Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Google Forms et RGPD : guide de conformité 2026

Google Forms est-il conforme au RGPD ? Compte perso vs Workspace, hébergement, consentement, données sensibles : le guide pratique 2026.

Un formulaire Google créé en deux minutes pour collecter des inscriptions, une enquête de satisfaction ou des candidatures : c’est l’un des outils les plus utilisés dans les PME françaises, et l’une des plus grandes sources d’angles morts en matière de protection des données. Le problème n’est presque jamais l’outil lui-même — c’est la manière dont on l’utilise, et surtout le type de compte avec lequel on l’utilise. Voici ce qu’il faut comprendre, et ce qu’il faut faire.

Google Forms et RGPD : la vraie question n’est pas « est-ce conforme ? »

Demander si Google Forms est « conforme au RGPD » revient à demander si un stylo est conforme au RGPD. Un formulaire est un point de collecte : la conformité dépend de ce que vous collectez, pourquoi, comment vous en informez les personnes et où finissent les données. Google Forms n’est qu’un maillon de cette chaîne.

En revanche, une distinction technique change tout : le type de compte Google que vous utilisez. Et c’est précisément là que la plupart des organisations se trompent.

Compte personnel gratuit : le piège du @gmail.com

Si vous créez vos formulaires depuis un compte Google personnel (adresse en @gmail.com), vous utilisez les services grand public de Google. Ceux-ci sont régis par les conditions générales consommateur, pas par un contrat de sous-traitance. Concrètement :

  • Aucun accord de traitement des données (DPA) ne s’applique. Vous n’avez donc pas l’engagement contractuel de sous-traitance qu’exige l’article 28 du RGPD lorsqu’un prestataire traite des données pour votre compte.
  • Google n’agit pas clairement comme sous-traitant sous vos instructions : la relation est encadrée par des CGU consommateur.
  • Les données peuvent alimenter l’écosystème publicitaire de Google.

Utiliser un compte personnel pour collecter des données professionnelles (clients, salariés, prospects) place donc votre organisation en porte-à-faux dès le départ. C’est une erreur fréquente dans les TPE et les associations, où le formulaire est créé « vite fait » sur le compte personnel du dirigeant ou d’un bénévole.

Google Workspace : le cadre contractuel existe

Avec un abonnement Google Workspace (compte professionnel sur votre nom de domaine), le cadre change radicalement. Google s’engage via le Cloud Data Processing Addendum (l’ancien « Data Processing Amendment ») à agir comme sous-traitant au sens de l’article 28. Vous restez le responsable de traitement : c’est vous qui décidez des finalités et des moyens, c’est vous qui répondez de la conformité.

La règle pratique est simple : pour tout traitement professionnel, n’utilisez jamais Google Forms depuis un compte personnel. Passez par Workspace, et conservez la trace du DPA accepté dans votre documentation de conformité.

Où sont stockées les données de vos formulaires ?

Par défaut, les données collectées via Google Forms sont hébergées dans l’infrastructure mondiale de Google, ce qui inclut les États-Unis et d’autres pays tiers. Il y a donc, par défaut, un transfert de données hors de l’Union européenne relevant du chapitre V du RGPD.

Ce transfert n’est pas illégal pour autant. Google LLC est certifiée depuis 2023 au titre de l’EU-US Data Privacy Framework (DPF), qui bénéficie d’une décision d’adéquation de la Commission européenne adoptée le 10 juillet 2023. À cela s’ajoutent, en filet de sécurité, les clauses contractuelles types (CCT) intégrées au DPA. Le cadre juridique du transfert existe donc.

Deux nuances importantes, néanmoins :

  1. La localisation des données dans l’UE n’est pas automatique. Les fonctions de data regions (qui permettent de choisir l’Europe comme zone de stockage) ne sont disponibles que sur certaines éditions payantes de Workspace (Business Plus, Enterprise). Sur un compte standard ou personnel, vous ne contrôlez pas la localisation.
  2. « Hébergé via une décision d’adéquation » ne dispense pas d’analyse pour les données sensibles. Pour un formulaire collectant des données de santé ou d’autres données sensibles, il reste prudent de documenter une analyse de transfert (TIA) et de privilégier les éditions offrant la résidence des données dans l’UE.

