Formulaire de contact, newsletter, devis : les règles RGPD à respecter
Vos formulaires web collectent des données personnelles. Mais savez-vous vraiment ce que le RGPD impose ? Case à cocher, consentement, mentions obligatoires… On fait le point, sans jargon.
En bref :
- Un formulaire de contact simple ne nécessite pas forcément de case à cocher — mais doit afficher des mentions d'information
- Une newsletter vers des particuliers (B2C) exige un consentement explicite via case non précochée
- En B2B, l'opt-out est toléré si le message est lié à la profession du destinataire
- Un formulaire de devis peut se fonder sur les mesures précontractuelles, sans case de consentement
- Chaque formulaire doit afficher les mentions d'information RGPD et un lien vers la politique de confidentialité
- Vous devez conserver la preuve du consentement (date, contenu, identité)
Formulaire de contact pour les demandes clients. Inscription à la newsletter. Demande de devis en ligne. Si vous avez un site web, vous collectez forcément des données personnelles.
Mais entre la case à cocher "j'accepte", les mentions légales à afficher et les règles qui diffèrent selon le type de formulaire, difficile de s'y retrouver. Est-ce que la case est obligatoire ? Le double opt-in, c'est imposé par la loi ? Et pour un simple formulaire de contact ?
On fait le point, formulaire par formulaire.
Ce que dit vraiment le RGPD sur les formulaires
Avant de rentrer dans le détail, posons les bases. Le RGPD repose sur deux grands principes qui concernent directement vos formulaires :
- La transparence : vous devez informer les personnes de ce que vous faites avec leurs données
- La base légale : vous devez avoir une raison valable (juridiquement) de collecter ces données
Et c'est là que ça se complique. Car selon le type de formulaire, la base légale n'est pas la même — et donc les obligations non plus.
💡 Les 6 bases légales du RGPD
Le RGPD prévoit 6 raisons valables de traiter des données personnelles : le consentement, l'exécution d'un contrat, l'obligation légale, la sauvegarde des intérêts vitaux, l'intérêt public, et l'intérêt légitime. Pour vos formulaires, vous utiliserez principalement les trois premières.
Le formulaire de contact : plus simple qu'on ne le croit
C'est le formulaire le plus courant. Nom, email, message. Quelqu'un vous contacte pour poser une question ou demander des informations.
Faut-il une case à cocher ?
Contrairement à une idée reçue très répandue : non, pas obligatoirement.
Quand quelqu'un remplit un formulaire de contact et clique sur "Envoyer", il fait une démarche volontaire. La base légale applicable est l'intérêt légitime : vous avez un intérêt légitime à traiter ces données pour répondre à la demande de la personne.
Vous n'avez donc pas besoin de demander un consentement supplémentaire via une case à cocher.
⚠️ Attention, il y a une exception importante
Si vous profitez du formulaire de contact pour inscrire automatiquement la personne à votre newsletter ou pour lui envoyer des offres commerciales, là c'est différent. Vous devez alors demander un consentement séparé, avec une case dédiée.
Ce qui est obligatoire en revanche
Même sans case à cocher, vous devez informer la personne. C'est l'article 13 du RGPD. En pratique, vous devez afficher :
- L'identité du responsable du traitement (vous ou votre entreprise)
- La finalité : pourquoi vous collectez ces données
- La durée de conservation
- Les droits de la personne (accès, rectification, suppression…)
- Un lien vers votre politique de confidentialité
Exemple de mention pour un formulaire de contact :
« Les informations recueillies font l'objet d'un traitement par [Nom de l'entreprise] pour répondre à votre demande. Elles sont conservées pendant [durée] et ne sont pas transmises à des tiers. Conformément au RGPD, vous pouvez exercer vos droits d'accès, de rectification et de suppression en nous contactant à [email]. En savoir plus. »
La newsletter : là, le consentement est roi
L'inscription à une newsletter, c'est une autre histoire. Ici, vous collectez une adresse email dans le but d'envoyer des communications commerciales ou promotionnelles. La règle est claire : vous devez obtenir le consentement préalable.
Les règles en B2C (particuliers)
Quand vous vous adressez à des particuliers (consommateurs), c'est le régime de l'opt-in qui s'applique. Concrètement :
- La case de consentement ne doit pas être précochée
- Le texte doit être clair et compréhensible
- Une finalité = une case (si vous voulez aussi envoyer des offres partenaires, c'est une deuxième case)
- Vous devez conserver la preuve du consentement
Exemple de case newsletter conforme :
☐ « J'accepte de recevoir la newsletter de [Nom de l'entreprise] contenant des conseils et actualités. Je peux me désinscrire à tout moment via le lien présent dans chaque email. »
Et le double opt-in ?
Le double opt-in, c'est quand l'utilisateur doit confirmer son inscription en cliquant sur un lien reçu par email. Est-ce obligatoire ? Non, pas légalement.
Mais c'est fortement recommandé pour deux raisons :
- Ça prouve que l'adresse email est valide et appartient bien à la personne
- Ça constitue une preuve de consentement plus solide en cas de contrôle
Les règles en B2B (professionnels)
Pour la prospection entre professionnels, la CNIL est plus souple. Vous pouvez utiliser l'opt-out (pas de consentement préalable) à condition que :
- Le message soit en rapport avec la profession du destinataire
- Vous laissiez la possibilité de se désinscrire facilement
- Vous indiquiez clairement qui vous êtes dans l'email
Petite subtilité : les adresses génériques (contact@, info@) ne sont pas des données personnelles. Vous pouvez les démarcher librement. En revanche, une adresse nominative (prenom.nom@entreprise.fr) est soumise aux règles ci-dessus.
