- Le consentement doit être explicite, dissocié des autres conditions, et jamais précoché — le silence ou une case précochée ne constituent pas un consentement valide au sens du RGPD.
- La minimisation des données est le levier le plus efficace : ne demandez que les champs que vous utiliserez réellement, et indiquez pourquoi à proximité du formulaire.
- Les personnes ont le droit d'accéder à leurs données, de les exporter et de les faire effacer — votre processus de formulaire doit prévoir une vraie procédure pour ces trois droits, pas seulement un paragraphe dans la politique de confidentialité.
- Les données sensibles et les fichiers envoyés (pièces d'identité, informations de santé, documents financiers) demandent une vigilance accrue : chiffrement au repos, conservation plus courte, et une justification claire de leur collecte.
- Ceci est une checklist de départ pratique, pas un conseil juridique — les obligations du RGPD dépendent de vos flux de données spécifiques et doivent être vérifiées avec un professionnel qualifié.
Si vous collectez des données via un formulaire — une inscription, un formulaire de leads, une candidature, une demande d'assistance — et que certains de vos répondants se trouvent dans l'UE ou au Royaume-Uni, le RGPD s'applique à vous. Cela paraît plus lourd que ça ne l'est en pratique. Pour un formulaire classique, la conformité RGPD tient surtout à une poignée d'habitudes concrètes : demander moins, expliquer pourquoi, stocker en sécurité, et permettre facilement aux gens de récupérer ou de faire supprimer leurs données.
Ceci est une checklist pratique pour les personnes qui conçoivent des formulaires, pas un mémoire juridique. Elle couvre les décisions qui se posent réellement lors de la conception d'un formulaire : quoi demander, comment formuler le consentement, où vont les données, et que faire quand quelqu'un demande leur suppression.
Commencez par une base légale
Avant de construire le formulaire, sachez pourquoi vous êtes autorisé à collecter ces données. Le RGPD exige une base légale pour tout traitement de données personnelles, et pour la plupart des formulaires — inscriptions, formulaires de contact, capture de leads — cette base est le consentement ou l'intérêt légitime. Le consentement est le choix le plus sûr pour tout ce qui touche au marketing ; l'intérêt légitime peut couvrir des cas comme répondre à une demande d'assistance, où traiter la donnée est la suite logique et attendue.
Le test est simple : une personne raisonnable regardant votre formulaire comprendrait-elle pourquoi vous avez besoin de chaque information, sans qu'on le lui dise ? Si non, ajoutez une brève explication ou supprimez le champ.
Rendez le consentement explicite, pas implicite
Si vous vous appuyez sur le consentement — pour une newsletter, une relance marketing, ou le partage de données avec un tiers — ce consentement doit résulter d'une action claire et positive. En pratique, cela signifie :
- Utilisez une case décochée pour le consentement marketing. Ne la précochez jamais.
- Séparez le consentement de vos conditions d'utilisation. « J'accepte les conditions » n'équivaut pas à « J'accepte de recevoir des e-mails marketing » — ne regroupez pas les deux dans une seule case.
- Indiquez clairement à quoi la personne consent — qui la contactera, à quelle fréquence, et pour quoi.
- Rendez le retrait du consentement aussi simple que son octroi (un lien de désinscription, un réglage de compte, ou une adresse de support qui fonctionne réellement).
C'est particulièrement vrai sur les formulaires de leads, où la tentation est de glisser l'inscription à la newsletter dans le bouton d'envoi. Si vous collectez des leads via des formulaires, séparez l'envoi d'une demande de l'adhésion au marketing — ce sont deux autorisations distinctes.
Collectez moins que ce que vous pensez nécessaire
La minimisation des données est le principe le plus rentable pour le moins d'effort : ne collectez que ce que vous utiliserez réellement. C'est aussi une bonne pratique de conception — les formulaires courts convertissent mieux — donc c'est l'un des rares cas où conformité et conversion vont dans le même sens.
Pour chaque champ, posez-vous la question : que se passe-t-il si nous ne le collectons pas ? Si la réponse honnête est « rien », supprimez-le. Le numéro de téléphone, la taille de l'entreprise ou le champ « comment nous avez-vous connus » sont des candidats fréquents — utiles à avoir, mais rarement indispensables à demander d'emblée.
Indiquez la finalité près du formulaire
Le RGPD attend de vous une transparence sur ce que vous collectez et pourquoi, et l'endroit le plus clair pour le faire est juste à côté du formulaire lui-même — pas enfoui à trois clics de distance. Une simple phrase au-dessus des champs (« Nous utiliserons ceci pour répondre à votre demande sous un jour ouvré ») fait plus pour la confiance et la conformité qu'un simple lien.
Renvoyez toujours vers une politique de confidentialité complète depuis le formulaire, même si vous avez résumé la finalité. La phrase courte pose le cadre ; la politique porte le détail juridique — durées de conservation, tiers concernés, et modalités d'exercice des droits.
Sécurisez les données que vous collectez
Une fois qu'une personne soumet un formulaire, les données doivent être stockées de manière sécurisée — le RGPD parle d'« intégrité et confidentialité », ce qui en pratique signifie chiffrement, contrôle d'accès, et ne pas conserver les données plus longtemps que nécessaire. Si votre formulaire accepte des pièces jointes, cela s'applique avec encore plus de rigueur : un CV, un scan de pièce d'identité ou un contrat sont plus sensibles qu'un nom et un e-mail.
Si vous collectez des fichiers via un formulaire, vérifiez où ces fichiers sont stockés, s'ils sont chiffrés au repos, et qui y a accès. Formiqa stocke les fichiers envoyés sur Cloudflare R2 avec chiffrement au repos, et les répondants n'ont jamais besoin de créer un compte pour envoyer un fichier — un endroit de moins où leurs données doivent vivre.
