7 exemples de formulaires RGPD conformes pour collecter des données

Le RGPD impose de nombreuses règles (dont le consentement), lors de la collecte de données personnelles auprès des utilisateurs. Nous allons voir 7 exemples de formulaires à mettre en conformité, ainsi que le détail des règles au cas par cas. Attention, ces règles font régulièrement l’objet de sanctions. Si vous souhaitez tester automatiquement vos formulaires, vous pouvez utiliser un logiciel de conformité RGPD pour auditer vos formulaires et de voir vos points de non-conformité ou de rédiger automatiquement vos mentions légales.

1. - Formulaire d’inscription à une newsletter

Le premier formulaire le plus simple est l’inscription à la newsletter :

Voici 4 règles juridiques imposées par le RGPD qui sont en place :

  • la collecte des données est transparente (art. 5.1.a) : l’utilisateur sait à quoi il s’attend clairement et les données ne sont pas exploitée autrement que ce qui est indiqué à l’utilisateur. Ici, par exemple, il ne sera pas possible de revendre les données de l’utilisateur car il n’en a pas été informé préalablement
  • les finalités sont clairement indiquées - pourquoi les données sont collectées et ce qui en est fait - (art. 5.1.b)
  • le principe de minimisation est appliqué (art. 5.1.c) : on ne collecte que les données qui sont nécessaires ici, à savoir l’email, aucune autre donnée n’est collectée
  • le traitement repose sur le consentement - l’utilisateur va indiquer son email lui-même et cliquer sur le bouton d’inscription, ce qui est suffisant pour caractériser le consentement. Il n’est pas nécessaire d’ajouter une case à cocher (art. 6)
  • les mentions légales sont indiquées par renvoi (art. 13) et l’utilisateur dispose d’un lien vers la politique de protection des données personnelles qui est complete

2. - Formulaire de collecte de leads

En B2B les formulaires de lead permettent une entrée en contact entre deux organisations, voici un exemple pour un centre de formation professionnel :

Voici les règles qui sont correctement respectées :

  • transparence (art. 5.1.a) : ici, l’objet de la collecte des données et les finalités sont clairement exprimés, le traitement des données est donc transparent au regard de l’utilisateur
  • minimisation (art. 5.1.c) : seules les données qui sont strictement nécessaires sont collectées par l’organisation (nom/email/détails des besoins) ;
  • il existe bien une base légale qui n’est pas le consentement mais l’exécution de mesures pré-contractuelles (art. 6.1.b) ; attention si vous souhaitez recourir à une base légale autre que le consentement, vous devez pouvoir en justifier
  • Encore une fois le formulaire renvoie vers des mentions légales détaillées, obligation qui est imposée par l’article 13.

Voici les règles qui nécessiteraient une amélioration :

  • on ne dispose pas de détails immédiats relatif au responsable de traitement qui opère la collecte des données (il faudrait indiquer un peu plus de détail sur la personne morale, son nom, son adresse…)

3. - Formulaire de sondage / évaluation service

Réaliser un sondage ou disposer d’un retour client est souvent une opération essentielle pour les organisations, voici donc un exemple de formulaire conforme au RGPD :

Voici les points d’attention :

  • encore une fois le traitement est transparent (art. 5.1.a) et les finalités sont clairement exprimées ici (art. 5.1.b)
  • les données sont bien minimisées, attention c’est un point vraiment important en matière de sondage, vous devez éviter les champs libres autant que possible
  • ici une mention claire et précise des droits des personnes est bien présente : “Vous disposez d’un droit d’accès, de modification ou suppression à tout moment. Vous trouverez plus d’informations relativement à la gestion de vos données sur cette page”
  • et l’utilsateur dispose d’un lien vers les mentions légales completes

4. - Formulaire de contact

Le formulaire de contact est essentiel pour chaque organisation en voici donc un qui est conforme aux obligations imposées par le RGPD :

Voici les règles qui sont bien en place :

