Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 13 avril 2026
Accueil/Marketing Digital/Formulaire contact RGPD : mentions obligatoires
Marketing Digital

Formulaire contact RGPD : mentions obligatoires

Formulaire de contact et RGPD : mentions obligatoires, base légale, durée de conservation. Guide pratique avec exemples conformes.

Par Thiebaut DevergrannePublie le 11 avril 2026Mis a jour le 11 avril 202610 min de lecture
Sommaire
  1. Pourquoi votre formulaire de contact est concerné par le RGPD
  2. Quelle base légale pour un formulaire de contact ?
  3. Les mentions obligatoires à afficher sous votre formulaire
  4. Champs du formulaire : le principe de minimisation
  5. Durée de conservation des données
  6. La case à cocher : obligatoire ou non ?
  7. Formulaire de contact et cookies
  8. Erreurs fréquentes à corriger
  9. Checklist de conformité du formulaire de contact
  10. Ce qu’il faut retenir
  11. FAQ

Votre formulaire de contact collecte des données personnelles à chaque envoi : nom, prénom, adresse email, parfois numéro de téléphone. Pourtant, la majorité des sites web français affichent encore des formulaires sans aucune mention RGPD, sans information sur la durée de conservation ni sur les droits des personnes. La CNIL le rappelle régulièrement : chaque collecte de données personnelles doit s’accompagner d’une information transparente. Voici comment rendre votre formulaire de contact conforme, concrètement.

Pourquoi votre formulaire de contact est concerné par le RGPD

Un formulaire de contact constitue un traitement de données personnelles au sens de l’Art. 4(2) du RGPD. Dès lors qu’une personne saisit son nom et son adresse email pour vous envoyer un message, vous collectez et stockez des données à caractère personnel. Vous devenez responsable de traitement pour cette collecte.

Cela déclenche plusieurs obligations issues des articles 12, 13 et 14 du RGPD, notamment le devoir d’information au moment de la collecte. L’Art. 13 du RGPD impose de fournir à la personne un ensemble d’informations précises avant ou au moment de la collecte — pas après.

Dans mon expérience de conseil auprès de PME, le formulaire de contact est souvent le point aveugle de la conformité. Les entreprises investissent dans une politique de confidentialité détaillée mais oublient d’informer les personnes au point même où la collecte a lieu.

Quelle base légale pour un formulaire de contact ?

Le choix de la base légale est la première question à trancher. Pour un formulaire de contact classique (demande d’information, demande de devis, signalement d’un problème), deux bases légales sont généralement envisageables :

L’intérêt légitime (Art. 6(1)(f) RGPD) est la base la plus adaptée dans la majorité des cas. L’entreprise a un intérêt légitime à répondre aux demandes qui lui sont adressées via son site web, et la personne qui remplit volontairement un formulaire s’attend raisonnablement à recevoir une réponse. La balance des intérêts penche clairement en faveur du responsable de traitement. C’est d’ailleurs la position retenue par la CNIL dans ses modèles de mentions d’information.

Les mesures précontractuelles (Art. 6(1)(b) RGPD) peuvent s’appliquer lorsque le formulaire est utilisé pour une demande de devis ou de prestation. La personne prend l’initiative d’une démarche qui pourrait aboutir à un contrat.

En revanche, si vous utilisez les données collectées via le formulaire pour envoyer ensuite des newsletters ou de la prospection commerciale, il faudra une base légale distincte pour ce second traitement — typiquement le consentement explicite via une case à cocher séparée.

Les mentions obligatoires à afficher sous votre formulaire

L’Art. 13 du RGPD liste les informations minimales à communiquer lors de la collecte. Pour un formulaire de contact, voici ce qui doit apparaître :

Premier niveau d’information (directement sous le formulaire)

La CNIL recommande un système d’information à deux niveaux. Le premier niveau, affiché directement sous le formulaire, doit contenir au minimum :

L’identité du responsable de traitement (votre entreprise ou vous-même), la finalité du traitement (répondre à votre demande de contact), le caractère obligatoire ou facultatif des champs (avec les conséquences en cas de non-remplissage), les droits de la personne (accès, rectification, effacement, opposition) et un renvoi vers la politique de confidentialité pour l’information complète.

