Aller au contenu
FFormhook
Retour au blog

Blog

Formulaires de contact conformes au GDPR : une checklist pratique

· 4 min de lecture

Un formulaire de contact est un traitement de données personnelles dans sa forme la plus pure : quelqu'un vous confie son nom, son e-mail et un message en texte libre. Le GDPR s'applique dès qu'un visiteur européen clique sur envoyer. La bonne nouvelle, c'est qu'un formulaire de contact conforme se résume à une poignée de décisions prises une bonne fois pour toutes.

Conseils pratiques de développeurs qui vivent cela au quotidien - pas un avis juridique. Pour des situations spécifiques, consultez un professionnel.

1. Ne collectez que ce que l'objectif exige

La minimisation des données est le principe le plus facile à respecter et le plus souvent enfreint. Un formulaire de contact a besoin d'un e-mail et d'un message. Numéro de téléphone, taille de l'entreprise, menu déroulant de budget - chaque champ supplémentaire doit avoir une raison d'être. Moins de champs, c'est aussi un meilleur taux de conversion : pour une fois, conformité et conversion vont dans le même sens.

2. Connaissez votre base légale (ce n'est probablement pas le consentement)

Pour un formulaire de contact, la base légale est généralement l'intérêt légitime ou les mesures précontractuelles - quelqu'un vous a écrit ; lui répondre est tout le sens de la démarche. Vous n'avez en général pas besoin d'une case de consentement rien que pour recevoir un message et y répondre. Là où il faut un consentement distinct, non précoché par défaut, c'est pour tout ce qui dépasse la réponse : newsletters, relances marketing. Ne mélangez jamais cela avec le bouton d'envoi.

3. Sachez où vivent physiquement les données

Votre prestataire de formulaire stocke la soumission quelque part, et détermine une bonne partie de votre paperasse. Si le prestataire stocke les données aux États-Unis, le transfert nécessite un mécanisme du Chapitre V - actuellement le cadre de protection des données UE–États-Unis (Data Privacy Framework) et/ou des clauses contractuelles types (CCT) - et votre politique de confidentialité doit le décrire. C'est faisable, mais c'est un travail qui se renouvelle à chaque évolution du paysage juridique (le Safe Harbor et le Privacy Shield ont tous deux été invalidés ; le DPF est contesté).

L'option structurellement la plus simple est un prestataire qui stocke les soumissions dans l'UE et ne les transfère jamais - il n'y a alors aucun transfert à documenter. Formhook stocke les soumissions en Allemagne, un point c'est tout. Dans les deux cas, l'élément de la checklist reste le même : trouvez l'emplacement de stockage dans la documentation de votre prestataire et assurez-vous que votre politique de confidentialité correspond à la réalité.

4. Ayez un DPA avec votre prestataire

L'article 28 : si un service traite des données personnelles pour votre compte, un accord de traitement des données doit exister. Tout prestataire de formulaire sérieux en propose un - voici celui de Formhook. Si un prestataire ne peut pas vous montrer de DPA, c'est disqualifiant en soi.

5. Décidez de la conservation - et soyez capable d'agir en conséquence

La limitation de la conservation, c'est savoir combien de temps vous gardez les soumissions et pourquoi. « Pendant toute la durée de la relation client » est une réponse parfaitement valable - mais votre outillage doit vous offrir deux capacités : supprimer des soumissions individuelles (demandes d'effacement) et tout exporter (demandes d'accès/de portabilité). Vérifiez que les deux existent avant d'en avoir besoin ; chez Formhook, la suppression se fait par soumission et l'export est un ZIP JSON complet sur tous les forfaits.

6. Rédigez honnêtement le paragraphe de la politique de confidentialité

Le paragraphe du formulaire doit préciser : ce qui est collecté, pourquoi, la base légale, qui le traite (nommez le prestataire), où c'est stocké, combien de temps c'est conservé, et comment demander la suppression. Si les données restent dans l'UE, ce paragraphe tient en deux phrases. S'il traverse l'Atlantique, il est plus long - mais le péché capital, c'est une politique qui ne correspond pas au flux de données réel.

La checklist

  • Le formulaire ne collecte que les champs nécessaires
  • Aucune case de consentement précochée ; consentement marketing (s'il y en a) distinct de l'envoi
  • Emplacement de stockage du prestataire connu et documenté
  • Mécanisme de transfert identifié (ou rendu inutile par une résidence UE)
  • DPA en place avec le prestataire
  • Conservation décidée ; suppression par soumission et export complet possibles tous les deux
  • Le paragraphe de la politique de confidentialité correspond au flux de données réel

Faites cet exercice une fois par site et le formulaire de contact passe du point d'interrogation juridique au problème résolu. Plus de détails sur la façon dont Formhook traite les données dans la FAQ et la politique de confidentialité.

Mettez en ligne un formulaire fonctionnel en une ligne

Hébergé dans l'UE, soumissions conservées indéfiniment, notifications push sur tous les niveaux.

Commencer gratuitement

Sans carte bancaire · consultez la documentation

Continuer la lecture