Cette vidéo vous présente les bonnes pratiques RGPD pour la configuration de vos formulaires.

Pour rendre votre site internet conforme au RGPD (Règlement Général sur la Protection des Données), voici une liste complète des actions et bonnes pratiques à mettre en œuvre.

Transparence et Information des Utilisateurs

📌 Informer sur l’usage des données collectées

• Ajouter une mention de confidentialité sous chaque formulaire, expliquant :
  • Les finalités de la collecte des données (inscription, contact, demande de rendez-vous…).
  • La base légale du traitement (consentement, exécution d’un contrat, obligation légale…).
  • Les destinataires des données (services internes, prestataires, etc.).
  • La durée de conservation des données.
  • Les droits des utilisateurs (accès, rectification, suppression, opposition, portabilité).
  • Un lien vers la politique de confidentialité.

👉 Exemple de texte RGPD sous un formulaire :

"Les données personnelles collectées via ce formulaire sont destinées exclusivement à [Nom de l'organisme] pour répondre à votre demande. Elles seront conservées pendant une durée maximale de [X mois]. Vous pouvez exercer vos droits d'accès, de rectification, d'opposition et de suppression de vos données en nous contactant via [email/contact]. Pour plus d'informations, consultez notre [Politique de confidentialité]."

"Les informations recueillies dans ce formulaire sont enregistrées dans un fichier informatisé par [Nom de l'organisme] pour [finalité]. Elles sont conservées pendant [durée] et sont destinées à [service destinataire]. Conformément au RGPD, vous pouvez exercer vos droits en nous contactant à [email de contact]. Pour plus d’informations, consultez notre politique de confidentialité."

📌 Les différentes bases légales

La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de collecter ou d’utiliser des données personnelles.

On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

Six bases légales sont prévues par le RGPD :

• le consentement ;
• le contrat ;
• l’obligation légale ;
• la sauvegarde des intérêts vitaux ;
• l’intérêt public ;
• les intérêts légitimes.

Gestion du Consentement

📌 Ajouter une case à cocher pour le consentement

• Ne pas cocher par défaut la case (le consentement doit être actif).
• Exemple :
  ✅ « J’accepte que mes données soient traitées conformément à la politique de confidentialité. »
• Utiliser l’option « Consent » du Générateur de Fromulaire (dans l’onglet « Champs avancés »).

👉 Consulter cet article sur les bonnes pratiques d’obtention du consentement : https://www.iubenda.com/fr/help/123271-exemples-de-formulaires-de-consentement-rgpd-bonnes-et-mauvaises-pratiques

Sécurisation des Données

📌 SSL et HTTPS obligatoires

• Vérifier que le site est en HTTPS pour sécuriser les transmissions de données.

📌 Limiter l’accès aux données

• Restreindre les accès aux administrateurs et aux utilisateurs concernés.
• Empêcher l’accès aux données des formulaires pour les rôles (utilisateurs) qui n’en ont pas besoin.

📌 Stockage sécurisé et limitation des données sensibles

• Éviter de collecter des données sensibles (santé, religion, politique…).
• Vérifier que les champs ne contiennent pas de données inutiles ou excessives.

Gestion des Durées de Conservation et Droit à l’Oubli

📌 Configurer la suppression automatique des entrées

• L’outil ne supprime pas automatiquement les entrées, il faut :
  • Paramétrer chaque formulaire pour effacer les données après X jours.

📌 Permettre aux utilisateurs d’exercer leur droit à l’oubli

• Ajouter un formulaire dédié pour les demandes de suppression des données.
• Intégrer une fonctionnalité permettant aux utilisateurs de supprimer leurs données automatiquement (ex: via un lien dans un e-mail de confirmation).

Notifications et Emails

📌 Sécuriser l’envoi des emails contenant des données

• Éviter d’envoyer des données personnelles en clair par email (ex: éviter d’inclure toutes les réponses du formulaire).
• Configurer SMTP sécurisé pour l’envoi des emails

📌 Ajouter une clause RGPD dans les notifications

• Dans l’email de confirmation pour l’usager, rappeler :
  • La finalité de l’enregistrement des données.
  • Le droit de rectification et de suppression.

Hébergement et Transferts de Données

📌 Vérifier l’hébergement des données

• Le site doit être hébergé dans l’UE ou chez un prestataire conforme au RGPD.
• Si des données sont envoyées hors de l’UE (ex : vers des services Google, Mailchimp, Zapier), utiliser des clauses contractuelles types.

📌 Éviter le stockage externe non conforme

• Vérifier la conformité des outils tiers utilisés (CRM, newsletters, Zapier…).
• Si le formulaire envoie des données vers un outil externe (ex: HubSpot, Mailchimp), s’assurer qu’il respecte le RGPD.

