Formulaire contact RGPD : 7 mentions + modèle 2026
Formulaire de contact RGPD : les 7 mentions obligatoires, la bonne base légale, la durée de conservation et un modèle de mention prêt à copier en 2026.
- Pourquoi votre formulaire de contact est concerné par le RGPD
- Quelle base légale pour un formulaire de contact ?
- Les 7 mentions obligatoires à afficher
- Modèle de mention prêt à copier
- Cas pratique : rendre un formulaire conforme en 15 minutes
- Minimisation : quels champs demander ?
- Durée de conservation des données
- La case à cocher : obligatoire ou non ?
- Formulaire, cookies et captcha en 2026
- Transferts hors UE : sous-traitants et outils
- Erreurs fréquentes à corriger
- Checklist de conformité du formulaire de contact
- Ce qu’il faut retenir
- FAQ
L’essentiel. Un formulaire de contact collecte des données personnelles : il doit afficher, directement sous le formulaire, une mention d’information au titre de l’article 13 du RGPD. La base légale la plus adaptée est l’intérêt légitime (Art. 6(1)(f)) — aucune case de consentement n’est nécessaire pour traiter la demande elle-même. Une case à cocher n’est requise que pour une finalité secondaire (newsletter, prospection), et elle ne doit jamais être pré-cochée. Vous trouverez plus bas les 7 mentions obligatoires et un modèle prêt à copier.
La majorité des sites web français affichent encore des formulaires de contact sans la moindre mention RGPD : pas d’information sur la finalité, la durée de conservation ou les droits des personnes. C’est pourtant l’un des points de collecte les plus simples à mettre en conformité — et l’un des plus contrôlés, parce qu’il est visible de tous. Voici, concrètement, les mentions à afficher, la base légale à retenir, la durée de conservation à documenter et un modèle de mention à adapter directement.
Pourquoi votre formulaire de contact est concerné par le RGPD
Un formulaire de contact constitue un traitement de données personnelles au sens de l’article 4(2) du RGPD. Dès qu’une personne saisit son nom et son adresse e-mail pour vous écrire, vous collectez et stockez des données à caractère personnel : vous devenez responsable de traitement pour cette collecte.
Cela déclenche les obligations des articles 12, 13 et 14 — au premier rang desquelles le devoir d’information au moment de la collecte. L’article 13 impose de fournir un ensemble d’informations précises avant ou au moment de la collecte, pas après. Les bonnes pratiques de transparence sont détaillées dans notre guide sur l’article 12 du RGPD.
Dans mon expérience de conseil auprès de PME, le formulaire de contact est souvent le point aveugle de la conformité : l’entreprise investit dans une politique de confidentialité détaillée mais oublie d’informer les personnes au point même où la collecte a lieu.
Quelle base légale pour un formulaire de contact ?
Le choix de la base légale est la première question à trancher. Pour un formulaire de contact classique (demande d’information, de devis, signalement), deux fondements de l’article 6 sont envisageables.
L’intérêt légitime (Art. 6(1)(f)). C’est la base la plus adaptée dans la majorité des cas. L’entreprise a un intérêt légitime à répondre aux demandes qui lui sont adressées, et la personne qui remplit volontairement un formulaire s’attend raisonnablement à recevoir une réponse. La balance des intérêts penche clairement en faveur du responsable de traitement — à condition de le documenter par un test de mise en balance (finalité, nécessité, équilibre des intérêts).
Les mesures précontractuelles (Art. 6(1)(b)). Elles s’appliquent lorsque le formulaire sert une demande de devis ou de prestation : la personne prend l’initiative d’une démarche pouvant aboutir à un contrat.
En revanche, si vous réutilisez ensuite les données pour envoyer des newsletters ou de la prospection commerciale, il faut une base légale distincte pour ce second traitement — typiquement le consentement explicite via une case à cocher séparée. Ne jamais mélanger « répondre à une demande » et « prospecter » sous une même base.
Les 7 mentions obligatoires à afficher
La CNIL recommande un système d’information à deux niveaux. Le premier niveau, affiché directement sous le formulaire, doit permettre à la personne de comprendre l’essentiel sans effort. Le second renvoie à la politique de confidentialité complète.
