Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Typeform et RGPD : guide de conformité 2026

Typeform et RGPD : hébergement des données hors UE, DPA, transfert, consentement et minimisation. Ce qu'il faut vérifier avant de l'utiliser.

Un formulaire Typeform n’est jamais neutre au regard du RGPD : c’est un point de collecte directe de données personnelles. Dès qu’un répondant saisit son nom, son e-mail ou répond à une question un peu sensible, vous traitez des données — et vous en êtes pleinement responsable. La question « Typeform est-il conforme ? » est donc mal posée. La vraie question est : que faites-vous, vous, pour rendre votre usage de Typeform conforme ?

On entend souvent que Typeform serait « safe » parce que l’éditeur est européen. C’est un raccourci trompeur. Typeform est bien une société espagnole, basée à Barcelone, mais l’origine de l’éditeur ne dit rien du lieu d’hébergement ni des transferts internationaux. Voici ce qu’il faut comprendre — et ce qu’il faut vérifier avant de déployer le moindre formulaire. Pour une vue d’ensemble, consultez notre guide RGPD par outil.

Qualification juridique : Typeform comme sous-traitant

Typeform agit comme sous-traitant au sens de l’article 28 du RGPD. C’est votre organisation qui décide des finalités (recueillir des candidatures, qualifier des prospects, mener une enquête de satisfaction) et des moyens essentiels du traitement (quels champs collecter, quelles questions poser, combien de temps conserver les réponses). Typeform fournit l’outil et traite les données selon vos instructions. Vous restez responsable de traitement au sens de l’article 4(7), et c’est vous que la CNIL viendra interroger en cas de contrôle.

Cette qualification impose un acte juridique encadrant la sous-traitance : le DPA (Data Processing Addendum). Typeform met le sien à disposition à l’adresse typeform.com/dpa et y intègre les clauses contractuelles types (CCT) de la Commission européenne. Premier réflexe, avant tout déploiement : récupérer ce DPA, le dater et le rattacher à votre dossier d’accountability. Sur la frontière entre les deux rôles, notre guide sous-traitant RGPD précise qui porte quelle obligation.

Le vrai sujet : où sont hébergées les réponses ?

Voici le point que la plupart des utilisateurs ignorent. Par défaut, Typeform héberge les réponses sur l’infrastructure d’Amazon Web Services aux États-Unis (région Virginie du Nord). Autrement dit, même si l’éditeur est espagnol, les données de vos répondants quittent l’Union européenne dès leur soumission. On bascule alors dans le régime des transferts de données hors UE prévu au chapitre V du RGPD.

Typeform propose bien un EU Responses Data Center qui maintient les réponses en Europe — mais cette option est réservée aux clients Enterprise et doit être activée explicitement. Concrètement, si vous utilisez un plan Basic, Plus ou Business standard, vos réponses partent aux États-Unis. C’est une nuance décisive, car elle conditionne tout le reste de l’analyse.

Pour le transfert vers les États-Unis, deux garanties se cumulent en pratique. D’une part, AWS est certifié au titre du Data Privacy Framework, le cadre qui a fait l’objet d’une décision d’adéquation de la Commission européenne le 10 juillet 2023 ; tant que cette décision reste en vigueur, le transfert vers une entité certifiée DPF est juridiquement couvert. D’autre part, les CCT du DPA jouent en filet de sécurité si l’adéquation venait à être remise en cause — l’invalidation du Privacy Shield en 2020 (arrêt Schrems II) a montré que ce risque n’est pas théorique. Dans mon expérience de conseil, je recommande de ne jamais s’appuyer sur la seule adéquation DPF et de documenter une analyse des transferts (TIA) lorsque les données sont sensibles ou nombreuses. Si vous gérez vous-même de l’infrastructure AWS, notre analyse AWS et RGPD complète ce point.

À la différence d’un outil purement américain comme Calendly, Typeform vous laisse donc une porte de sortie pour rapatrier les données en Europe — mais seulement si vous payez le bon plan et activez l’option. Tant que ce n’est pas fait, traitez Typeform comme un outil transférant des données hors UE.

Le piège des formulaires : minimisation et données sensibles

Typeform est conçu pour être agréable à remplir, ce qui pousse à multiplier les questions. C’est précisément là que le bât blesse. Le principe de minimisation de l’article 5(1)© impose de ne collecter que les données « adéquates, pertinentes et limitées à ce qui est nécessaire ». Chaque champ doit être justifié par la finalité. Demander une date de naissance dans un simple formulaire de contact, c’est déjà une collecte excessive.

Le risque le plus sérieux concerne les données sensibles au sens de l’article 9 du RGPD : santé, opinions, origine, orientation sexuelle, convictions. Une enquête de satisfaction patient, un questionnaire RH sur le bien-être, un sondage associatif peuvent en collecter sans que personne ne s’en rende compte. Or le traitement de ces données est interdit par principe, sauf exception (dont le consentement explicite). Avant de publier un formulaire, relisez chaque question en vous demandant : « cette réponse révèle-t-elle une donnée de l’article 9 ? » Si oui, il faut soit la supprimer, soit sécuriser une base légale dédiée.

Attention aussi aux champs cachés (hidden fields) et aux logiques de saut : Typeform permet d’injecter dans un formulaire des paramètres récupérés ailleurs (identifiant client, données de navigation). Ces données silencieuses sont aussi des données personnelles et doivent figurer dans votre analyse.