Journalisation et Traces des Actions

📌 Tenir un journal des traitements

• Activer un système de logs pour suivre :
  • Les accès aux formulaires.
  • Les modifications des données collectées.
  • Les suppressions d’entrées.

📌 Assurer une traçabilité des consentements

• Conserver une preuve du consentement (IP, timestamp, version du formulaire…).

Gérer les Demandes d’Accès aux Données

📌 Activer la Fonctionnalité Native de WordPress

WordPress permet aux utilisateurs de demander une exportation de leurs données personnelles.

👉 Étapes pour gérer une demande d’accès :

1. Aller dans l’administration WordPress → Outils → Exportation des données personnelles.
2. Entrer l’adresse e-mail de l’utilisateur qui en fait la demande.
3. WordPress envoie un email de confirmation à l’utilisateur.
4. Une fois confirmé, l’admin peut générer un fichier ZIP contenant toutes les données personnelles de cet utilisateur (articles, commentaires, informations de profil, etc.).
5. L’utilisateur peut télécharger son fichier.

💡 Bonnes pratiques :

✅ Ajouter un formulaire de demande d’accès sur le site via un formulaire
✅ Ajouter un lien vers ce formulaire dans la Politique de Confidentialité.

Gérer les Demandes de Droit à l’Oubli

📌 Suppression des données personnelles sur WordPress

WordPress permet également de supprimer définitivement les données personnelles d’un utilisateur.

👉 Étapes pour gérer une demande de suppression :

1. Aller dans l’administration WordPress → Outils → Effacement des données personnelles.
2. Entrer l’adresse e-mail de l’utilisateur concerné.
3. L’utilisateur reçoit un e-mail de confirmation (cette étape est obligatoire).
4. Une fois confirmé, l’administrateur peut supprimer définitivement les données personnelles de l’utilisateur.

💡 Bonnes pratiques :

• ✅ S’assurer que l’utilisateur n’a plus besoin d’accéder à son compte avant suppression.
• ✅ Expliquer clairement dans la politique de confidentialité combien de temps les données sont conservées avant suppression automatique.
• ✅ Vérifier si les formulaires stockent des entrées associées à cet utilisateur et supprimer manuellement si besoin.

🚀 Résumé des Actions Clés

✅ Informer clairement les utilisateurs avec une mention RGPD sous chaque formulaire.
✅ Obtenir un consentement explicite via une case à cocher non pré-cochée.
✅ Sécuriser les données (SSL, chiffrement, accès restreints).
✅ Limiter la conservation des entrées (suppression automatique après X jours).
✅ Faciliter l’exercice des droits des utilisateurs (accès, suppression, portabilité).
✅ Configurer des emails sécurisés sans données personnelles en clair.
✅ Vérifier la conformité des outils externes utilisés.
✅ Activer les logs et la traçabilité des consentements.
✅ Mettre en place des audits réguliers pour vérifier la conformité.

Check-list rapide RGPD d’un formulaire web :

1. Mentions d’information claires et visibles :
   • Finalité de la collecte des données (pourquoi ces données sont-elles demandées ?).
   • Durée de conservation des données.
   • Destinataires des données (qui reçoit et traite ces informations ?).
   • Existence et modalités des droits utilisateurs (accès, modification, suppression, opposition).
   • Lien vers une politique de confidentialité complète.
2. Case à cocher de consentement :
   • Ne doit pas être pré-cochée.
   • Texte explicite et clair (ex: « J’accepte que mes données soient traitées conformément à la politique de confidentialité »).
3. Lien vers une Politique de Confidentialité détaillée :
   • Accessible facilement depuis le formulaire.
4. Sécurisation des échanges :
   • Le formulaire doit être accessible via HTTPS.
5. Limitation des données collectées :
   • Les champs demandés doivent être strictement nécessaires à l’objectif du formulaire.
6. Vérifier le « Privacy by design »
   • Limiter l’accès aux données et à leur diffusion (notifications, accès back-office…)

Ressources utiles

• Quelques exemples d’analyse de conformité de différents formulaires : https://www.donneespersonnelles.fr/exemple-formulaire-rgpd#4.—formulaire-de-contact
• Mentions légales ou politique de confidentialités ? https://www.labaleinebasque.fr/differences-mentions-legales-politique-confidentialite/
• Les bases légales de traitement : https://www.cnil.fr/fr/definition/base-legale
• Rédiger les politiques de confidentialité les règles à suivre : https://www.leto.legal/guides/creer-une-politique-de-confidentialite-rgpd-regles-a-suivre