Formulaire et RGPD sur votre site internet

La mise en conformité RGPD de votre formulaire de contact

Depuis le 25 mai 2018 et l’entrée en vigueur du nouveau Règlement général sur la Protection des Données, tout et son contraire sont dit à propos des obligations et exigences qu’il implique sur la collecte et le traitement des données personnelles de chacun.

Avant 2018, les webmasters et autres créateurs de plateforme numérique n’accordaient que peu d’importance aux droits des internautes concernant les données qu’ils pouvaient récolter. Il est aujourd’hui nécessaire et obligatoire d’obtenir le consentement des internautes afin de récupérer une partie de leurs données. Retour sur les différentes exigences en RGPD concernant votre formulaire de contact et sur les exigences de la CNIL concernant les formulaires d’inscription.

Pourquoi récolter les données de vos utilisateurs via un formulaire de contact

L’utilisation des données personnelles de vos utilisateurs peut être une mine d’or pour votre business.
Les motivations à la conservation des données des internautes via un formulaire de contact ou une inscription à une newsletter : 

  • Inscription d’un nouvel utilisateur
  • CRM 
  • Analyse des réponses suite à une enquête
  • Inscription à un Emailing

La conservation des données du formulaire de contact

Si vous ne conservez pas les données que vous collectez, alors cet article ne vous concerne pas. En effet, le RGPD n’intervient que lors du traitement et la collecte des données.

Vous êtes dans ce cas ? Il convient d’indiquer à l’utilisateur d’une part la finalité de ce formulaire (par exemple dans le cas d’un formulaire de demande immédiate d’aide : ce formulaire a pour finalité de nous alerter dans les 2h de l’évènement que vous consignez) et le fait que vous ne conserverez pas ses données ; cela permet d’être transparent avec lui et de lever une partie des freins à l’idée de répondre à l’un de vos formulaires.

Une simple phrase mentionnant le fait “Qu’aucune donnée personnelle n’est conservée par le site internet via ce formulaire” suffit à lever un bon nombre d’interrogations. 

Le meilleur endroit pour cette phrase est la page des mentions légales et/ou sur votre page qui décrit votre politique de confidentialité des données.

sécurisation système d'information et sécurité numérique

Besoin d'être accompagné en RGPD ?

Audit, formations, accompagnement et suivi par un expert RGPD

Pas de données sans consentement de la personne

La base du nouveau Règlement Gén

éral sur la Protection des Données met en avant le besoin et l’obligation de recueillir le consentement des utilisateurs afin de collecter leurs données. Cependant, ce consentement doit être encadré afin d’informer au maximum les internautes de l’utilisation de leurs données personnelles :

Le consentement doit être recueilli via le formulaire de contact

Avant de récolter les données d’un utilisateur via un formulaire de contact, le consentement de ce dernier doit être CLAIREMENT demandé

De plus, vous devez savoir que vous ne pouvez demander uniquement les informations nécessaires à l’utilisation que vous souhaitez en faire. Les données que vous avez récoltées doivent être pertinentes et en cohérence avec la finalité du traitement effectué. Pour exemple, il est interdit de demander le numéro de téléphone d’un internaute pour une personne souhaitant simplement s’inscrire à la newsletter de votre site internet : La nature des données n’est alors pas en accord avec l’utilisation souhaité, soit l’envoie de mail contenant des informations sur l’entreprise ou sur le secteur.

L’internaute doit être informé de l’utilisation de ses données 

Lors de la collecte des données des internautes, vous avez pour obligation de définir très clairement à ce dernier la finalité de cet acte.

Ainsi, si vous souhaitez récupérer les adresses mails des internautes qui passe sur votre site internet par un formulaire de contact et afin de leur envoyer une newsletter ainsi que des publicités de vos partenaires, vous devez alors obtenir absolument le consentement de l’internaute concernant ses 2 utilisations et lui laisser la possibilité de refuser l’une d’entre elles. 

Attention toutefois à ne pas complexifier à outrance la demande de consentement par des utilisations trop précises.

Le consentement doit être libre 

Le consentement que vous allez obtenir via un formulaire de contact ne peut être forcé. Cela signifie que vous ne pouvez pas créer des formulaires de contact en utilisant les Opt-in. Il s’agit de l’utilisation de cases pré-cochés qui induirait un internaute à consentir à un traitement de ses données qu’ils ne souhaitent pas. 

Il est donc nécessaire que l’internaute choisissent de cocher la case lui-même pour convenir d’un consentement obtenu de manière légale. 

Obtenir le consentement et utilisation des données en RGPD

Conserver la preuve du consentement

Une fois le consentement de l’utilisateur recueilli, vous aurez besoin de conserver une preuve de ce consentement. En effet, la CNIL peut vous demander de justifier du consentement obtenu de vos utilisateurs et il vous sera alors nécessaire de prouver un certain nombre d’éléments : 

  • Qui a accepté la collecte et le traitement de ses données ?  
  • A quoi a t’il consenti ?
  • et Quand l’a t’il fait ? 

Une historisation du consentement est souvent nécessaire. C’est pourquoi, il est souvent pertinent de trouver les bonnes solutions informatiques pour suivre l’évolution de ce consentement. Certains CRM le proposent et d’autres non…

Conserver la preuve du consentement

L’article 7 du RGPD met en avant la possibilité pour un utilisateur de demander, à tout moment, à avoir un accès aux données que vous avez récupéré sur lui. 

Vous avez également l’obligation de vous adapter aux choix de l’internaute, c’est à dire que toute demande de suppression ou de modifications de ses données doivent être pris en compte de votre côté afin que celui ci est le droit de se rétracter aussi facilement que le consentement que vous avez réussi à obtenir. 

La CNIL est donc très vigilante sur ce processus  : 74% des plaintes reçues concernent l’exercice pratique des droits : absence de réponse, absence de procédures en ligne, etc…

Si vous êtes une collectivité, il est encore plus fondamental d’avoir élaboré ce processus notamment eu égard à votre mission de service public. De plus, quand vous collectez ou gérez des données sensibles, notamment des données liés à des enfants, des données de santé par exemple, cela renforce la nécessité de bien structurer ce processus.

Vous souhaitez avoir plus d’informations sur les sanctions que vous risquez si vous ne respectez pas le RGPD dans vos formulaires de contact