De nombreuses sites web proposent un formulaire de contact pour faciliter la communication avec les visiteurs ou encore pour recevoir des messages plus structurés et ciblés. Combien d'informations peuvent être obligatoirement demandées ? Doit-on demander au utilisateur une confirmation des informations sur la protection des données ? Ces questions et d'autres seront traitées dans cet article afin de garantir la sécurité juridique lors de l'utilisation de formulaires de contact.
Introduction
Les formulaires de contact suscitent régulièrement des conversations, car ils posent des questions sur la protection des données. En réalité, il est relativement simple d'offrir un formulaire de contact, voire plusieurs, si quelques règles de base sont respectées.
Comme pour tout type de traitement des données, il y a cependant des petits risques avec les formulaires de contact, qui peuvent être minimisés. Finalement, le risque est maîtrisable et pas plus élevé qu'avec une communication par courriel proposée sur le site web.
Les formulaires de contact offrent des possibilités meilleures pour éviter le spam que la communication par e-mail pure. Mais celui qui utilise ici Google reCAPTCHA a des cartes légales mauvaises.
Les recommandations suivantes aident à créer rapidement des formulaires de contact sûrs et à connaître les questions juridiques. D'ailleurs, il ne s'agit pas ici de formulaires de newsletter, pour lesquels règles propres s'appliquent. La plupart des indications mentionnées sont cependant transposables aux formulaires avec lesquels les intéressés peuvent s'abonner à votre newsletter.
Conseils pour formulaires de contact
Chaque recommandation contribue à une sécurité juridique si elle est prise en compte. Au final, vous avez un site Web avec autant de formulaires que nécessaire. Les règles de protection des données imposées par la RGPD sont respectées.
Comme toujours en matière juridique, il n'y a pas de procédure absolument juste, mais seulement une amélioration de la sécurité juridique. Même si vous faites tout correct (quiconque décide cela), quelqu'un peut vous poursuivre ou vous intenter un procès. Mais alors l'adversaire aura des cartes très mauvaises et restera à ses propres dépens.
Le formulaire de contact général
Un formulaire pour tout est possible et autorisé. Cependant, vous devriez considérer ce point central comme un premier point de contact. Ce formulaire ne doit pas devenir une arme de masse dans laquelle toutes les données du monde sont interrogées. Voici ma recommandation pour les informations qui doivent être demandées dans un formulaire de collecte:
- Pour cela, il y a le formulaire de contact.
- Adresse e-mail: Vous pouvez répondre uniquement ainsi.
- Nom ou pseudonyme: Il vous est souvent inutile de connaître le vrai nom d'une personne. Mais il est parfois important de le savoir. Décidez-en en fonction du bon sens, si vous avez besoin du vrai nom ou non. Par exemple, sur mon site web, je n'ai pas besoin des vrais noms des personnes qui m'écrivent un courrier électronique pour me faire part de leurs commentaires et ne pas utiliser la fonctionnalité de commentaire. Bien sûr, je peux également répondre à Hasemaus47 si je le souhaite (je réponds toujours lorsque l'envoi est sérieux et mérite une réponse ; je n'ai aucune obligation).
- Numéro de téléphone: Seulement si cela a un sens et est souvent nécessaire. Peut-être marqué comme optionnel.
Je ne demanderais pas plus de données dans un formulaire général. Il dépend de l'orientation de votre site Web ou de vos activités si vous avez besoin d'autres informations générales. La plupart des entreprises devraient pouvoir très bien s'en sortir avec les informations mentionnées ci-dessus. Les cabinets médicaux, les crèches ou les ateliers de réparation d'automobiles ont souvent besoin du numéro de téléphone d'une personne en plus.
Musfelders et Canfelders
Pour chaque information que vous demandez dans le formulaire, pensez à savoir si l'information est nécessaire ou non. Les informations nécessaires sont évidemment toujours le texte de la notification et l'adresse e-mail du destinataire, afin qu'il puisse répondre.
Le nom de la personne qui écrit est souvent sans importance. Même pour les newsletters générales qui ne sont pas envoyées à vos clients, il n'est pas nécessaire que le nom du souscripteur soit connu. Voir mon Newsletter. Pour l'abonnement au newsletter, je demande uniquement l'adresse e-mail. Tout autre chose ne m'intéresse pas. Si quelqu'un a envie de me communiquer quelque chose, alors je serai contacté par courriel. Dans cette lettre, le nom de la personne qui souhaite me communiquer quelque chose est souvent mentionné, et c'est parce que cette personne me donne volontairement son nom.