Exemple de mention conforme

Voici un modèle de mention que vous pouvez adapter :

Les informations recueillies via ce formulaire sont traitées par [Nom de l’entreprise] en qualité de responsable de traitement, sur le fondement de son intérêt légitime (Art. 6(1)(f) RGPD), afin de répondre à votre demande. Les champs marqués d’un astérisque sont obligatoires ; à défaut, votre demande ne pourra pas être traitée. Vos données sont conservées pendant 12 mois à compter de notre dernier échange. Conformément au RGPD, vous disposez d’un droit d’accès, de rectification, d’effacement et d’opposition. Pour exercer ces droits ou pour toute question, contactez-nous à [email]. Pour en savoir plus, consultez notre [politique de confidentialité].

Second niveau d’information (politique de confidentialité)

Le second niveau renvoie vers votre politique de confidentialité complète, qui détaillera l’ensemble des informations exigées par l’Art. 13 : coordonnées du DPO le cas échéant, détail des destinataires des données, transferts hors UE éventuels, droit d’introduire une réclamation auprès de la CNIL, etc.

Champs du formulaire : le principe de minimisation

L’Art. 5(1)© du RGPD impose de ne collecter que les données strictement nécessaires à la finalité poursuivie. Pour un formulaire de contact standard, les champs légitimes sont :

Le nom ou prénom (pour personnaliser la réponse), l’adresse email (pour répondre) et le message (objet de la demande). Un champ « objet » ou « sujet » peut faciliter le routage interne.

En revanche, demander systématiquement le numéro de téléphone, l’adresse postale, la date de naissance ou le nom de l’entreprise sans que cela soit nécessaire pour traiter la demande constitue une violation du principe de minimisation. La CNIL a d’ailleurs sanctionné cette pratique à plusieurs reprises, notamment dans le cadre de formulaires de collecte excessifs.

Si certains champs sont facultatifs, distinguez-les clairement des champs obligatoires — par un astérisque par exemple — et indiquez les conséquences de la non-fourniture des données obligatoires.

Durée de conservation des données

L’Art. 5(1)(e) du RGPD exige une limitation de la conservation. Pour les données collectées via un formulaire de contact, la CNIL recommande une durée de conservation proportionnée à la finalité.

En pratique, une durée de 12 mois à compter du dernier échange est généralement considérée comme raisonnable pour une demande de contact. Si la demande aboutit à une relation contractuelle, les données basculent dans le référentiel « gestion des contrats » avec ses propres durées.

Pour la prospection commerciale B2B, la CNIL retient un délai de 3 ans à compter du dernier contact actif. Mais attention : cette durée ne s’applique qu’aux données utilisées à des fins de prospection, pas au simple traitement d’une demande de contact ponctuelle.

Documentez ces durées dans votre registre des traitements et mettez en place une purge automatique ou un processus de suppression périodique.

La case à cocher : obligatoire ou non ?

C’est une question récurrente. La réponse dépend de la base légale choisie :

Si votre formulaire repose sur l’intérêt légitime pour le traitement de la demande de contact, aucune case de consentement n’est requise pour ce traitement. La personne a volontairement rempli le formulaire — l’information suffit.

En revanche, une case à cocher est obligatoire si vous ajoutez une finalité secondaire nécessitant le consentement, comme l’inscription à une newsletter ou l’envoi d’offres commerciales. Cette case doit être décochée par défaut (le considérant 32 du RGPD interdit les cases pré-cochées), distincte du bouton « Envoyer » et accompagnée d’un libellé clair précisant exactement ce à quoi la personne consent.

Ne confondez pas non plus la case « J’accepte la politique de confidentialité » (qui n’est pas un consentement au traitement mais une simple prise de connaissance) avec une case de consentement à la prospection.

Formulaire de contact et cookies

Si votre formulaire est intégré dans une page qui utilise des cookies ou des traceurs (Google Analytics, pixels de conversion), le bandeau cookies doit être affiché avant que ces traceurs ne se déclenchent. Le formulaire lui-même ne nécessite pas de consentement cookies sauf s’il intègre un captcha tiers ou un outil de tracking qui dépose des cookies non essentiels.

Les captchas comme reCAPTCHA de Google posent un problème spécifique car ils transfèrent des données vers les États-Unis. Il est recommandé d’utiliser des alternatives européennes (hCaptcha, Friendly Captcha) ou des captchas « honeypot » qui ne collectent aucune donnée supplémentaire.

Erreurs fréquentes à corriger

Ayant audité des centaines de sites web au fil de mes 20 ans de pratique, voici les erreurs que je retrouve le plus souvent sur les formulaires de contact :

Absence totale de mentions RGPD. C’est encore le cas de la majorité des sites. L’Art. 13 s’applique pourtant à chaque point de collecte, pas uniquement à la page de politique de confidentialité.

