Qu’ils sont pratiques, les formulaires Web ! Ils permettent d’inciter au contact sans dévoiler d’adresse mail, ainsi que de recueillir de précieuses données. Mais le RGPD, en place depuis le 25 mai 2018, change fortement la donne. Plus question de capter des données personnelles pour n’importe quelle utilisation, sans l’accord documenté de la personne concernée. Vos formulaires respectent-ils les nouvelles obligations ?
Avant la mise en place du RGPD (Règlement général sur la protection des données), il était déjà interdit d’utiliser les données recueillies par le biais d’un formulaire à des fins commerciales, sans avoir préalablement obtenu le consentement de l’internaute. Pour cela, le site internet devait demander à ce dernier l’autorisation de lui envoyer des messages (publicitaires, marketing…) via la mise en place d’une case à cocher appelée « opt-in ». Mais pourtant, qui n’a jamais reçu une newsletter sans jamais l’avoir sollicitée ? Probablement pas grand-monde.
Quels formulaires sont concernés ?
Le RGPD a pour but d’éviter de telles pratiques, mais également d’améliorer l’information fournie aux internautes et la sécurisation de leurs données personnelles. Désormais, selon l’article 6, le traitement des données personnelles n’est licite que si au moins une des six conditions suivantes est remplie :
– A : la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités
– B : le traitement est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles
– C : le traitement est nécessaire au respect d’une obligation légale
– D : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne
– E : le traitement est nécessaire à l’exécution d’une mission d’intérêt public
– F : le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement
Si on s’arrête au point A, on peut penser qu’une demande de consentement est nécessaire pour tout formulaire. Cependant, les autres points nuancent ce constat. Selon les points B et F, par exemple, il ne paraît pas obligatoire de formuler une demande de consentement explicite pour un simple formulaire de contact ou de demande de devis. On peut en effet considérer qu’une telle prise de contact relève d’une mesure précontractuelle, et qu’elle est nécessaire au responsable du traitement pour apporter une réponse pertinente ou éditer un devis. Par contre, si vous souhaitez utiliser les données personnelles recueillies pour envoyer des recommandations, des offres commerciales, des newsletters ou à des fins de prospection, il convient de mettre à jour vos formulaires.
Soyez clair… et évitez les formulaires trop gourmands !
Première chose à faire, pour respecter les directives du RGPD : intégrer sur les formulaires concernés une case d’opt-in actif obligatoire et clairement présentée. En la cochant, l’internaute accepte que ses données personnelles soient recueillies, stockées et utilisées par vos soins.
Dans cette optique, veillez à respecter deux points essentiels :
– Rédiger cette demande de consentement de façon simple et précise. Le RGPD exige en effet que le consentement soit « éclairé et univoque ». Si votre phrase peut donner lieu à plusieurs interprétations, le contrat n’est pas rempli !
– Dans son article 5, le règlement européen prévoit également que les données recueillies soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Si vous avez simplement besoin du nom, du prénom et de l’adresse mail de vos contacts, évitez donc formellement de leur demander d’autres informations.
Utilisation des données, droits de modification : informez l’internaute
Recueillir le consentement de chaque personne remplissant votre formulaire, c’est bien. Mais l’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », vous impose d’aller plus loin. Comment procéder dans le cas d’un formulaire ? Vous pouvez par exemple intégrer, à proximité immédiate de son bouton de validation, un encart (ou un lien vers une page dédiée) indiquant notamment :
– La finalité du recueil de données (suivi client, envoi d’informations, proposition commerciale…). L’article 5 du RGPD prévoit en effet que les données doivent être collectées « pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ».
– La durée pendant laquelle les données de l’internaute seront conservées.
– Le nom de l’entité à laquelle elles sont destinées (il s’agit généralement de l’entreprise propriétaire du site internet).
– La possibilité pour la personne de faire rectifier ou supprimer ses données, et le contact à solliciter pour le faire.
A noter : la CNIL met à votre disposition un modèle de mention pour vos formulaires.
Assurez le suivi et la sécurisation des données transmises
Enfin, pour vous prémunir de tout problème de piratage et de conflit, deux actions sont fortement conseillées :
– La mise en place du protocole https sur votre site internet (via un certificat SSL). Cette sécurisation limitera très fortement les risques d’interception ou vol de données pendant leur transfert après validation du formulaire. Ce n’est par ailleurs pas le seul intérêt du protocole https, comme vous l’explique notre article sur le sujet.
– La conservation d’une preuve du consentement de l’internaute. Il vous suffit pour cela de stocker les résultats de vos formulaires d’une façon durable et sécurisée. Mais attention : pour être légitime, le consentement doit être obtenu via un opt-in actif (une case à cocher) et non un opt-in passif (une case pré-cochée).
En mettant ces actions en place, aucun doute : vous améliorerez considérablement la protection des données personnelles des visiteurs de votre site internet. Mais les exigences du RGPD ne s’arrêtent pas aux formulaires : la centaine d’articles qu’il contient prévoient bien d’autres obligations !