Dans tous les cas : le lien de désinscription
Chaque newsletter que vous envoyez doit contenir un moyen simple de se désabonner. Un lien en bas de l'email suffit, mais il doit fonctionner et être visible.
Le formulaire de devis : pas de case, mais des infos
Quelqu'un remplit un formulaire pour demander un devis. Il vous donne son nom, son email, parfois son adresse et des détails sur son projet. Quelle base légale ?
C'est l'exécution de mesures précontractuelles (article 6.1.b du RGPD). En clair : la personne vous demande de préparer un contrat potentiel (le devis), vous avez donc le droit de traiter ses données pour répondre à cette demande.
Ce que ça implique
- Pas besoin de case à cocher pour le consentement
- Vous ne pouvez utiliser ces données que pour établir le devis (et éventuellement conclure le contrat)
- Si vous voulez envoyer des newsletters ou de la prospection ensuite, il faut un consentement séparé
Exemple de mention pour un formulaire de devis :
« Les informations recueillies sont nécessaires à l'établissement de votre devis. Elles sont traitées par [Nom] sur la base de mesures précontractuelles et conservées pendant [durée]. Vous pouvez exercer vos droits en nous contactant à [email]. Politique de confidentialité. »
Le piège classique : un formulaire, plusieurs finalités
C'est l'erreur la plus fréquente. Vous avez un formulaire de contact ou de devis, et vous en profitez pour cocher automatiquement "inscription à la newsletter" ou pour ajouter la personne à votre fichier de prospection.
C'est interdit.
Le RGPD impose un consentement spécifique pour chaque finalité. Si vous voulez utiliser les données pour autre chose que répondre à la demande initiale, vous devez :
- Ajouter une case dédiée (non précochée)
- Expliquer clairement à quoi la personne s'inscrit
- Permettre de refuser sans que ça empêche l'envoi du formulaire
Exemple de formulaire avec double finalité :
Votre message : [___________]
☐ « Je souhaite recevoir les actualités et offres de [Nom de l'entreprise] par email. »
Les informations recueillies sont utilisées pour répondre à votre demande. Si vous cochez la case ci-dessus, votre email sera également utilisé pour notre newsletter (désabonnement possible à tout moment). En savoir plus.
Les durées de conservation à respecter
Le RGPD impose de ne pas garder les données plus longtemps que nécessaire. Voici les durées couramment admises :
Formulaire de contact → Jusqu'au traitement de la demande (quelques jours à quelques semaines)
Demande de devis → Durée de validité du devis + quelques mois si pas de suite
Newsletter → Jusqu'au désabonnement ou 3 ans d'inactivité
Données clients → 3 ans après la fin de la relation commerciale (pour la prospection)
Factures et contrats → 10 ans (obligation légale comptable)
Récapitulatif : quel formulaire, quelles obligations ?
| Type de formulaire | Base légale | Case à cocher ? | Mentions obligatoires ? |
|---|---|---|---|
| Contact simple | Intérêt légitime | Non | Oui |
| Demande de devis | Mesures précontractuelles | Non | Oui |
| Newsletter B2C | Consentement | Oui (non précochée) | Oui |
| Newsletter B2B | Intérêt légitime | Non (opt-out) | Oui + désabonnement |
| Contact + newsletter | Mixte | Oui (pour la newsletter) | Oui |
Les sanctions en cas de non-conformité
La CNIL ne contrôle pas que les grandes entreprises. En 2024, Carrefour a été condamné à 3 millions d'euros notamment pour ne pas avoir correctement informé les personnes sur ses formulaires.
Pour les TPE et PME, les sanctions sont proportionnées mais restent dissuasives :
- Jusqu'à 20 millions d'euros ou 4 % du CA mondial pour les manquements graves
- Jusqu'à 10 millions d'euros ou 2 % du CA pour les manquements moins graves
- Pour l'envoi d'emails non sollicités : 750 € par message pour un particulier, 3 750 € pour une entreprise
Au-delà des amendes, une plainte CNIL peut aussi déclencher un contrôle plus large de votre conformité RGPD.
En résumé
Non, vous n'avez pas besoin d'une case à cocher sur tous vos formulaires. Mais oui, vous devez toujours informer les personnes de ce que vous faites avec leurs données.
La règle d'or : une finalité = une base légale = une information claire. Si vous mélangez contact et newsletter, séparez bien les deux et demandez un consentement distinct pour chacun.
Le plus simple pour être en règle ? Avoir une politique de confidentialité complète qui explique tous vos traitements, et y faire un lien depuis chaque formulaire.
💡 Besoin d'une politique de confidentialité conforme et adaptée à votre site ? RGPDKit la génère automatiquement en 3 minutes, en analysant votre site et vos formulaires. Mentions légales, politique RGPD, CGV : tous vos documents légaux en un seul endroit.
Besoin de générer vos documents RGPD ?
Créez vos Mentions Légales, Politique de Confidentialité et CGV en quelques minutes.
Commencer gratuitement