base contractuelle. Utiliser la mauvaise base légale — ou prétendre avoir obtenu le consentement alors que l’utilisateur n’avait pas de véritable choix — est l’une des violations les plus courantes du RGPD.


Si votre base légale est le consentement, le mécanisme pour obtenir ce consentement est important. Le RGPD fixe des exigences spécifiques :

À quoi ressemble un consentement valide :

  • Une action claire et affirmative — une case à cocher non cochée que l’utilisateur doit cocher activement, pas une case cochée par défaut
  • Spécifique à l’objectif — des cases à cocher séparées pour des objectifs distincts (par exemple, une pour le traitement de la soumission du formulaire, une autre pour les e-mails marketing)
  • Éclairé — accompagné d’une brève explication de l’utilisation des données et d’un lien vers votre politique de confidentialité complète
  • Donné librement — l’utilisateur doit pouvoir soumettre le formulaire sans être obligé de consentir à un traitement non lié, et il ne doit y avoir aucun déséquilibre de pouvoir ou préjudice pour le refus de consentement

À quoi ressemble un consentement invalide :

  • Cases à cocher cochées par défaut
  • Consentement intégré à l’acceptation des termes et conditions
  • “En soumettant ce formulaire, vous acceptez…” sans mécanisme de consentement explicite séparé
  • Consentement au marketing combiné avec le consentement au traitement de la demande — ceux-ci doivent être séparés
  • Conception visuelle asymétrique qui incite les utilisateurs à consentir — par exemple, un bouton “Accepter” bien en vue associé à une option “Refuser” ou “Paramètres” grisée ou cachée. Les autorités du RGPD ont systématiquement constaté que ces pratiques trompeuses compromettent l’exigence de “consentement librement donné”, même lorsqu’une option de refus technique existe

Retrait du consentement : Le RGPD exige que le retrait soit aussi facile que le consentement. Pour les données collectées via des formulaires, cela signifie fournir un mécanisme de désinscription clair et honorer les demandes de suppression lorsque le consentement est la seule base légale.


Minimisation des données : ne collectez que ce dont vous avez besoin

Le principe de minimisation des données du RGPD (Article 5(1)(c)) stipule que vous ne devez collecter que les données personnelles qui sont adéquates, pertinentes et limitées à ce qui est nécessaire pour l’objectif déclaré.

Pour la conception des formulaires, cela signifie :

  • Vérifiez vos champs — chaque champ sert-il l’objectif déclaré ? Un formulaire de contact n’a pas besoin d’une date de naissance. Une inscription à un webinaire n’a pas besoin d’un numéro de téléphone à moins que vous ne prévoyiez d’appeler les participants.
  • Rendre les champs non essentiels facultatifs — si un champ est utile mais non requis, marquez-le comme facultatif et ne l’exigez pas pour la soumission du formulaire.
  • Ne collectez pas de données que vous ne traitez pas — si vous collectez un champ mais ne l’utilisez jamais, cela crée une exposition inutile à la conformité.

La minimisation des données est également un avantage pratique : les formulaires plus courts ont des taux de complétion plus élevés. Le RGPD et une bonne expérience utilisateur vont dans le même sens.


Conservation des données : combien de temps pouvez-vous conserver les réponses des formulaires ?

Le principe de limitation de la conservation du RGPD (Article 5(1)(e)) exige que les données personnelles soient conservées pas plus longtemps que nécessaire pour l’objectif pour lequel elles ont été collectées.

Il n’existe pas de période de conservation imposée par le RGPD — la durée appropriée dépend de l’objectif, des réglementations sectorielles applicables et de la législation des États membres. Le tableau suivant illustre des considérations courantes, mais vos périodes de conservation spécifiques doivent être déterminées en consultation avec votre délégué à la protection des données ou votre conseiller juridique :

Type de formulaire Considération typique de conservation
Formulaires de contact / support Durée de la relation de support + période de suivi raisonnable
Formulaires de génération de leads Durée de l’engagement commercial actif ; documenter la base pour une conservation prolongée
Inscription à un événement Jusqu’à l’événement, plus toute période de conservation légale requise
Formulaires de contrat / service Durée du contrat + période de prescription légale applicable
Formulaires de candidature à l’emploi Régis par la législation sur l’emploi des États membres, qui varie considérablement — par exemple, l’AGG (loi générale sur l’égalité de traitement) de l’Allemagne crée un cas pratique pour conserver les dossiers pendant environ 6 mois pour se défendre contre les réclamations de discrimination, tandis que d’autres juridictions diffèrent. Consultez votre DPO ou conseiller juridique avant de fixer une période de conservation

Ce que cela signifie en pratique : Vous avez besoin d’une politique de conservation des données documentée, et vos données de soumission de formulaire doivent être supprimées ou anonymisées lorsque la période de conservation prend fin.

