Exemple de formulaire RGPD conforme pour collecter des données en toute légalité

1. La CNIL est sévère sur cette question et elle a déjà prononcé de nombreuses sanctions sur le sujet (Carrefour a été condamné à 3 millions d’euros - Futura internationale condamnée à 500.000€ pour collecte illicite de données par exemple )

2. Au-delà du risque financier d’amende, la CNIL peut demander l’effacement de l’intégralité des données collectées - ce qu’elle a déjà fait à 2 reprises en exigeant l’effacement de 60 millions de fiches prospects (en gros l’ensemble du fichier prospect d’une entreprise) dans une première affaire et l’effacement de 14 millions d’enregistrements dans une autre, ce qui a conduit des entreprises à purement et simplement fermer leurs portes. Très récemment, la CNIL a considéré que les services de Clearview.ai étaient illicites, interdisant à l’entreprise de continuer son activité sur le sol européen.

Pourtant, s’assurer de la conformité RGPD de la collecte des données n’est pas très complexe. L’essentiel tient en trois points :

• expliquer à la personne concernée ce qui est fait de ses données (principe de transparence, si une entreprise collecte des données pour une inscription à une newsletter, c’est uniquement pour une inscription à une newsletter, et pas la revente des données ensuite !).
• afficher les mentions légales article 13 - il s’agit d’une série d’éléments d’information qu’il faut indiquer à l’utilisateur lors de la collecte de ses données (comme par exemple qui les collecte, et pendant combien de temps les données seront utilisées)
• s’assurer de recueillir le consentement dans les cas ou le consentement est obligatoire - et à défaut s’assurer d’avoir une base légale (cf. ci-dessous).

Attention toutefois, le consentement n’est pas obligatoire dans tous les cas ! Par exemple en matière de contrat de travail, la collecte des données d’un employé ne repose pas sur le consentement, mais sur le contrat, et sur une obligation légale (la loi impose à l’employeur de collecter certaines données notamment pour les droits à la retraite).

1. - Un exemple de formulaire pour la newsletter conforme au RGPD

Voici un exemple de formulaire de collecte de données qui est entièrement conforme au RGPD et qui permet de collecter des données personnelles de prospects dans le cadre d’une collecte de leads :

Plusieurs obligations légales vont entrer en jeu ici dans la construction de l’interface : l’obligation de transparence (art. 5), les mentions légales (art. 13) et la base légale (art. 6).

1.1 - Respecter l’obligation de transparence

L’obligation de transparence est imposée par l’article 5 du RGPD (on la retrouve également à l’article 12) :

L’article 5.1 : “Les données à caractère personnel doivent être: a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)”

Ici sur notre formulaire il est important d’expliciter clairement le traitement qui sera effectué des données personnelles de la personne en question. Comment implémenter cette obligation d’un point de vue pratique ? Il est essentiel d’indiquer à l’utilisateur ce qui est fait de ses données. Ici nous collectons l’email de personnes pour l’envoi d’un ebook, et l’envoi de conseils réguliers sur la conformité RGPD ainsi que nos offres de produits ou de services. Au-delà du moment de la collecte des données, il sera important de s’assurer que ces finalités ne seront pas changées dans toute la suite du traitement (ex.: pas de revente de données).

1.2 - Respecter l’obligation d’afficher les mentions légales

La seconde obligation essentielle est d’indiquer les mentions légales. C’est également une problématique de transparence vis-à-vis de ce qui est fait des données qui sont collectées, mais cette problématique est traitée précisément par le RGPD qui impose au responsable de traitement d’indiquer une série de 11 éléments à afficher. C’est l’article 13 du RGPD qui détaille précisément les mentions qui sont à indiquer à l’utilisateur.

Dans notre formulaire, ces mentions d’informations sont indiquées sur la partie droite, mais 3 points uniquement sont précisés (c’est conforme à la doctrine de la CNIL qui autorise le fait de prioriser ces mentions d’information pour éviter une surcharge de l’utilisateur - ce qui est également demandé dans l’article 12) ; ici on indique donc :

• l’identité du responsable de traitement - l’entreprise qui collecte les données (dans notre exemple nous avons indiqué Legiscope.com, car le slide est tiré de notre formation RGPD, mais il faudrait indiquer un peu plus de détail sur la personne morale, son nom, son adresse…) ;
• les finalités de la collecte des données (pourquoi les données sont collectées) ;
• les droits des personnes relativement à leurs données - ici il n’est mentionné que le droit de se désinscrire à la newsletter - ce qui est d’un point de vue juridique le droit de retirer son consentement - mais c’est plus clair pour l’utilisateur de parler de désinscription plutôt que de retrait du consentement)
• enfin l’utilisateur a la possibilité de voir les mentions légales complètes sur une page annexe (les mentions légales peuvent être générées automatiquement au moyen d’un logiciel de conformité RGPD par exemple) ; cette possibilité de segmenter les mentions légales en plusieurs étapes (prioriser) est admise par la CNIL (voir nos mentions légales pour la newsletter pour un exemple)

Cette information doit donc être délivrée directement au moment de la collecte et sur le support de collecte (formulaire web, ou formulaire papier, peu importe). Vous trouverez plus de détails sur les mentions d’information RGPD ici. Et vous l’aurez compris, pratique il faut expliquer clairement ce qui est fait avec les données personnelles de vos utilisateurs.

1.3 - Respecter la base légale

L’obligation suivante à respecter est de s’assurer d’avoir une base légale. Ici, puisque nous sommes en matière de collecte de leads, c’est le consentement qui va s’appliquer. Notre obligation sera donc de recueillir le consentement de la personne au moment de la collecte de ses données. Si vous avez un doute sur ce qu’est la base légale et comment la choisir vous pouvez consultez l’article suivant

Pour rappel la notion de consentement est définie par le RGPD de la manière suivante :

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement

En l’espèce notre formulaire respecte cette obligation, car l’utilisateur devra effectuer un acte positif (entrer son adresse email et la confirmer le cas échéant), après avoir informé de l’étendue du traitement de ces données (volonté éclairée). De ce fait, il peut manifester librement sa volonté de s’inscrire (ou non) à la newsletter (et le cas échéant, en sortir quand bon lui semble au moyen d’un lien de désinscription).

Pour vous assurer que le consentement est valable, les ressources suivantes vous seront utiles :

• Comment recueillir un consentement valable
• Le consentement RGPD impose-t-il une case à cocher ?
• RGPD : arrêtez de demander le consentement !

2. - Un exemple de formulaire de collecte de leads conforme au RGPD

Voici un second exemple de formulaire de collecte de leads plus général pour des services :

On retrouve les mêmes obligations respectées en ce qui concerne la transparence et l’information des personnes sur leurs droits et la base légale.

Et si vous souhaitez avancer rapidement sur ces sujets et disposer de process simples et opérationnels, voici nos formations :

• Conformité RGPD
• Pratique de la conformité