RGPD formulaires web : checklist conformité 2026

L’amende moyenne CNIL 2024 pour défaut d’information sur un formulaire web s’élève à 8 200 €. Trois lignes de texte mal placées suffisent à déclencher le contrôle.

La conformité RGPD d’un formulaire web n’est pas une option qu’on coche, c’est un design pattern qu’on intègre dès la conception. Cette checklist opérationnelle 2026 reprend les 12 points contrôlés par la CNIL en cas de plainte ou d’audit, classés par priorité d’implémentation. Chaque point est traduit en action concrète, pas en formulation juridique.

Avant d’auditer, retenir le principe directeur : le visiteur doit savoir, avant de cliquer envoyer, qui collecte la donnée, pourquoi, combien de temps elle sera conservée, et avec quels droits il peut la retirer. La méthode complète de cadrage du formulaire intègre ces points dès l’étape de design.

1. Information préalable : qui, quoi, pourquoi

red padlock on black computer keyboard — Photo : FlyD sur Unsplash

Le formulaire doit afficher en clair, avant le bouton submit : l’identité du responsable du traitement (nom de la société, adresse), la finalité du traitement (« collecter votre demande de devis pour vous recontacter »), la base légale (consentement, contrat, intérêt légitime), et la durée de conservation (« 3 ans après le dernier contact »). Trois phrases suffisent si elles sont précises.

L’erreur fréquente : un lien « politique de confidentialité » qui renvoie à une page de 8 000 mots illisible. La CNIL admet le lien mais exige que les mentions essentielles soient résumées sur le formulaire lui-même. Format pratique : un encart de 60-80 mots juste au-dessus du bouton submit, avec un lien vers la version détaillée. Voir aussi le choix de captcha conforme.

2. Consentement explicite et non précoché

Pour les usages marketing (newsletter, prospection commerciale), une case à cocher non précochée est obligatoire. Le RGPD interdit explicitement les cases pré-cochées (article 7.4 et CJUE Planet49). Le libellé doit être précis : « J’accepte de recevoir les newsletters de [Société] (1 envoi par semaine, désinscription en un clic) ».

Pour les usages contractuels (devis, contact entrant), aucune case n’est nécessaire : la base légale est l’exécution précontractuelle. Mais le visiteur doit savoir qu’il pourra recevoir des emails liés à sa demande. La frontière entre contractuel et marketing reste un point d’attention en cas de contrôle. Détails dans le guide de création complet.

Tu es DPO, juriste tech ou éditeur SaaS RGPD-friendly ? Le format article sponsorisé permet de partager des cas concrets de mise en conformité (audit terrain, modèles de mentions, retours d’incident). Audience : entrepreneurs FR, marketers, responsables conformité.

Publier un cas RGPD

3. Minimisation des données : le test du « pour quoi faire »

Pour chaque champ du formulaire, poser la question : pourquoi est-il là ? Si la réponse est « au cas où » ou « pour qualifier plus tard », le champ est non conforme au principe de minimisation. La CNIL contrôle ce point en priorité depuis 2024, avec 38 % des contrôles formulaires aboutissant à une mise en demeure pour collecte excessive.

Cas concrets non conformes : demander la date de naissance pour un livre blanc B2B (sauf justification précise), demander l’adresse postale pour une newsletter, demander le numéro SIREN pour un téléchargement gratuit. Cas justifiés : demander la fonction pour qualifier un lead B2B, demander le secteur pour personnaliser le contenu, demander le numéro de téléphone pour une demande de rappel commercial.

4. Sécurité technique : 4 obligations minimales

Quatre exigences techniques minimales : HTTPS obligatoire (chiffrement transport), validation côté serveur (jamais uniquement front), limitation du débit (anti-bruteforce), journalisation des soumissions (date, IP, mais pas en clair en base). Le couple honeypot + reCAPTCHA v3 invisible ajoute une couche anti-spam sans friction utilisateur.

Pour les formulaires sensibles (santé, finance, administration), le double opt-in email reste recommandé : le contact reçoit un email avec lien de confirmation, sans confirmation pas d’enregistrement définitif. Cela ajoute un trottoir contre les inscriptions frauduleuses et facilite la preuve de consentement en cas de réclamation.