Voici les 7 mentions de premier niveau à faire figurer sous le formulaire :
| # | Mention | Contenu |
|---|---|---|
| 1 | Responsable de traitement | Identité de votre entreprise (ou de vous-même) |
| 2 | Finalité | « Répondre à votre demande de contact » |
| 3 | Base légale | Intérêt légitime (Art. 6(1)(f)) — ou mesures précontractuelles |
| 4 | Champs obligatoires/facultatifs | Astérisque + conséquence du non-remplissage |
| 5 | Durée de conservation | Ex. 12 mois à compter du dernier échange |
| 6 | Droits des personnes | Accès, rectification, effacement, opposition + contact |
| 7 | Renvoi second niveau | Lien vers la politique de confidentialité complète |
Le second niveau (politique de confidentialité) détaille le reste des informations de l’article 13 : coordonnées du DPO le cas échéant, destinataires, transferts hors UE éventuels, droit d’introduire une réclamation auprès de la CNIL, et modalités précises d’exercice du droit d’opposition.
Modèle de mention prêt à copier
Voici un modèle de mention de premier niveau que vous pouvez adapter et placer directement sous votre formulaire :
Les informations recueillies via ce formulaire sont traitées par [Nom de l’entreprise], responsable de traitement, sur le fondement de son intérêt légitime (Art. 6(1)(f) RGPD), afin de répondre à votre demande. Les champs marqués d’un astérisque sont obligatoires ; à défaut, votre demande ne pourra pas être traitée. Vos données sont conservées 12 mois à compter de notre dernier échange. Conformément au RGPD, vous disposez d’un droit d’accès, de rectification, d’effacement et d’opposition, que vous pouvez exercer à [adresse e-mail]. Pour en savoir plus, consultez notre [politique de confidentialité] et, en cas de difficulté, saisissez la CNIL.
Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — juillet 2026.
Cas pratique : rendre un formulaire conforme en 15 minutes
Prenons un formulaire type d’une PME de services, avec quatre champs (Nom*, E-mail*, Téléphone, Message*) et un bouton « Envoyer ». Voici la mise en conformité, étape par étape :
- Auditer les champs. Le téléphone n’est pas nécessaire pour répondre par e-mail : passez-le en facultatif, ou supprimez-le. Objectif minimisation atteint.
- Ajouter la mention de premier niveau sous le formulaire (voir le modèle ci-dessous), avec le lien vers la politique de confidentialité.
- Vérifier l’absence de case pré-cochée. Si une case « Recevoir nos actualités » existe, la décocher par défaut et la séparer visuellement du bouton d’envoi.
- Fixer une durée de conservation (par exemple 12 mois) et la documenter dans le registre.
- Contrôler le back-end. Où arrivent les messages ? Boîte mail, CRM, outil de ticketing ? Chaque destinataire doit être encadré et, s’il est hors UE, sécurisé par une base de transfert.
En moins d’un quart d’heure, le formulaire passe d’un point de collecte non conforme à un traitement documenté. L’essentiel du travail est en réalité organisationnel : décider de la durée, identifier les destinataires, tracer le tout.
Minimisation : quels champs demander ?
L’article 5(1)© impose de ne collecter que les données strictement nécessaires à la finalité — c’est le principe de minimisation. Pour un formulaire de contact standard, les champs légitimes sont :
- le nom ou prénom (pour personnaliser la réponse) ;
- l’adresse e-mail (pour répondre) ;
- le message (objet de la demande) ;
- éventuellement un champ « objet » pour le routage interne.
Demander systématiquement le numéro de téléphone, l’adresse postale, la date de naissance, la fonction ou le chiffre d’affaires pour un simple formulaire de contact constitue une collecte excessive. Si certains champs facultatifs sont utiles, distinguez-les clairement des champs obligatoires (par un astérisque) et n’en faites pas des conditions d’envoi.
Durée de conservation des données
L’article 5(1)(e) exige une limitation de la conservation. Pour un formulaire de contact, la durée de conservation doit être proportionnée à la finalité.
| Situation | Durée indicative |
|---|---|
| Demande de contact ponctuelle | 12 mois à compter du dernier échange |
| Demande aboutissant à un contrat | Bascule dans le référentiel « gestion des contrats » |
| Réutilisation en prospection B2B | 3 ans à compter du dernier contact actif |
Attention : la durée de 3 ans en prospection ne s’applique qu’aux données effectivement utilisées à cette fin, pas au simple traitement d’une demande ponctuelle. Documentez ces durées dans votre registre des traitements et mettez en place une purge automatique ou un processus de suppression périodique.
