RGPD : vos formulaires de collecte d'emails sont-ils conformes ?

formulaire de collecte rgpd

Le RGPD fait grand bruit sur le web depuis plusieurs mois et, à l’approche de sa mise en application le 25 mai 2018, nombre de web-marketeurs sont encore en plein doute.

Quel impact concret le nouveau règlement européen sur la protection des données va-t-il avoir sur la génération de leads et le marketing sur internet en général ?

Aujourd’hui, nous clarifions pour vous les caractéristiques d’un formulaire de collecte d’e-mails conforme au RGPD (vous trouverez d’ailleurs une infographie récapitulative en bas de l’article).

Formulaire de collecte d’emails : ce qu’il faut faire pour être conforme au RGPD

Les obligations du RGPD en termes de collecte de données (et notamment d’adresses mail) peuvent être résumées sommairement comme ceci :

  • L’utilisateur doit savoir précisément comment ses données vont être utilisées ;
  • Il doit pouvoir consulter votre politique de confidentialité et, le cas échéant, le règlement ou les conditions d’utilisation ;
  • D’autres détails comme la possibilité de se désinscrire à tout moment sont les bienvenus.

Par conséquent, pour une simple inscription à une newsletter, par exemple, un formulaire de ce type se montre suffisant :

formulaire mail conforme rgpd

La finalité de la collecte de données (envoyer les derniers articles de blog par mail) est connue et l’internaute renseigne son adresse en connaissance de cause.

Mais attention ! Si les données que vous récoltez sont destinées à plusieurs usages, les choses ne sont pas aussi simples.

Admettons que vous envoyiez deux types de mails à vos contacts :

  • Des newsletters contenant les derniers articles parus sur votre blog ;
  • Des publicités adressés par des partenaires commerciaux.

Le RGPD vous oblige à distinguer nettement ces deux usages. Un formulaire web de ce type est donc à éviter :

formulaire mail non conforme rgpd

Contactez jusqu'à 400 clients/mois

Proposez vos services sur Codeur.com et contactez les clients en souscrivant un abonnement pour seulement 29 € HT.

Trouver des clients

En effet, il est fait mention des deux types de mails (newsletters du blog et publicités), mais il n’est pas possible pour l’utilisateur de choisir l’un ou l’autre.

Pour y remédier de façon rigoureuse, il faudrait un formulaire de ce type :

inscription newsletter conforme rgpd

Les cases à cocher permettent à l’utilisateur de choisir l’option lui convenant le mieux, voire les deux.

Attention, cependant, à ne pas jouer des cases à cocher pour induire en erreur le visiteur.

Avec le RGPD, vous pouvez dire adieu aux cases pré-cochées, comme dans l’exemple ci-dessous :

case précochée rgpd

En effet, les cases de vos formulaires doivent toujours être vierges, montrant ainsi que l’utilisateur a choisi délibérément.

À une exception près : les cases non-cochées mais trompeuses.

case trompeuse rgpd

Ici, il faut cocher la case pour refuser de recevoir telle ou telle information, ce qui est contre-intuitif et donc trompeur. Sans surprise, le RGPD bannit cette pratique.

Ce qu’il faut retenir

Vous connaissez maintenant les grands principes d’un formulaire conforme au RGPD. Bien entendu, le règlement est toujours sujet à interprétation, mais il faut retenir les points suivants :

  • Le consentement de l’internaute doit être demandé clairement ;
  • Il doit être informé de l’usage (ou des usages) que vous allez faire de ses données ;
  • En cas d’usages multiples, il doit pouvoir choisir entre chacun d’entre eux ;
  • L’opt-in ne doit pas être passif, d’où la fin des cases pré-cochées et des formulations trompeuses.

NB : ces indications sur les effets du RGPD n’équivalent pas à celles d’un véritable conseil juridique. Par ailleurs, le règlement peut avoir un impact variable selon l’entreprise et sa taille, et un certain nombre de zones floues subsistent.

infographie rgpd
RGPD  : vos formulaires de collecte d’emails sont-ils conformes  ?
4.7 (94.29 %) 14 votes

12 Commentaires

  1. Bonjour ! Super article ! Serait ce possible de le publier sur LinkedIn également ?

  2. Bonjour,

    C'est dommage de faire un article sur la GDPR et de ne pas mettre à jour le site pour le rendre conforme à la loi.
    Par exemple, "Abonnez-vous à notre newsletter" précochée ne nécessite pas d'action de la part de l'utilisateur.

    Je ne sais pas comment demander le droit à l'oubli, à la rectification ou ce que vous faites des données personnelles récoltées sur ce formulaire (après avoir ajouté ce commentaire).

    (De plus le module d'abonnement à la newsletter sur votre site doit faire partie des exemples non conformes).