Information et consentement des répondants

La collecte se faisant directement auprès de la personne, vous devez l’informer au sens de l’article 13 du RGPD : qui est responsable, pour quelle finalité, sur quelle base légale, combien de temps les données sont conservées, vers où elles sont transférées (ici, les États-Unis si l’option EU n’est pas activée), et comment exercer ses droits. En pratique, on insère un écran ou un bloc en début ou fin de formulaire renvoyant vers la politique de confidentialité, plus une mention claire en cas de transfert hors UE.

La base légale dépend du contexte. Pour un formulaire de contact ou une candidature spontanée, l’intérêt légitime ou les mesures précontractuelles suffisent souvent. En revanche, dès qu’il y a inscription à une newsletter, prospection ou collecte de données sensibles, il faut un consentement RGPD valable : libre, spécifique, éclairé et univoque. Une case précochée ou un consentement « groupé » avec l’acceptation des CGU ne tient pas. Pour des modèles directement réutilisables, voyez nos exemples de formulaires RGPD conformes.

Cookies et formulaires embarqués

Lorsque vous intégrez un Typeform sur votre site (embed), des cookies et traceurs peuvent être déposés, y compris à des fins de mesure. Ces traceurs non strictement nécessaires relèvent de l’article 82 de la loi Informatique et Libertés : ils exigent le consentement préalable du visiteur, recueilli via votre bandeau cookies — le formulaire ne s’affichant qu’après. Notre guide cookies et RGPD détaille la mécanique à respecter.

Sécurité, conservation et droits

Côté sécurité, Typeform met en avant le chiffrement en transit et au repos et des certifications (dont SOC 2). Cela ne vous décharge pas de vos propres obligations au titre de l’article 32 du RGPD : gestion rigoureuse des accès au compte (un seul administrateur qui part avec ses identifiants est un risque classique), authentification renforcée, et purge régulière des réponses. La sécurité est une responsabilité partagée — l’outil fournit le socle, vous gérez l’usage.

La durée de conservation au sens de l’article 5(1)(e) est trop souvent oubliée : les réponses s’accumulent indéfiniment dans le tableau de bord Typeform. Définissez une durée par finalité (par exemple, suppression des candidatures non retenues après deux ans avec accord du candidat, des réponses d’enquête après agrégation) et exportez ou purgez en conséquence. Ce traitement doit aussi figurer dans votre registre des activités de traitement.

Enfin, les répondants conservent l’ensemble de leurs droits : droit d’accès, rectification, et droit à l’effacement. Prévoyez en interne qui traite ces demandes et comment retrouver une réponse précise dans Typeform — un point souvent négligé tant qu’une première demande n’arrive pas.

Ce qu’il faut retenir

  • Typeform est un sous-traitant (Art. 28) : récupérez et archivez son DPA (typeform.com/dpa, CCT incluses) ; vous restez responsable de traitement.
  • L’éditeur espagnol ≠ hébergement européen : par défaut les réponses partent aux États-Unis (AWS Virginie). L’option EU Responses Data Center existe mais est réservée aux plans Enterprise.
  • Le transfert hors UE est couvert par le DPF (adéquation du 10 juillet 2023) et les CCT, mais documentez une analyse de transfert pour les données sensibles ou volumineuses.
  • Minimisation et données sensibles : justifiez chaque champ (Art. 5(1)©) et traquez toute donnée de l’article 9 glissée dans vos questions.
  • Information (Art. 13) et consentement : informez les répondants, recueillez un consentement valable quand il est requis, et gérez cookies, conservation et droits.

FAQ

Typeform est-il conforme au RGPD ?

Typeform fournit les outils contractuels nécessaires (DPA, CCT, option d’hébergement européen pour les plans Enterprise), mais la conformité dépend surtout de votre usage : champs collectés, information des répondants, base légale, durée de conservation et gestion des transferts. Aucun outil n’est « conforme » en soi ; c’est le responsable de traitement qui l’est ou non.

Les données Typeform sont-elles hébergées en Europe ?

Pas par défaut. Les réponses sont hébergées sur AWS aux États-Unis (région Virginie du Nord), sauf si vous êtes client Enterprise et avez activé l’EU Responses Data Center. Tant que ce n’est pas le cas, considérez qu’il y a un transfert de données hors UE à encadrer et à mentionner aux répondants.

Faut-il un consentement pour un formulaire Typeform ?

Cela dépend de la finalité. Pour un simple formulaire de contact ou des mesures précontractuelles, l’intérêt légitime suffit généralement. En revanche, pour une inscription newsletter, de la prospection ou la collecte de données sensibles, un consentement libre, spécifique, éclairé et univoque est requis — sans case précochée ni acceptation groupée avec les CGU.

Comment respecter la minimisation avec Typeform ?

Reprenez chaque question et supprimez tout champ non indispensable à la finalité. Méfiez-vous des champs cachés et des questions ouvertes qui peuvent capter des données sensibles. La règle : si vous ne pouvez pas justifier précisément pourquoi vous collectez une donnée, ne la collectez pas.


Vous voulez garder une longueur d’avance sur la conformité de vos outils numériques ? Recevez nos analyses RGPD chaque semaine — décryptages, modèles et retours de terrain, directement dans votre boîte mail.