PlatoForms vous offre une conservation des données configurable au niveau du compte — de 0 jours (données supprimées instantanément après la synchronisation avec votre cloud) à Toujours, avec des options pour 7 jours, 30 jours, 3 mois, 6 mois, 1 an, et 3 ans entre les deux. Consultez la documentation de la politique de conservation des données pour les détails de configuration.


Le droit à l’effacement : ce que cela signifie pour les formulaires soumis

En vertu du RGPD, les personnes concernées ont le droit de demander la suppression de leurs données personnelles (Article 17). Pour les données collectées via des formulaires, cela signifie :

  • Si quelqu’un soumet un formulaire de contact et demande ensuite l’effacement de ses données, vous devez être capable d’identifier et de supprimer sa soumission
  • Si le consentement est retiré, les données collectées sur la base de ce consentement doivent être supprimées (à moins qu’une autre base légale ne s’applique)
  • Les demandes d’effacement doivent être traitées sans retard excessif et en tout état de cause dans un délai d’un mois (avec la possibilité d’une prolongation de deux mois pour les cas complexes, selon l’article 12(3))

Exigences pratiques :

  1. Vous devez être capable d’identifier les soumissions par individu (recherchable par e-mail ou nom)
  2. Vous devez être capable de supprimer des soumissions spécifiques, pas seulement de vider en masse votre base de données
  3. Si les données de soumission ont été exportées vers d’autres systèmes (CRM, cloud, e-mail), ces copies doivent également être supprimées ou anonymisées — à moins qu’une base légale distincte n’existe pour les conserver dans ce système

PlatoForms vous permet de rechercher des soumissions et de supprimer des enregistrements individuels depuis le tableau de bord. La fonctionnalité Effacer toutes les soumissions gère la suppression en masse si nécessaire.


Votre créateur de formulaires en tant que sous-traitant de données : ce qu’il faut exiger

En vertu du RGPD, lorsque vous utilisez un créateur de formulaires tiers pour collecter des données personnelles, ce créateur de formulaires agit en tant que sous-traitant de données en votre nom. Vous êtes le responsable du traitement des données. Cela crée des obligations spécifiques selon l’article 28.

Vous devez avoir un Accord de Traitement des Données (DPA) en place avec votre créateur de formulaires. Un DPA est un contrat qui précise :

  • Quelles données le sous-traitant traite
  • Les finalités et la durée du traitement
  • Les mesures de sécurité techniques et organisationnelles
  • Les exigences de divulgation et d’autorisation des sous-traitants
  • Les obligations en cas de violation de données

Utiliser un créateur de formulaires sans DPA pour collecter des données personnelles de l’UE peut vous mettre en violation des exigences du RGPD selon l’article 28, même si le créateur de formulaires lui-même est techniquement sécurisé.

Transferts de données transfrontaliers : Si votre créateur de formulaires stocke ou traite des données en dehors de l’UE/EEE, des exigences supplémentaires selon le chapitre V du RGPD s’appliquent — telles que les Clauses Contractuelles Types (SCC) ou la dépendance à une décision d’adéquation. Confirmez où vos données de soumission sont stockées et quel mécanisme de transfert est en place.

Ce qu’il faut rechercher chez un créateur de formulaires :

  • Un DPA disponible pour examen et signature
  • Données stockées dans des emplacements connus et divulgués (avec des options de résidence des données dans l’UE si pertinent)
  • Transparence des sous-traitants (avec quels tiers le créateur de formulaires partage-t-il les données, et avez-vous autorisé leur utilisation ?)
  • Chiffrement en transit et au repos
  • Contrôles d’accès et journalisation des audits
  • Un processus de notification de violation documenté

PlatoForms fournit un Accord de Traitement des Données (DPA) téléchargeable et un aperçu complet de l’infrastructure de sécurité, des sous-traitants et des certifications dans le Centre de Confiance.


