Formulaires de contact : rendre votre site conforme au RGPD

Apprenez à concevoir un formulaire de contact qui respecte le RGPD, en limitant la collecte de données et en assurant transparence et sécurité.

Pourquoi le formulaire de contact est un point sensible

Le formulaire de contact est souvent le premier canal par lequel un visiteur partage ses informations personnelles : nom, adresse e‑mail, parfois même un numéro de téléphone. Chaque champ ajouté augmente la portée du traitement de données et, par conséquent, les obligations du responsable de traitement. Sous le RGPD, même la moindre donnée doit être collectée avec un motif légitime, conservée en sécurité et supprimée lorsqu’elle n’est plus nécessaire.

Principes RGPD applicables aux formulaires

Licéité, loyauté et transparence : l’utilisateur doit savoir pourquoi ses données sont collectées et comment elles seront utilisées.
Limitation des finalités : ne recueillez que les informations strictement nécessaires à la réponse à la demande.
Minimisation des données : chaque champ doit être justifié ; évitez les champs optionnels qui ne servent pas le traitement.
Exactitude : prévoyez un moyen pour l’utilisateur de corriger ses informations.
Limitation de la conservation : définissez une durée de conservation claire (ex. : 12 mois après la clôture du ticket).
Sécurité : chiffrez les transmissions et protégez le stockage.

Étapes pour rendre votre formulaire conforme

Analyse du besoin – Réfléchissez à chaque champ : est‑il indispensable ? Par exemple, un simple e‑mail suffit souvent pour répondre à une question.
Rédaction d’une notice d’information – Placez un texte court à côté du formulaire, incluant :
- L’identité du responsable de traitement.
- La finalité du recueil (ex. : « répondre à votre demande »).
- La durée de conservation.
- Les droits (accès, rectification, effacement, opposition).
Implémentation technique – Utilisez le protocole HTTPS, ajoutez un token anti‑spam et limitez le stockage des données aux seuls champs requis.
Gestion du consentement – Si vous traitez des données au‑delà de la réponse (ex. : inscription à une newsletter), le consentement doit être explicite, séparé et révocable.
Mise en place d’un processus de suppression – Automatisez la purge des enregistrements après la durée définie.

Outils et bonnes pratiques

Bibliothèques de validation : Symfony Forms, Laravel Validation ou des scripts JavaScript comme validator.js garantissent que seules les données attendues sont acceptées.
Chiffrement des e‑mails : si vous stockez les réponses dans une base de données, activez le chiffrement au repos (ex. : AES‑256 via OpenSSL).
Journalisation minimale – Conservez les logs d’accès sans inclure les données personnelles (ex. : adresse IP masquée).
Template d’avis de confidentialité – Un texte réutilisable simplifie la conformité sur plusieurs pages.

<!-- Exemple de formulaire conforme RGPD -->
<form action="/contact" method="POST" autocomplete="off">
  <label for="email">Adresse e‑mail *</label>
  <input type="email" id="email" name="email" required>

  <label for="message">Votre message *</label>
  <textarea id="message" name="message" rows="5" required></textarea>

  <!-- Notice d'information courte -->
  <p class="small">
    Vos données seront utilisées uniquement pour répondre à votre demande et seront supprimées au bout de 12 mois.
  </p>

  <button type="submit">Envoyer</button>
</form>

Checklist de conformité

Chaque champ du formulaire a une justification légale.
La notice d’information est visible et rédigée en langage clair.
Le formulaire est servi via HTTPS.
Les données sont stockées chiffrées et limitées dans le temps.
Un mécanisme de suppression automatique est configuré.
Le consentement est séparé lorsqu’une utilisation supplémentaire des données est prévue.
Les logs ne contiennent pas de données personnelles identifiables.