5. Conservation et droits : le minimum à documenter

Documenter dans le registre des traitements (obligatoire au-delà de 250 salariés, recommandé pour les TPE) : finalité, catégories de données, destinataires, durée de conservation, mesures de sécurité, transferts hors UE le cas échéant. Le registre est un document interne, pas public, mais doit être communicable à la CNIL en cas de contrôle.

Pour la durée de conservation : règle empirique 3 ans après le dernier contact pour la prospection commerciale, durée du contrat + 5 ans pour le contractuel, durée légale spécifique pour les comptables (10 ans). Les droits du visiteur (accès, rectification, effacement, opposition) doivent être exerçables via une adresse email simple (pas un formulaire de 12 champs), avec réponse sous un mois maximum.

6. Transferts hors UE et sous-traitants

Si le formulaire utilise un outil hors UE (Typeform US, Jotform US, Google Forms), le transfert international doit être encadré par les SCC (clauses contractuelles types) signés avec le sous-traitant, et les données sensibles doivent rester en UE quand c’est possible. En 2024, la CNIL a publié plusieurs recommandations sur Google Analytics 4 et des outils US ; les arbitrages dépendent du type de données collectées.

Solution préventive : choisir des outils avec hébergement UE explicite (Tally par défaut, Brevo, Sendinblue, Yousign pour signature), ou s’assurer que le sous-traitant fournit un DPA conforme et un audit d’hébergement récent. Le DPA gratuit est disponible chez la plupart des éditeurs sérieux, à demander avant le déploiement.

FAQ — RGPD formulaires web

Faut-il une case « J’accepte les CGU » sur tous les formulaires ?

Non. La case CGU est nécessaire uniquement si le formulaire crée un compte ou un contrat (inscription à un service, achat). Pour un formulaire de contact, devis ou newsletter, la mention d’information suffit. Multiplier les cases inutiles fait baisser la conversion sans apporter de protection juridique. La règle : une case par engagement réel.

Le double opt-in est-il obligatoire en France ?

Non, mais il reste fortement recommandé pour la prospection B2C. La CNIL le considère comme une bonne pratique qui apporte une preuve solide de consentement. Pour la prospection B2B, il n’est pas obligatoire (article 7.5 LCEN), mais devient un signal de qualité auprès des fournisseurs email (Brevo, Mailjet) qui pénalisent les listes sans double opt-in.

Peut-on demander la date de naissance sur un formulaire B2B ?

Sauf justification précise et documentée (par exemple, vérification d’âge légal pour un service réglementé), non. La CNIL considère ce champ comme excessif pour une finalité commerciale ordinaire. Si le besoin de segmenter par génération est réel, demander une tranche d’âge (« 25-34 », « 35-44 ») reste plus proportionné qu’une date exacte.

Combien de temps conserver les données d’un formulaire de contact ?

Trois ans après le dernier contact pour la prospection commerciale, conformément aux recommandations CNIL. Pour un contact qui a abouti à un contrat, durée du contrat plus 5 ans pour les preuves comptables et juridiques. Au-delà, archivage anonymisé ou suppression. Documenter ces durées dans le registre des traitements et les rappeler dans la politique de confidentialité.

Le RGPD impose-t-il un DPO pour un site avec un seul formulaire ?

Non. Le DPO (Data Protection Officer) est obligatoire pour les organismes publics, les structures avec traitement à grande échelle de données sensibles, ou les entreprises de plus de 250 salariés. Une TPE avec un formulaire de contact n’a pas besoin de DPO mais doit nommer un référent interne et être capable de répondre aux demandes de droits sous un mois. Le formulaire de contact doit indiquer une adresse de contact pour ces demandes.

Faut-il déclarer son formulaire à la CNIL ?

Non, sauf cas particulier (traitement à grande échelle de données sensibles, surveillance systématique, etc.). Depuis 2018, le RGPD a remplacé la déclaration préalable par une logique de responsabilisation : tu documentes, tu sécurises, tu peux prouver en cas de contrôle. Le registre des traitements et la politique de confidentialité publique sont les deux pièces principales à tenir à jour.

Tu veux faire passer ton formulaire au crible des 12 points CNIL en 30 minutes et recevoir une checklist priorisée des fixes à faire ? Envoie l’URL du formulaire via le formulaire de contact, audit retour sous 48 heures, gratuit pour un premier formulaire.

Auditer ma conformité formulaire