Case pré-cochée pour la newsletter. Le considérant 32 du RGPD et la jurisprudence Planet49 de la CJUE (C-673/17) sont sans ambiguïté : une case pré-cochée ne constitue pas un consentement valable. La CNIL a infligé des amendes pour cette pratique, notamment dans le cadre de la prospection commerciale (SAN-2020-003, 500 000 € contre une société de e-commerce).

Collecte excessive de données. Demander le numéro de téléphone, la fonction, le nom de l’entreprise et le chiffre d’affaires pour un simple formulaire de contact viole le principe de minimisation.

Absence de durée de conservation. Les données des formulaires de contact restent souvent indéfiniment dans les boîtes mail ou les CRM sans aucune politique de purge. Intégrez ce traitement dans votre registre avec une durée définie.

Transfert vers des outils non conformes. Si votre formulaire envoie les données vers un CRM américain ou un service d’emailing hors UE, vous devez vous assurer que les garanties appropriées sont en place (clauses contractuelles types, décision d’adéquation, etc.) conformément aux Art. 44 à 49 du RGPD.

Checklist de conformité du formulaire de contact

Pour vérifier la conformité de votre formulaire, passez en revue ces points :

Les mentions d’information de premier niveau figurent directement sous le formulaire. Un lien renvoie vers la politique de confidentialité complète. Seuls les champs strictement nécessaires sont présents. Les champs obligatoires et facultatifs sont distingués. La durée de conservation est précisée. Aucune case n’est pré-cochée. Si une case newsletter est présente, elle est séparée et décochée par défaut. Le formulaire n’utilise pas de captcha transférant des données hors UE sans garanties. Le traitement figure dans votre registre des activités de traitement. Une procédure de purge des données est en place.

Ce qu’il faut retenir

  • Un formulaire de contact est un traitement de données personnelles soumis au RGPD, avec obligation d’information au moment de la collecte (Art. 13).
  • La base légale la plus adaptée est généralement l’intérêt légitime (Art. 6(1)(f)), sauf si le formulaire sert aussi à collecter un consentement pour de la prospection.
  • Les mentions d’information doivent figurer directement sous le formulaire (premier niveau) avec un renvoi vers la politique de confidentialité complète (second niveau).
  • Le principe de minimisation impose de ne collecter que les données strictement nécessaires : nom, email et message suffisent dans la plupart des cas.
  • Les cases pré-cochées sont interdites par le RGPD — une case de consentement doit être décochée par défaut et porter sur une finalité clairement identifiée.

FAQ

Faut-il une case à cocher sur un formulaire de contact RGPD ?

Pas nécessairement. Si le formulaire repose sur l’intérêt légitime pour traiter la demande, il suffit d’afficher les mentions d’information. Une case à cocher n’est obligatoire que si vous ajoutez une finalité nécessitant le consentement, comme l’inscription à une newsletter. Dans tous les cas, les cases ne doivent jamais être pré-cochées.

Quelles mentions obligatoires mettre sous un formulaire de contact ?

Au minimum : l’identité du responsable de traitement, la finalité (répondre à la demande), la base légale, le caractère obligatoire/facultatif des champs, la durée de conservation, les droits de la personne (accès, rectification, effacement, opposition) et un lien vers la politique de confidentialité complète, conformément à l’Art. 13 du RGPD.

Combien de temps conserver les données d’un formulaire de contact ?

La CNIL ne fixe pas de durée unique, mais une conservation de 12 mois à compter du dernier échange est généralement considérée comme proportionnée pour une demande de contact ponctuelle. Pour de la prospection B2B, la durée recommandée est de 3 ans à compter du dernier contact actif. Documentez votre choix dans votre registre des traitements.

Google reCAPTCHA est-il conforme au RGPD sur un formulaire de contact ?

Google reCAPTCHA transfère des données personnelles vers les États-Unis et dépose des cookies, ce qui pose des questions de conformité au regard du RGPD et de la directive ePrivacy. Il est recommandé de privilégier des alternatives européennes comme hCaptcha ou des solutions « honeypot » qui ne collectent pas de données supplémentaires.

Restez informe sur la conformite

Recevez nos analyses et guides pratiques sur le RGPD, NIS2, AI Act et plus. Rejoint par 52 000+ professionnels.

Articles lies

Marketing Digital

Chatbot et RGPD : obligations de conformité

11 avril 2026 · 12 min
Marketing Digital

Taux de consentement cookies : benchmarks 2026

11 avril 2026 · 11 min
Marketing Digital

WordPress et RGPD : les plugins indispensables

11 avril 2026 · 11 min