Liste de vérification de la conformité RGPD pour les formulaires en ligne

Avant de publier tout formulaire qui collecte des données personnelles de l’UE :

Base légale

  • Identifiez la base légale pour le traitement (consentement, contrat, intérêts légitimes, obligation légale, ou autre base de l’article 6)
  • Documentez la base légale — ne vous fiez pas à la mémoire
  • Si vous utilisez les intérêts légitimes : complétez et documentez un test d’équilibre ; assurez-vous que les personnes concernées peuvent exercer leur droit de s’opposer (Article 21)

Données de catégorie spéciale

  • Si vous collectez des données sensibles (santé, religion, ethnicité, etc.), identifiez une condition spécifique selon l’article 9(2) — le consentement explicite est une option, mais pas la seule
  • Appliquez des mesures de sécurité techniques supplémentaires appropriées pour les données de catégorie spéciale (par exemple, chiffrement, contrôles d’accès restreints)

Consentement (si le consentement est votre base légale)

  • Utilisez des cases à cocher non cochées, pas des cases cochées par défaut
  • Consentement séparé pour des objectifs distincts (traitement de la soumission vs. marketing)
  • Incluez une brève description de l’objectif et un lien vers votre politique de confidentialité
  • Assurez-vous que le retrait du consentement est aussi facile que le consentement

Minimisation des données

  • Vérifiez chaque champ — chacun sert-il l’objectif déclaré ?
  • Rendez les champs non essentiels facultatifs
  • Supprimez les champs que vous ne traitez pas réellement

Conservation des données

  • Documentez votre période de conservation pour les données de ce formulaire (déterminée avec l’avis juridique/DPO si nécessaire)
  • Configurez la suppression automatique ou définissez un rappel de calendrier pour purger les anciennes soumissions
  • Assurez-vous que votre créateur de formulaires prend en charge la conservation configurable

Droit à l’effacement

  • Vous pouvez identifier les soumissions par individu
  • Vous pouvez supprimer des soumissions individuelles sur demande
  • Vous avez un processus pour traiter les demandes d’effacement sans retard excessif et dans un délai d’un mois

Exigences du sous-traitant et de transfert

  • Vous avez un DPA signé avec votre créateur de formulaires
  • Vous savez où vos données de soumission de formulaire sont stockées
  • Vous savez quels sous-traitants votre créateur de formulaires utilise, et avez autorisé leur utilisation
  • Si les données sont transférées en dehors de l’UE/EEE, un mécanisme de transfert valide (SCC, décision d’adéquation, etc.) est en place

La conformité au RGPD pour les formulaires concerne moins la théorie juridique que les décisions opérationnelles : ce que vous collectez, comment vous obtenez le consentement, combien de temps vous le conservez, et quels accords vous avez en place avec vos outils.

La liste de vérification ci-dessus couvre le minimum pratique. Pour les scénarios de traitement complexes — données de catégorie spéciale, collecte de leads à haut volume, transferts de données transfrontaliers, ou évaluations des intérêts légitimes — un délégué à la protection des données ou un conseiller juridique qualifié devrait examiner votre configuration spécifique.

Pour la documentation de conformité de PlatoForms, le DPA téléchargeable, et l’aperçu de l’architecture de sécurité, consultez le Centre de Confiance.

À propos de l'auteur

Luna Qin

Luna Qin est stratège de contenu chez PlatoForms, avec sept ans d'expérience dans les plateformes de formulaires et de flux de travail pour les entreprises. Son travail antérieur en documentation chez Apple a façonné son style d'écriture clair et centré sur l'utilisateur. Chez PlatoForms, elle se concentre sur la production de guides clairs et basés sur la recherche qui aident les équipes à créer de meilleurs formulaires en ligne et à automatiser des processus PDF complexes.


Restez informé !

Abonnez-vous à nos blogs pour des informations, des conseils et des mises à jour exclusifs.

Contenu connexe Lire la suite