Si vous traitez des données particulièrement sensibles ou si vous relevez du secteur public, gardez en tête que Google Workspace n’est pas qualifié SecNumCloud : ce n’est pas une solution de cloud de confiance au sens de l’ANSSI.

Le cœur du sujet : ce que vous mettez dans le formulaire

C’est ici que se joue 80 % de votre conformité, et cela ne dépend que de vous.

Minimisation : chaque champ doit se justifier

Le principe de minimisation (Art. 5(1)©) impose de ne collecter que les données adéquates, pertinentes et limitées à ce qui est nécessaire. Un formulaire est un aimant à champs superflus : on ajoute la date de naissance « au cas où », le numéro de téléphone « pour rappeler », l’adresse complète pour une simple inscription à une newsletter. Pour chaque champ, posez la question : de quoi ai-je réellement besoin pour cette finalité précise ? Si vous ne savez pas justifier un champ, supprimez-le.

Données sensibles : le risque caché des enquêtes

Une enquête interne sur le bien-être au travail, un questionnaire d’inscription à un événement avec « régime alimentaire / allergies », un formulaire RH qui demande des « informations médicales » : autant de cas où des données sensibles au sens de l’article 9 (santé, opinions, orientation, etc.) se glissent dans un Google Form. Leur traitement est en principe interdit, sauf exception (consentement explicite notamment). Avant de publier, relisez votre formulaire avec cette grille : est-ce que l’une de mes questions peut révéler une donnée sensible ? Si oui, il faut une base solide et, souvent, une analyse d’impact.

Champs cachés et formulaires en quiz

Le mode « quiz » et les fonctionnalités de collecte d’adresse e-mail ou de réponses associées au compte Google du répondant peuvent collecter plus que vous ne le pensez. Vérifiez vos paramètres : voulez-vous vraiment associer chaque réponse à une adresse e-mail identifiante ? Si l’anonymat est souhaité (enquête sociale, baromètre interne), désactivez la collecte des e-mails et ne demandez aucune donnée indirectement identifiante.

Base légale et information : les deux obligations à ne pas oublier

Identifier la bonne base légale

Tout traitement repose sur l’une des six bases légales de l’article 6. Pour un formulaire, les cas typiques :

  • Inscription à une newsletter, prospection : consentement (Art. 6(1)(a)), à recueillir par une case à cocher non pré-cochée, distincte des autres finalités.
  • Formulaire de contact, demande de devis : souvent intérêt légitime (Art. 6(1)(f)) ou mesures précontractuelles.
  • Candidature, enquête salariés : intérêt légitime ou obligations dans le cadre de la relation de travail.

Ne mélangez pas les finalités : un formulaire de contact ne doit pas servir, en douce, à constituer un fichier de prospection sans information ni base distincte.

Informer les personnes (Art. 13)

C’est l’oubli le plus courant. Un formulaire qui collecte des données personnelles doit comporter une mention d’information conforme à l’article 13 du RGPD : identité du responsable de traitement, finalité, base légale, destinataires, durée de conservation, droits des personnes et coordonnées pour les exercer. En pratique, ajoutez en haut ou en bas du formulaire un court texte et un lien vers votre politique de confidentialité. Pour vous inspirer, voyez notre exemple de formulaire RGPD conforme.

Si vous intégrez le formulaire dans une page web, n’oubliez pas non plus la dimension cookies et traceurs de la page hôte.

Conservation, sécurité et droits

Durée de conservation. Les réponses ne doivent pas dormir indéfiniment dans un Google Sheet. Définissez une durée de conservation par finalité (par exemple, 3 ans pour un prospect non transformé, selon la recommandation CNIL) et purgez vos réponses à échéance.

Sécurité (Art. 32). La sécurité du traitement repose sur une responsabilité partagée. Google sécurise l’infrastructure (chiffrement, certifications ISO 27001) ; vous êtes responsable de la gestion des accès. Le risque numéro un est humain : un formulaire ou son Google Sheet de réponses partagé en « accès public via le lien » expose toutes les données collectées. Limitez le partage aux personnes strictement nécessaires, et formalisez ces règles dans votre charte informatique. Un partage public mal configuré constituerait une violation de données à notifier le cas échéant.