La case à cocher : obligatoire ou non ?
C’est une question récurrente, et la réponse dépend de la base légale :
- Si le formulaire repose sur l’intérêt légitime pour traiter la demande, aucune case de consentement n’est requise : la personne a volontairement rempli le formulaire, l’information suffit.
- Une case à cocher est obligatoire si vous ajoutez une finalité nécessitant le consentement (inscription à une newsletter, offres commerciales). Cette case doit être décochée par défaut (le considérant 32 interdit les cases pré-cochées), distincte du bouton « Envoyer » et accompagnée d’un libellé clair.
Ne confondez pas la case « J’ai lu la politique de confidentialité » (simple prise de connaissance) avec une case de consentement à la prospection. Sur la logique opt-in / opt-out, voir notre guide dédié : opt-in vs opt-out et le modèle de mention de consentement.
Un mot sur le double opt-in. Lorsque le formulaire sert aussi à collecter une inscription newsletter, la bonne pratique consiste à envoyer un e-mail de confirmation demandant à la personne de valider son inscription. Ce mécanisme n’est pas une exigence textuelle explicite du RGPD, mais il présente un double avantage : il prouve la réalité et la libre expression du consentement (charge de la preuve qui pèse sur vous au titre de l’article 7), et il évite d’inscrire des adresses saisies par erreur ou par un tiers. Conservez l’horodatage et le contenu exact de la case cochée : en cas de contrôle, c’est cette trace qui démontre la validité du consentement.
Formulaire, cookies et captcha en 2026
Si votre formulaire est intégré dans une page qui dépose des cookies ou traceurs non essentiels (mesure d’audience non exemptée, pixels de conversion), le bandeau de consentement doit s’afficher avant leur déclenchement. Le formulaire lui-même n’exige pas de consentement cookies, sauf s’il embarque un composant tiers qui dépose des traceurs.
Les captchas de type reCAPTCHA méritent une attention particulière : ils déposent des cookies et transfèrent des données vers un prestataire américain. Depuis la décision d’adéquation EU-US Data Privacy Framework (adoptée en juillet 2023, toujours en vigueur en 2026 mais fragilisée par des recours contentieux), un transfert vers un prestataire certifié au titre de ce cadre bénéficie d’une base de transfert valable — ce qui atténue le risque « transfert », sans régler la question du consentement cookies au titre de la directive ePrivacy. Pour un formulaire, des alternatives sobres restent préférables : captcha « honeypot » (champ invisible, aucune collecte supplémentaire) ou solutions européennes respectueuses de la vie privée.
Transferts hors UE : sous-traitants et outils
Si votre formulaire envoie les données vers un CRM ou un service d’emailing établi hors UE, vous devez encadrer ce sous-traitant (contrat au titre de l’article 28) et sécuriser le transfert au titre des articles 44 à 49. Deux mécanismes principaux en 2026 :
- la décision d’adéquation EU-US Data Privacy Framework, lorsque le prestataire américain est certifié ;
- à défaut, les clauses contractuelles types de la Commission (décision d’exécution (UE) 2021/914), le cas échéant complétées de mesures supplémentaires après analyse d’impact du transfert.
Recensez précisément les destinataires de votre formulaire : c’est souvent là que se logent les non-conformités invisibles.
Erreurs fréquentes à corriger
Ayant audité de nombreux sites au fil de vingt ans de pratique, voici les erreurs les plus répandues sur les formulaires de contact :
- Absence totale de mentions RGPD. L’article 13 s’applique à chaque point de collecte, pas seulement à la page de politique de confidentialité.
- Case pré-cochée pour la newsletter. Le considérant 32 et la jurisprudence Planet49 de la CJUE (C-673/17, 1er octobre 2019) sont sans ambiguïté : une case pré-cochée ne vaut pas consentement. La CNIL a sanctionné des sociétés de e-commerce pour recours à des cases pré-cochées et à de la prospection sans consentement valable.
- Collecte excessive de données (téléphone, fonction, chiffre d’affaires) sans nécessité.