Fixez des durées de conservation et supprimez réellement les données
« Tout garder pour toujours » n'est pas une politique de conservation — c'est un risque. Décidez à l'avance de la durée dont vous avez besoin pour les réponses d'un formulaire donné (une candidature pourrait être conservée 6 mois ; une demande d'assistance ponctuelle 30 jours), consignez-le par écrit, et supprimez selon ce calendrier. Les anciennes réponses que vous n'exploitez plus sont un risque sans contrepartie : elles n'apportent rien à votre activité, mais peuvent faire partie d'une fuite de données.
- Définissez une durée de conservation par formulaire, plutôt qu'une règle unique pour tout ce que vous collectez.
- Exportez et archivez tout ce dont vous avez besoin pour vos archives avant de supprimer la copie de travail.
- Passez périodiquement en revue les formulaires dormants — un formulaire que vous ne promouvez plus depuis deux ans continue de collecter et de stocker des données s'il est toujours en ligne.
Répondez aux demandes d'accès, d'export et d'effacement
Le RGPD donne aux personnes le droit de demander quelles données vous détenez sur elles, d'en obtenir une copie, et de les faire supprimer. Pour une petite entreprise, cela ne demande pas de logiciel spécial — cela demande un processus. Quand quelqu'un vous écrit pour demander « qu'avez-vous sur moi », vous devez pouvoir retrouver ses réponses, les exporter et les supprimer sans que cela vire à la course de plusieurs jours.
C'est une des raisons pour lesquelles un tableau de bord des réponses avec recherche et export dépasse le simple confort : c'est ce qui vous permet de traiter une demande d'accès ou d'effacement en quelques minutes, plutôt qu'en fouillant un tableur ou une boîte mail.
Traitez les données sensibles et les fichiers envoyés avec une vigilance accrue
Le RGPD isole les « catégories particulières » de données — informations de santé, convictions religieuses ou politiques, données biométriques, et similaires — pour leur appliquer des règles plus strictes. La plupart des formulaires devraient éviter purement et simplement de les demander. Si votre cas d'usage l'exige réellement (un formulaire d'admission médicale, par exemple), il vous faut une base légale claire au-delà du simple consentement, et vous devez minimiser la durée de conservation de ces données.
Les fichiers envoyés méritent leur propre vigilance, même hors « catégorie particulière » — un contrat signé, un scan de passeport ou une fiche de paie sont des données personnelles aux conséquences réelles en cas de fuite. Ne demandez que le type de fichier dont vous avez réellement besoin, et précisez dans le formulaire son usage et sa durée de conservation.
Connaissez vos sous-traitants et le parcours de vos données
Tout outil qui touche aux données de votre formulaire — l'outil de création de formulaires, votre fournisseur d'e-mail, votre CRM, votre stockage de fichiers — est un sous-traitant, et le RGPD attend de vous que vous sachiez qui ils sont et que vous ayez une base pour les utiliser. La plupart des fournisseurs sérieux publient une liste de leurs propres sous-traitants ultérieurs ainsi qu'un accord de traitement des données (DPA) ; lisez-le une fois, comprenez grossièrement où vont les données, et conservez-le dans vos dossiers.
Les transferts internationaux sont une question connexe, plus large : si un sous-traitant stocke ou traite des données hors UE/Royaume-Uni, un mécanisme de transfert valide doit être en place (comme les clauses contractuelles types). Cela mérite une conversation directe avec vos fournisseurs plutôt qu'une supposition — demandez où sont hébergées les données et quelles garanties s'appliquent.
La conformité n'est pas un badge qu'on gagne une fois pour toutes. C'est l'accumulation de petites décisions banales — un champ supprimé, une case décochée par défaut, une date de conservation respectée — répétées sur chaque formulaire que vous publiez.
Une brève checklist avant lancement
- 1Chaque champ a une raison d'être que l'on peut comprendre sans avoir à la demander.
- 2Le consentement marketing est une case distincte et décochée — pas regroupé avec les conditions ou le bouton d'envoi.
- 3Une politique de confidentialité est accessible depuis le formulaire, pas seulement depuis le pied de page du site.
- 4Les fichiers envoyés et les réponses stockées sont chiffrés, et l'accès est limité.
- 5Vous savez combien de temps les données de chaque formulaire sont conservées, et quelque chose applique réellement cette règle.
- 6Vous disposez d'un vrai processus pour les demandes d'accès, d'export et de suppression.
- 7Les champs sensibles (pièces d'identité, données de santé, documents financiers) sont minimisés ou évités entièrement.
La place de Formiqa
Si vous cherchez à savoir ce qu'est Formiqa et si l'outil convient à un workflow soucieux de conformité : les formulaires sont conçus avec une approche décochée par défaut pour tout champ de consentement que vous ajoutez, les fichiers envoyés sont chiffrés au repos sur Cloudflare R2, et chaque réponse est exportable et supprimable depuis votre tableau de bord — les demandes d'accès et d'effacement se traitent donc en quelques clics, pas via un ticket de support. Rien de tout cela ne remplace un conseil juridique, mais cela élimine les excuses techniques pour prendre des raccourcis.
Questions fréquentes
Le RGPD s'applique-t-il si mon entreprise n'est pas basée dans l'UE ?
Une case de newsletter précochée est-elle jamais acceptable sous le RGPD ?
Ai-je besoin d'un accord de traitement des données (DPA) avec chaque outil utilisé par mon formulaire ?
Quelle est la différence entre la minimisation des données et le simple fait d'avoir un formulaire court ?
Créez un meilleur formulaire avec Formiqa.
Gratuit pour toujours. Sans carte bancaire. Sans frais par réponse.