Umso spécifique un formulaire de contact est, plus d'informations peuvent être considérées comme obligatoires. Dans chaque cas, il faut vérifier quelles informations vous aimeriez avoir et lesquelles sont selon vous absolument nécessaires. Dans certains cas, certaines informations pourraient être très souhaitables. Par exemple, la directrice d'une crèche m'a dit que vous aviez besoin du numéro de téléphone car presque toutes les demandes se rapportent à une place dans la crèche et des rappels sont nécessaires. Dans ces cas-là, il faut vérifier combien souvent vous avez besoin de l'information en question et faire un champ obligatoire si nécessaire.
L'objet de votre formulaire
Imaginez-vous poser la question suivante: Pour quoi avez-vous besoin d'un formulaire ? Définissez l'objet ou les objets. Si vous n'avez reconnu qu'un seul objet, il est évident que vous n'avez besoin que d'un formulaire (ou pas).
Les objectifs pour les formulaires peuvent être par exemple:
- Tous les contacts initiaux: Vous ne savez donc pas ad hoc pourquoi vous souhaitez contacter quelqu'un. Au moins, vous proposez des produits ou des services ou fournissez des informations. Le contacteur vous posera probablement une question sur votre produit ou a une question à propos de vos déclarations. Ou le rédacteur veut faire une critique, quoi qu'il en soit.
- Convenance de financement: Il arrive souvent avec des médecins ou des concessionnaires d'automobiles.
- Appel à rappeler: Vous préférez téléphoner plutôt que d'échanger des courriels ? Offrez cette possibilité et demandez l'adresse de téléphone et un créneau horaire approprié pour le rappel.
- Éloges et critiques.
- La prise de contact dans la zone client: quelqu'un est votre client et s'est inscrit à son compte client. Dans le cas des assurances, les clients peuvent par exemple passer des commandes, demander des formulaires ou réclamer un retrait.
- Commentaire sur un article. Voir en dessous de cet article ou également sur des sites journalistiques où les lecteurs peuvent donner leurs retours d'information.
Si vous avez reconnu plusieurs objectifs pour lesquels vous souhaitez proposer un formulaire, vérifiez quelles informations sont nécessaires dans le formulaire pour chaque objectif. Les objectifs qui ont de nombreuses similitudes en termes des données requises et qui se rapprochent thématiquement peuvent être regroupés dans un seul formulaire.
Tout le reste doit figurer dans des formulaires différents, à moins que vous ne décidiez d'offrir un formulaire de contact général.
Avis de protection des données à la connaissance donner
Veuillez indiquer brièvement, pourquoi vous utilisez les informations demandées. Rendez ensuite un lien vers vos instructions de confidentialité sur votre site web. Tout cela peut ressembler à ceci et se trouver en dessous des champs d'entrée du formulaire et au-dessus du bouton "Envoyer":
Nous utilisons vos informations pour répondre à votre demande. Pour plus d'informations, consultez nos avis sur la protection des données.
Assurez-vous de faire en sorte que le lien s'ouvre dans une nouvelle fenêtre. Rien n'est plus gênant qu'une saisie de formulaire qui se perd parce qu'on veut jeter un coup d'œil aux informations sur la protection des données avant de poursuivre. Si vous voulez aller jusqu'à l'extrême, utilisez un ancre HTML. Ainsi, vous pouvez faire en sorte que le lien ouvre directement la section relative aux formulaires de contact dans vos informations sur la protection des données. Voilà comment procéder:
Définir Anker dans vos informations sur la protection des données:
Dans WordPress, l'ancrage peut être défini en positionnant le curseur dans l'édition sur le texte souhaité et en cliquant sur "Élargir" dans la zone de droite:
Utilisez le lien Anker:
<a href="https://dr-dsgvo.de/datenschutz/#formular>Informations sur la protection des données pour les formulaires de contact</a>
Écrivez le nom d'ancre avant la raute (hashtag) pour que le code fonctionne correctement.
Alors voici comment il ressemble. Lorsque vous cliquez dessus, le champ de lecture saute directement là où se trouvent les informations sur le formulaire:
Informations sur la protection des données pour les formulaires de contact
Puisque il n'y a pas de formulaires sur ma page à l'exception du bulletin d'information, j'ai placé le lien "formulaire" pour la démonstration dans la section des bulletins d'information. Conseil pratique: placez le lien un paar Zeilen höher que là où il devrait aller. Puisque cela dépend du navigateur, il peut arriver que le texte soit affiché trop haut et coupé.
Comme vous pouvez le voir, j'ai mis en ligne mes informations sur la protection des données pour les rendre plus accessibles. Vous devriez peut-être y réfléchir aussi ? Pour savoir comment faire cela, lisez le dernier article que je vous ai envoyé.