- Absence de durée de conservation : les messages restent indéfiniment dans les boîtes mail ou le CRM. Intégrez ce traitement au registre avec une durée définie.
- Transfert vers des outils non encadrés (CRM ou emailing hors UE) sans base de transfert appropriée.
Ces réflexes valent tout particulièrement pour les sites marchands : voir notre guide RGPD e-commerce.
Checklist de conformité du formulaire de contact
- [ ] Les mentions d’information de premier niveau figurent directement sous le formulaire
- [ ] Un lien renvoie vers la politique de confidentialité complète
- [ ] Seuls les champs strictement nécessaires sont présents (minimisation)
- [ ] Champs obligatoires et facultatifs distingués (astérisque)
- [ ] La durée de conservation est précisée
- [ ] Aucune case n’est pré-cochée
- [ ] Toute case newsletter est séparée, décochée par défaut, à libellé clair
- [ ] Le captcha ne transfère pas de données hors UE sans base valable
- [ ] Le traitement figure dans le registre des activités de traitement
- [ ] Une procédure de purge des données est en place
Ce qu’il faut retenir
- Un formulaire de contact est un traitement soumis au RGPD, avec obligation d’information au moment de la collecte (Art. 13).
- La base légale la plus adaptée est l’intérêt légitime (Art. 6(1)(f)) — sauf usage secondaire (prospection) qui exige le consentement.
- Les 7 mentions de premier niveau figurent sous le formulaire ; le détail va dans la politique de confidentialité.
- La minimisation impose de se limiter à nom, e-mail et message dans la plupart des cas.
- Les cases pré-cochées sont interdites : une case de consentement est décochée par défaut et porte sur une finalité clairement identifiée.
À l’échelle d’un site ou d’un groupe, recenser tous les points de collecte (formulaires, comptes, newsletters) est fastidieux : un logiciel RGPD permet d’industrialiser cet inventaire et la tenue du registre associé.
FAQ
Faut-il une case à cocher sur un formulaire de contact RGPD ?
Pas nécessairement. Si le formulaire repose sur l’intérêt légitime pour traiter la demande, il suffit d’afficher les mentions d’information. Une case à cocher n’est obligatoire que pour une finalité nécessitant le consentement, comme l’inscription à une newsletter. Dans tous les cas, les cases ne doivent jamais être pré-cochées.
Quelles mentions obligatoires mettre sous un formulaire de contact ?
Au minimum sept : l’identité du responsable de traitement, la finalité (répondre à la demande), la base légale, le caractère obligatoire ou facultatif des champs, la durée de conservation, les droits de la personne (accès, rectification, effacement, opposition) et un lien vers la politique de confidentialité complète (Art. 13 du RGPD).
Combien de temps conserver les données d’un formulaire de contact ?
La CNIL ne fixe pas de durée unique, mais 12 mois à compter du dernier échange sont généralement considérés comme proportionnés pour une demande ponctuelle. Pour de la prospection B2B, la durée recommandée est de 3 ans à compter du dernier contact actif. Documentez votre choix dans votre registre des traitements.
Google reCAPTCHA est-il conforme au RGPD sur un formulaire de contact ?
reCAPTCHA dépose des cookies et transfère des données vers les États-Unis. Depuis la décision d’adéquation EU-US Data Privacy Framework (2023, toujours en vigueur en 2026), le transfert vers un prestataire certifié dispose d’une base valable, mais la question du consentement cookies au titre de la directive ePrivacy subsiste. Des alternatives « honeypot » ou européennes sont préférables pour un formulaire de contact.
Peut-on utiliser les e-mails d’un formulaire de contact pour de la prospection ?
Non, pas sans base légale distincte. Répondre à une demande relève de l’intérêt légitime ; envoyer de la prospection est une finalité secondaire qui suppose, en B2C, un consentement recueilli séparément. Réutiliser l’e-mail d’une demande de contact pour prospecter sans base adéquate expose à une sanction. Voir notre guide sur la prospection commerciale.
Un formulaire de contact doit-il figurer dans le registre des traitements ?
Oui. Même modeste, il constitue un traitement de données personnelles distinct, avec sa finalité, sa base légale et sa durée de conservation. Il doit figurer dans le registre des activités de traitement (article 30), au même titre que les autres traitements de l’organisation.