Formulaire de contact RGPD : comment le rendre conforme en 2026

C'est l'élément le plus sous-estimé d'un site vitrine. Un formulaire de contact paraît anodin, mais dès qu'il demande un nom, un email ou un message, il collecte des données personnelles et tombe sous le coup du RGPD. La CNIL contrôle régulièrement ce point lors de ses vérifications. Ce guide explique précisément ce qu'un formulaire de contact doit comporter pour être conforme, sans le transformer en parcours du combattant.

Pourquoi un formulaire de contact est concerné par le RGPD

Le RGPD s'applique dès lors qu'une donnée permet d'identifier une personne, directement ou indirectement. Un formulaire de contact collecte typiquement :

• un nom et/ou prénom ;
• une adresse email ;
• parfois un numéro de téléphone, un nom d'entreprise, un message libre.

Toutes ces informations sont des données personnelles. Le simple fait de les recueillir constitue un traitement au sens du RGPD, qui doit donc respecter les principes du règlement : information, base légale, minimisation, durée de conservation limitée, sécurité.

La base légale : intérêt légitime, pas consentement

Erreur fréquente : croire qu'il faut une case « J'accepte » obligatoire pour traiter un formulaire de contact. Ce n'est pas le cas.

Quand une personne vous écrit volontairement pour obtenir une réponse, la base légale est généralement l'intérêt légitime (répondre à une sollicitation) ou la mesure précontractuelle (si la demande concerne un devis, une prestation). Le consentement formel n'est pas requis pour le traitement de la demande elle-même.

En revanche, le consentement est requis si vous voulez réutiliser l'email à d'autres fins, par exemple l'ajouter à votre newsletter. Dans ce cas, une case distincte, non pré-cochée et facultative est obligatoire. Pour la partie newsletter, voyez notre guide RGPD newsletter et email marketing.

Les 5 éléments d'un formulaire de contact conforme

1. Une mention d'information visible

Sous le formulaire, ou via un lien clair, l'internaute doit savoir :

• qui collecte les données (votre identité / votre entreprise) ;
• pourquoi (finalité : répondre à votre demande) ;
• combien de temps elles sont conservées ;
• ses droits (accès, rectification, effacement) et comment les exercer ;
• le lien vers la politique de confidentialité pour le détail.

Exemple de mention courte à placer sous le formulaire :

Les informations recueillies via ce formulaire sont utilisées uniquement pour traiter votre demande. Elles sont conservées 3 ans après notre dernier échange. Conformément au RGPD, vous disposez d'un droit d'accès, de rectification et d'effacement en écrivant à contact@exemple.fr. Plus d'informations dans notre politique de confidentialité.

2. La minimisation des champs

Ne demandez que ce qui est strictement nécessaire pour répondre. Pour un simple contact, le nom, l'email et le message suffisent. Un champ « date de naissance » ou « adresse postale » sur un formulaire de contact serait disproportionné et non conforme au principe de minimisation.

Chaque champ facultatif devrait être marqué comme tel. Les champs obligatoires se limitent à l'essentiel.

3. Une durée de conservation définie

Vous ne pouvez pas garder indéfiniment les messages reçus. La CNIL recommande de conserver les données d'un prospect jusqu'à 3 ans après le dernier contact, puis de les supprimer ou anonymiser. Documentez cette durée dans votre registre des traitements et appliquez-la réellement (voir notre guide sur la durée de conservation des données).

4. La sécurité de la transmission

Le formulaire doit être servi en HTTPS (cadenas dans le navigateur). Les données ne doivent pas transiter en clair. Si vous utilisez un service tiers (Formspree, un plugin, votre CRM), ce prestataire devient sous-traitant au sens du RGPD : vous devez signer un contrat de sous-traitance (DPA). Voyez notre guide sur les DPA et sous-traitants.

5. Le piège du reCAPTCHA et des cookies

Beaucoup de formulaires intègrent Google reCAPTCHA pour lutter contre le spam. Problème : reCAPTCHA dépose des cookies et envoie des données à Google avant tout consentement. C'est l'une des sources de non-conformité les plus courantes sur les sites vitrines.

Solutions :

• privilégier un anti-spam sans cookie (honeypot, hCaptcha en mode privacy, question simple) ;
• ou charger reCAPTCHA seulement après consentement via votre bannière.

Scannez votre site : si un cookie Google apparaît dès l'ouverture de la page de contact, c'est très probablement reCAPTCHA qui se déclenche trop tôt.

La case à cocher : quand est-elle obligatoire ?

| Situation | Case à cocher ? | |---|---| | Répondre à la demande de contact | Non (intérêt légitime / précontractuel) | | Ajouter l'email à une newsletter | Oui, case distincte non pré-cochée | | Envoyer de la prospection commerciale ultérieure | Oui (voir prospection et cold email) | | Transmettre les données à un partenaire | Oui, consentement spécifique |

La règle d'or : une finalité = une case. On ne mélange jamais « contactez-nous » et « recevez nos offres » dans une seule coche.

Modèle prêt à l'emploi

Un formulaire de contact conforme minimal contient donc :

• champs : Nom, Email, Message (les seuls obligatoires) ;
• mention d'information sous le formulaire avec lien vers la politique de confidentialité ;
• éventuelle case facultative et non pré-cochée pour la newsletter ;
• anti-spam sans cookie ;
• envoi en HTTPS, conservation 3 ans maximum.

Votre politique de confidentialité doit mentionner ce traitement « gestion des demandes de contact ». ConformeRGPD génère automatiquement cette section à partir de vos réponses.

Conclusion

Rendre un formulaire de contact conforme ne demande pas de gros chantier : une mention d'information honnête, des champs limités à l'essentiel, une durée de conservation respectée, un anti-spam qui ne fuite pas vers Google, et une case newsletter séparée si besoin. C'est rapide à mettre en place et cela évite l'un des manquements les plus fréquemment relevés par la CNIL.

Pour vérifier que votre page de contact ne dépose pas de cookies tiers avant consentement, lancez un scan gratuit de votre site. Et complétez avec notre checklist de conformité RGPD complète.