Formulaire de contact et RGPD : mentions obligatoires, durée de conservation et consentement

Votre formulaire de contact ressemble à une simple boîte aux lettres, mais aux yeux du RGPD, c'est un traitement de données personnelles à part entière, soumis aux mêmes obligations qu'une base CRM.

Depuis le 25 mai 2018, le Règlement général sur la protection des données s'applique à toute collecte d'informations permettant d'identifier une personne physique. Un nom, une adresse e-mail, un numéro de téléphone : dès qu'un internaute remplit votre formulaire de contact, vous devenez responsable du traitement de ses données. L'article 4 du RGPD est explicite sur ce point, et aucune taille d'entreprise, aucun volume de messages reçus ne vous en exonère.

Pourtant, la grande majorité des formulaires en ligne manquent d'une ou plusieurs mentions obligatoires. Absence de lien vers la politique de confidentialité, durée de conservation non précisée, finalité formulée de façon vague : ces oublis ne sont pas anodins. La Commission nationale de l'informatique et des libertés (CNIL) peut les constater lors d'un contrôle en ligne, y compris sur simple signalement d'un internaute mécontent.

Ce guide vous explique, point par point, ce que vous devez afficher, quelle base légale retenir et combien de temps vous pouvez conserver les données reçues via un formulaire de contact. Sans jargon inutile, avec les références exactes.

Un formulaire de contact, c'est un traitement de données

Le terme "traitement" englobe toute opération effectuée sur des données personnelles : collecte, enregistrement, organisation, conservation, consultation, utilisation, transmission (art. 4.2 RGPD). Lorsqu'un visiteur soumet votre formulaire, vous collectez a minima son adresse e-mail, vous la stockez dans votre boîte de réception ou votre CRM, vous l'utilisez pour lui répondre. Trois opérations, trois éléments du traitement. La technologie utilisée, la taille de votre site ou le volume de messages reçus ne changent rien à cette qualification.

Cela emporte des conséquences directes. Vous êtes le responsable du traitement au sens de l'article 4.7 du RGPD. À ce titre, vous devez :

• informer les personnes au moment de la collecte (art. 13 RGPD) ;
• choisir une base légale valable parmi celles listées à l'article 6 ;
• limiter la collecte au strict nécessaire (principe de minimisation, art. 5.1.c) ;
• définir une durée de conservation et la respecter (art. 5.1.e) ;
• permettre aux personnes d'exercer leurs droits (art. 15 à 22 RGPD).

Quelle base légale choisir pour votre formulaire ?

C'est la question qui génère le plus de confusion sur le terrain. De nombreux sites ajoutent une case à cocher "J'accepte que mes données soient traitées" sous leur formulaire de contact. Cette pratique est non seulement inutile, mais elle peut se retourner contre vous : si vous choisissez le consentement comme base légale, l'internaute peut le retirer à tout moment et vous perdez toute légitimité à conserver ses données.

La règle pratique à retenir : un formulaire de contact, c'est l'intérêt légitime. Un formulaire de contact avec une case newsletter, c'est l'intérêt légitime pour la demande et le consentement pour la newsletter. Les deux bases légales coexistent sur le même formulaire, pour des finalités distinctes.

Les mentions obligatoires : ce que vous devez afficher

L'article 13 du RGPD liste les informations que vous devez communiquer au moment de la collecte. "Au moment de la collecte" signifie : avant que l'internaute clique sur "Envoyer", ou à tout le moins à proximité immédiate du formulaire. Voici ce qui est obligatoire :