  3. Bonjour,
    A ma connaissance,il manque le destinataire, le temps de conservation des données et les droits d'accès à préciser.
    Yamna

  4. Bonjour,

    Tout d'abord merci pour votre article !

    Il me semble (mais je me trompe peut-être) que la 1ere image n'est pas conforme : en effet, ne pas mettre de case à cocher pour valider le consentement explicite de l'utilisateur revient à mettre une case à cocher pré-remplie il me semble non ?

    C'est en tous cas ce que vous dites plus bas (et plusieurs réunions d'information auxquelles j'ai assisté vont également dans ce sens)

    Qu'en pensez vous ?

    Merci et bonne journée

    • Bonjour,

      Merci pour cette remarque.

      Pour clarifier, notre raisonnement est le suivant :

      - Si la collecte d'email a une finalité unique et clairement expliquée (ici "recevoir chaque semaine nos derniers articles"), l'utilisation de cases à cocher n'est pas obligatoire. En effet, l'utilisateur est informé de l'usage qui sera fait de ses données et seul le strict minimum (c'est-à-dire son adresse mail, indispensable pour recevoir la newsletter) lui est demandé, dans le respect du RGPD.

      - Si la collecte d'email a plusieurs finalités (par exemple "recevoir les derniers articles" et "recevoir des offres promotionnelles"), alors il est obligatoire de distinguer ces différents usages à l'aide de cases à cocher.

      Cela dit, si cette logique est valable pour un simple formulaire d'inscription à une newsletter, elle ne l'est pas forcément dans d'autres situations (notamment quand il s'agit de traiter des données plus "sensibles").

  5. Bonjour et merci pour ces précisions.

    Personnellement, je trouve cette loi totalement idiote et inutile.
    Ca n'a pas réduit du tout le taux de spam que je reçois et ça complique la vie de tout le monde. Bref, l'objet ici n'est pas de faire polémique.

    Je me pose cependant une question. Comment faire pour les simples formulaires de contact ?

    Le formulaire ne permet que d'envoyer un message au webmaster (par exemple : email, objet et commentaire). Si les données ne font l'objet d'aucun traitement particulier en dehors de leur utilisation pour répondre à la question posée et qu'aucune information commerciale ou actualité n'est ensuite envoyée à l'internaute qui nous a contactés.

    Faut-il demander le consentement ? Je dirai que ce n'est pas nécessaire, puisque c'est comme si on mettait notre adresse email en clair dans le site. L'internaute ne donne-t-il pas son consentement explicite pour l'utilisation de son email afin d'obtenir une réponse par le simple faire de valider le formulaire ?

    Merci par avance pour votre réponse.

    • Bonjour Ben,

      Par sécurité, il serait à mon avis préférable de préciser l'usage que vous allez faire du mail (ex : "En indiquant votre adresse mail dans votre message, vous consentez à ce que nous l'utilisions pour répondre à votre question. Aucune information commerciale ou newsletter ne vous sera envoyée.")

  6. Merci pour cette réponse.

    J'attends surtout de voir comment tout ça sera mis en pratique et les retours au niveau des sanctions effectives. Nous verrons cela dans quelques semaines voire quelques mois.

    Beaucoup de grandes entreprises ont mis en place les modifications nécessaires, mais elles ont des moyens que d'autres n'ont pas. Et de toute façon, rien ne dit que le traitement des données soit effectivement celui qu'elles indiquent (notamment la durée de conservation).

    Par ailleurs, beaucoup de sites plus modestes ont un message concernant les cookies, mais qui n'est pas conforme et qui donc ne sert à rien à mon avis. Ils informent simplement l'internaute que le site utilise les cookies et qu'en continuant la navigation, l'internaute les accepte. Sauf que la loi stipule que le cookie doit être enregistré sur le poste utilisateur uniquement après consentement explicite. Presque personne ne fait ça en réalité.

  7. Bonjour,

    Tout d'abord super article, cela m'a donné de nouvelles idées quant à la mise en adéquation avec les nouvelles règles.

    Ensuite, comme beaucoup d'entre nous après avoir reçu pléthores de mails sur la mise en conformité des règles de confidentialité/données personnelles/etc, une question me taraude.

    En effet, dans certains emails j'ai pu voir "sans choix de votre part nous conservons vos données pour poursuivre nos échanges avec vous."

    Qu'en est-il de la légalité de ce type de message ?

    Dans l'attente de votre retour :)

    Audrey

    • Bonjour Audrey,

      En principe, l'absence de choix ou de réponse de l'utilisateur ne vaut pas consentement, puisque ce dernier doit être sans ambiguïté.

  8. Merci pour cet article on ne peut plus clair et instructif !

Laissez un commentaire

Votre adresse email ne sera pas publiée. Les champs requis sont indiqués *