On le voit souvent sur des sites de petites entreprises : un formulaire de contact qui se résume à trois champs et un bouton « Envoyer ». Simple, propre et pourtant pas vraiment conforme au RGPD. Pas parce que le créateur du site était négligent, mais parce que les règles ne sont pas toujours claires, et qu’on n’a pas toujours le temps de s’y pencher sérieusement.
Résultat ? Des sites qui collectent des données sans vraiment informer les visiteurs. Et une amende potentielle qui, même si elle ne tombera peut-être jamais, reste une épée de Damoclès un peu inconfortable.
Bonne nouvelle : se mettre en conformité n’est pas aussi compliqué qu’on le croit. Voilà ce qu’il faut vraiment mettre en place sans jargon juridique, juste du concret.
Ce que le RGPD exige vraiment pour un formulaire de contact
Le Règlement Général sur la Protection des Données, en vigueur depuis mai 2018, impose une règle simple : si vous collectez des données personnelles (un nom, un email, un numéro de téléphone), vous devez informer la personne de ce que vous en faites. Et obtenir son consentement éclairé quand c’est nécessaire.
Pour un formulaire de contact, ça se traduit concrètement par quelques éléments obligatoires — et d’autres qu’on ajoute souvent à tort en croyant être plus conformes.
Ce qu’il faut (et ce qu’il ne faut pas) mettre sur votre formulaire
| Élément | Obligatoire ? | Pourquoi |
|---|---|---|
| Mention d’information (qui traite les données, pourquoi, combien de temps) | Oui | Base légale du RGPD — article 13 |
| Lien vers la politique de confidentialité | Oui | Doit être accessible facilement depuis le formulaire |
| Case à cocher « J’accepte les CGU » | ❌ Non (sauf si vous envoyez des emails marketing) | Le simple envoi d’un message ne nécessite pas de case opt-in |
| Champ « Données sensibles » (santé, origine…) | ❌ À éviter | Ces données nécessitent un traitement juridique renforcé |
| Mentions sur la durée de conservation des données | Oui | Indiquez combien de temps vous conservez les messages reçus |
| Coordonnées du responsable de traitement | Oui | Doit figurer dans la politique de confidentialité |
| Case opt-in si vous envoyez une newsletter ensuite | Oui | Le consentement doit être explicite et séparé |
La mention d’information : ce que vous devez écrire (et où le mettre)
Beaucoup de sites placent un texte interminable sous le formulaire que personne ne lit. Ce n’est pas ce qu’on vous recommande. Une phrase claire suffit à condition qu’elle contienne les bons éléments.
Voici un exemple qui fonctionne :
Les données collectées via ce formulaire sont utilisées uniquement pour répondre à votre message. Elles sont conservées 3 ans maximum et ne sont jamais transmises à des tiers. Conformément au RGPD, vous pouvez exercer vos droits en nous contactant à contact@votreentreprise.fr. Pour en savoir plus, consultez notre politique de confidentialité.
Pas besoin de faire plus long. Ce qui compte, c’est que l’information soit là, lisible, avant que le visiteur clique sur « Envoyer ».
La politique de confidentialité : indispensable, mais souvent bâclée
C’est la page qu’on crée en cinq minutes avec un générateur en ligne et qu’on oublie ensuite. Le problème, c’est qu’une politique de confidentialité générique qui ne correspond pas à votre réalité, ça ne protège pas grand-chose.
Elle doit mentionner : qui est responsable du traitement, quelles données sont collectées, pourquoi, pendant combien de temps, et comment les utilisateurs peuvent exercer leurs droits (accès, rectification, suppression). Si vous utilisez des outils tiers Google Analytics, Mailchimp, un CRM ils doivent également figurer.
Si vous ne savez pas par où commencer, la CNIL propose un modèle gratuit sur son site. C’est un bon point de départ à personnaliser ensuite avec vos vrais outils et vos vraies pratiques.
FAQ : Les questions qu’on nous pose le plus souvent
Est-ce que j’ai besoin d’une case à cocher obligatoire sur mon formulaire de contact ?
Oui, la case à cocher RGPD formulaire contact est essentielle pour assurer la conformité RGPD formulaire de contact sur votre site internet. Elle permet d’obtenir le consentement explicite de l’utilisateur avant de collecter ses données personnelles. De plus, il est impératif d’inclure une mention RGPD formulaire afin d’informer les utilisateurs sur l’utilisation de leurs données. Pour les sites WordPress, il existe des plugins facilitant l’intégration d’un formulaire RGPD conforme, garantissant ainsi une gestion adéquate des données personnelles.
Mon site est une petite entreprise — le RGPD s’applique vraiment à moi ?
Oui, dès que vous collectez des données personnelles de citoyens européens, le RGPD s’applique — peu importe votre taille. Cela dit, les obligations concrètes sont proportionnelles à votre activité. Une TPE qui reçoit dix messages par mois n’a pas les mêmes contraintes qu’un e-commerce qui gère des milliers de commandes.
Combien de temps puis-je conserver les messages reçus via mon formulaire ?
En règle générale, les données de contact peuvent être conservées 3 ans après le dernier échange. Passé ce délai, vous devez les supprimer ou les anonymiser. Cette durée doit être mentionnée dans votre politique de confidentialité et dans la mention d’information sous le formulaire.
Que se passe-t-il si je ne suis pas conforme ?
La CNIL peut prononcer des avertissements, des mises en demeure ou des amendes — jusqu’à 4 % du chiffre d’affaires annuel mondial (ou 20 millions d’euros pour les cas les plus graves). En pratique, les petites structures reçoivent rarement des sanctions lourdes, mais les signalements de la part d’utilisateurs mécontents sont bien réels. Mieux vaut être en règle.
J’utilise un plugin de formulaire WordPress — comment être sûr qu’il est conforme ?
Les plugins comme Contact Form 7, WPForms ou Gravity Forms permettent d’ajouter facilement une mention d’information sous le formulaire. Ce que le plugin gère : la mise en forme. Ce que vous devez gérer : le contenu de cette mention, et le fait que les données soumises soient bien stockées (ou non) dans votre base de données WordPress. Vérifiez aussi que les emails reçus ne sont pas stockés indéfiniment dans votre boîte mail sans organisation.