• Identité du responsable du traitement : votre nom complet ou la dénomination sociale de votre entreprise, accompagné d'une adresse ou d'un moyen de vous contacter.
• Coordonnées du DPO : uniquement si vous avez désigné un délégué à la protection des données (obligatoire pour certaines catégories d'organismes publics et privés selon l'art. 37 RGPD).
• Finalité du traitement : expliquez pourquoi vous collectez ces données. Exemple : "Ces informations sont utilisées uniquement pour traiter votre demande et vous y répondre."
• Base légale : mentionnez explicitement le fondement juridique retenu (intérêt légitime, consentement, exécution d'un contrat). Si vous invoquez l'intérêt légitime, précisez lequel.
• Durée de conservation : indiquez combien de temps vous conserverez les données, ou les critères objectifs qui permettent de la déterminer.
• Droits des personnes : accès, rectification, effacement, opposition, limitation, portabilité. Expliquez comment les exercer et auprès de qui.
• Droit de réclamation auprès de la CNIL : tout internaute peut saisir la CNIL (cnil.fr) s'il estime que ses droits ne sont pas respectés. La mention de ce droit est obligatoire.
• Destinataires des données : si vous transmettez les données à des tiers (CRM, outil de ticketing, prestataire de support), vous devez les mentionner par catégorie.
• Transferts hors Union européenne : si votre outil héberge des données en dehors de l'UE, mentionnez-le et précisez les garanties en place (clauses contractuelles types, certification Data Privacy Framework).

Durée de conservation : combien de temps garder les messages ?

Le principe de limitation de la conservation (art. 5.1.e RGPD) exige que vous ne conserviez pas les données plus longtemps que nécessaire au regard de la finalité pour laquelle elles ont été collectées. "Nécessaire" ne veut pas dire "indéfiniment, au cas où". La CNIL a posé des repères clairs selon la nature de la relation.

Ces durées ne sont pas fixées par la loi mais découlent des recommandations de la CNIL, fondées sur les délais de prescription civile. Vous pouvez retenir des durées plus courtes si votre finalité le justifie. Vous ne pouvez pas, en revanche, conserver indéfiniment au motif d'un intérêt commercial hypothétique.

Les erreurs les plus fréquentes sur les formulaires

Lors de ses contrôles, la CNIL relève les mêmes manquements de façon récurrente. Voici les trois cas les plus courants, avec leur niveau de risque réel.

Checklist : rendre votre formulaire conforme dès aujourd'hui

Voici les actions concrètes à vérifier sur chaque formulaire de contact de votre site :

• Champs limités au strict nécessaire : prénom ou nom, adresse e-mail, objet du message. Tout champ supplémentaire (téléphone, société, adresse) doit être justifié par la finalité déclarée.
• Lien visible vers la politique de confidentialité : placé sous le formulaire, avant le bouton d'envoi. Le libellé du lien doit être explicite ("Politique de confidentialité" et non "Mentions légales").
• Phrase d'information synthétique : même si vous renvoyez vers une page dédiée, une phrase indiquant la finalité principale et l'identité du responsable directement sous le formulaire améliore votre conformité et la confiance des visiteurs.
• Base légale documentée dans le registre : la base légale retenue (intérêt légitime ou consentement) est identifiée et justifiée dans votre registre des traitements (art. 30 RGPD).
• Durée de conservation définie et appliquée : elle figure dans votre politique de confidentialité et votre registre. Une procédure de purge régulière est en place pour supprimer les données à l'échéance.
• Sous-traitants identifiés et conformes : si vous utilisez un CRM ou un outil d'e-mailing (HubSpot, Mailchimp, Brevo...), un accord de traitement des données (DPA) est signé avec chaque prestataire, et les éventuels transferts hors UE sont mentionnés dans votre politique.
• Procédure d'exercice des droits en place : une adresse e-mail ou un formulaire dédié pour exercer ses droits est mentionné dans votre politique de confidentialité, et une personne en interne est responsable de traiter ces demandes dans le délai d'un mois prévu par l'article 12.3 du RGPD.
• Newsletter découplée : si une case d'inscription à votre liste de diffusion est présente sur le formulaire, elle est décochée par défaut, sa finalité est distincte de la demande de contact, et chaque e-mail envoyé comporte un lien de désinscription fonctionnel.

Questions fréquentes