Droits des personnes. Vous devez pouvoir répondre à une demande d’accès (Art. 15) ou d’effacement (Art. 17) portant sur les réponses d’un formulaire. Pensez en amont : comment retrouverez-vous toutes les réponses d’une personne dans votre Sheet ? Une colonne d’identifiant fiable facilite l’exercice.

Mineurs. Si votre formulaire s’adresse à des enfants (cas fréquent dans l’éducation et les associations), tenez compte des règles de l’article 8 du RGPD sur le consentement des mineurs.

Enfin, n’oubliez pas d’inscrire le traitement dans votre registre des activités de traitement (Art. 30) : un formulaire de collecte est un traitement à part entière. Cartographier ces traitements éparpillés dans une organisation est exactement le type de travail fastidieux que des outils comme Legiscope automatisent.

Google Forms vs Typeform : que choisir ?

Beaucoup hésitent entre Google Forms et son concurrent. D’un point de vue conformité, les enjeux sont voisins (sous-traitance, transferts, minimisation, information). Google Forms est gratuit et puissant dès lors qu’on l’utilise via Workspace, mais offre moins de granularité sur la localisation des données que certaines offres entreprise. Typeform, éditeur européen, n’est pas pour autant « plus conforme » par défaut : son hébergement s’appuie aussi sur des infrastructures américaines, sauf option dédiée. Pour le détail, voyez notre guide Typeform et RGPD. Le bon réflexe n’est jamais « quel outil est conforme ? », mais « comment configurer et utiliser mon outil correctement ? » — la même logique vaut pour Calendly et les autres briques SaaS du quotidien.

Ce qu’il faut retenir

  • Le type de compte est décisif : un compte personnel @gmail.com ne bénéficie d’aucun DPA. Pour tout usage professionnel, utilisez Google Forms via Google Workspace, où Google agit comme sous-traitant au sens de l’Art. 28.
  • Les données sont hébergées hors UE par défaut, sous couvert du Data Privacy Framework et des CCT. La résidence des données en Europe n’est possible que sur certaines éditions payantes de Workspace.
  • La conformité se joue dans le contenu du formulaire : minimisation (Art. 5(1)©), vigilance sur les données sensibles (Art. 9), mention d’information (Art. 13) et base légale adaptée.
  • Sécurité = responsabilité partagée : le risque principal est un partage public mal configuré du formulaire ou du Sheet de réponses.
  • Documentez : durée de conservation par finalité, inscription au registre (Art. 30), capacité à répondre aux droits d’accès et d’effacement.

FAQ

Google Forms est-il conforme au RGPD ?

Google Forms peut être utilisé de manière conforme, à condition de l’employer via un compte Google Workspace (et non un compte personnel gratuit), de configurer correctement la collecte, d’informer les personnes (Art. 13) et de maîtriser les transferts hors UE. La conformité dépend surtout de votre usage, pas de l’outil seul.

Peut-on utiliser Google Forms avec un compte Gmail personnel pour son entreprise ?

Ce n’est pas recommandé. Un compte personnel relève des conditions consommateur de Google, sans accord de sous-traitance (DPA) au sens de l’Art. 28. Pour collecter des données professionnelles, passez par Google Workspace, où le cadre contractuel de sous-traitance s’applique.

Les données de Google Forms sont-elles stockées en Europe ?

Pas par défaut : elles sont hébergées dans l’infrastructure mondiale de Google, États-Unis inclus. Le transfert est encadré par le Data Privacy Framework et les clauses contractuelles types. La localisation des données en Europe nécessite des éditions Workspace spécifiques (Business Plus, Enterprise) et l’activation des data regions.

Faut-il une analyse d’impact (AIPD) pour un Google Form ?

Pas systématiquement. Une AIPD s’impose en cas de risque élevé, par exemple un formulaire collectant à grande échelle des données sensibles (santé) ou des données de personnes vulnérables. Pour un simple formulaire de contact, elle n’est en général pas requise.

Comment rendre un formulaire Google conforme rapidement ?

Trois actions prioritaires : utilisez un compte Workspace, ajoutez une mention d’information (Art. 13) avec un lien vers votre politique de confidentialité, et supprimez tout champ non strictement nécessaire à votre finalité. Vérifiez ensuite le partage du fichier de réponses et fixez une durée de conservation.