  • le principe de transparence est bien implémenté, l’utilisateur est informé clairement de l’utilisation de ses données
  • les finalités sont précisées ; on pourrait discuter cependant de la nécessité de mettre en place des sous-catégories de contact par exemple pour “nous contacter pour une prestation de service”, ou autre - dans ce cas la base légale serait l’execution de mesures pré-contractuelles. Toutefois on peut également conserver une finalité un peu plus générique de contact général.
  • minimisation des données : seules les données nécessaires sont demandée ; il est utile dans ces cas de limiter le nombre de caractères qu’un utilisateur peut ajouter dans la case message

5. - Formulaire de participation à un évènement

Voici un formulaire d’inscription à un évènement type petit-déjeuner marketing :

Ici les mentions légales sont très complètes avec détail :

  • des finalités
  • de la base légale - ici en l’occurence le consentement
  • les destinataires des données
  • la durée du traitement - en l’occurence jusqu’au retrait du consentement
  • le détail des droits des personnes
  • le détail du responsable de traitement
  • mention de la possibilité d’instroduire une réclamation auprès d’une autorité de contrôle

Ces mentions sont issues de l’article 13 du RGPD, et elles doivent être transmises à l’utilisateur avant la collecte de ses données.

6. - Formulaire de téléchargement d’un bon de commande

Voici un formulaire qui permet à un utlisateur de télécharger un bon de commande :

Voici les règles juridiques imposées par le RGPD qui sont implémentées :

  • La collecte des données est transparente (art. 5.1.a) : l’utilisateur est clairement informé de l’usage de ses données et celles-ci ne sont pas exploitées à d’autres fins que celles indiquées.
  • Les finalités de la collecte sont claires (art. 5.1.b).
  • Le principe de minimisation est respecté (art. 5.1.c) : seule l’email est collectée ici
  • Le traitement repose sur le consentement - l’utilisateur saisit son adresse e-mail et clique sur le bouton de téléchargement, ce qui suffit pour établir le consentement.
  • Les mentions légales sont indiquées par renvoi (art. 13), fournissant à l’utilisateur un lien vers la politique de protection des données personnelles complète.

7. - Formulaire de téléchargement d’un livre blanc

Voici un exemple de formulaire de collecte de données qui est entièrement conforme au RGPD et qui permet de collecter des données personnelles de prospects dans le cadre d’une collecte de leads et de téléchargement d’un document / livre blanc :

Plusieurs obligations légales vont entrer en jeu ici dans la construction de l’interface : l’obligation de transparence (art. 5), les mentions légales (art. 13) et la base légale (art. 6).

Synthèse des règles à respecter

Voici une synthèse des règles à respecter lors de la construction d’un formulaire afin de collecter des données personnelles :

  • Respecter la transparence : l’utilisateur doit être informé en toute transparence de ce qui est fait de ses données (inscrire un utilisateur à une newsletter d’information n’est pas la même chose que l’envoi d’offres commerciales, si vous le faites il faut le mentionner)
  • les finalités du traitement (l’objectif pour lequel vous collectez les données et ce que vous en faites) doit clairement être explicité
  • vous devez minimiser les données personnelles collectées : pour une newsletter seul l’email peut être collecté
  • vous devez disposer d’une base légale, la majorité du temps ce sera le consentement
  • vous devez avoir une durée de conservation des données personnelles : il est illicite de collecter des données sans prévoir la fin de vie des données. Lorsque la base légale est le consentement, la durée de conservation est toujours jusqu’au retrait du consentement ; vous devez donc prévoir cette possibilité (lien de désinscription)
  • vous devez indiquer l’ensemble des mentions légales présentes à l’article 13 sur une page spécifique - ou sur le support de collecte si vous avez la place. Si vous décidez de déporter les mentions légales vers un lien externe, vous devez indiquer à minima sur le support de collecte : l’identité du responsable de traitement, les finalités du traitement et les droits des personnes

Pour rappel, la définition du consentement (art. 4): “«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;”

Pour vous assurer que le consentement est valable, les ressources suivantes vous seront utiles :

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
VOS CGV (gratuites)