Textes de protection des données:
Expliquez simplement ce qui se passe. Par exemple:
Formulaire de contact
Lorsque vous nous envoyez des demandes par formulaire de contact, vos informations du formulaire d'inscription, y compris les coordonnées que vous avez fournies là-bas, sont stockées et traitées pour traiter votre demande et en cas de questions supplémentaires chez nous. Vos données ne seront utilisées qu'à des fins spécifiques pour répondre à et traiter votre question. Le traitement des données a lieu ici Art. 6 Abs. S. 1 lit. f DSGVO sur la base d'un intérêt légitime.
Dans le cas où nous constatons une fraude ou un abus, notamment pour détecter des attaques informatiques, nous nous réservons le droit de conserver vos données réseau pendant un court laps de temps et uniquement à cette fin, qui ne dépasse pas 30 jours, sauf si un motif justifie une conservation plus longue.
Modèle pour un texte de protection des données pour les formulaires de contact.
Important: Seulement la connaissance, pas la confirmation
Maintenant, vient presque le plus important: donnez simplement connaissance des informations sur la protection des données mentionnées précédemment. N'interrogez pas une confirmation ou un consentement. Vous ne devez pas permettre que l'on confirme qu'une personne a lu vos informations sur la protection des données. Quelqu'un qui visite votre site web lit ou non, c'est son affaire et il ne doit pas être imposé par vous. Une déclaration de protection des données n'est pas un contrat. Voir le jugement du KG Berlin (27.12.2018 – 23 U 196/13).
Il s'agit de votre intérêt légitime (Art. 6 al. 1 lit. f RGPD), d'utiliser les informations de la personne qui vous écrit, pour y répondre ou traiter la demande. Ailleurs, vous devriez utiliser l'intérêt légitime comme fondement juridique très rarement, car il n'est généralement pas donné.
Vérification anti-spam
Utilisez aucun plugin Google, sauf si vous voulez prendre le risque de problèmes avec la protection des données. Toute utilisation d'un plugin Google doit être précédée d'une autorisation. C'est mon avis, pour lequel vous trouverez dans ce blog de nombreuses explications (Google et les données sans relâche, même à des fins de manipulation comportementale ; Les données peuvent être utilisées par les services secrets américains ; Google collecte plus de données que nécessaire etc.). Même le LG Cologne partage mon avis (jugement du 23.03.2023 – 33 O 376/22).
Utilisez plutôt un Captcha comme Contact Form 7 Image Captcha (pour les formulaires WordPress). Ou utilisez un champ de saisie dans lequel on demande le résultat d'une simple opération mathématique. Exemple: Combien font 17 moins 5. Écrivez la réponse en minuscules.
Je pense personnellement que beaucoup moins de spam arrive par les formulaires de contact qu'en prenant directement des adresses e-mail dans les pages d'impression. Les bons filtres anti-spam sont très efficaces. Il est impossible d'éliminer complètement le spam. Les hameçons sont également une bonne mesure à prendre.
Il est peut-être possible de vérifier si le texte de la notification a une certaine longueur. Si elle n'a pas atteint la longueur minimale, le formulaire ne devrait pas pouvoir être envoyé. Un filtre pour certains mots indésirables pourrait également être mis en place.
Si vous utilisez un plugin de vérification anti-spam, assurez-vous que la base de données anti-spam globale est désactivée ou qu'aucune donnée ne s'y inscrit. Même si cette fonction peut être utile pour certains: Si vous transmettez l'adresse IP des visiteurs de votre site à "inconnu", ce n'est pas bien. Un exemple de tel plugin est Antispam Bee pour WordPress.
Voici trois options du plugin mentionné. La première option peut être activée car une base de données locale ne transmet pas les données à des tiers. Les deux autres options doivent être désactivées pour éviter des problèmes juridiques. D'ailleurs, le plugin lui-même rappelle que des informations spécifiques sur la protection des données doivent être prises en compte pour les options critiques.
Réponse à l'expéditeur
L'expéditeur d'un message attend probablement une réponse de votre part. Vous devriez donner une réponse si vous le jugez utile. Cependant, il y a aussi les méchants. Il est très facile de rentrer une adresse e-mail étrangère dans un formulaire de contact. Soit parce que quelqu'un poursuit des intentions malveillantes, soit parce qu'un petit oubli s'est glissé.
Si une information vous semble étrange, ne répondez pas dans l'incertitude. Vérifiez l'adresse e-mail. Une adresse de rejet (byom.de, trashmail.net etc.) a la moindre crédibilité. Les adresses de messagerie libre (gmx.de, web.de etc.), bien qu'étant largement répandues, ne sont pas très fiables non plus. Les adresses les plus claires sont celles des personnes ou des entreprises qui ont leur propre domaine e-mail. Une telle domaîne dédiée est par exemple dr-dsgvo.de.
Recherchez à la demande et à la possibilité un court moment pour mettre en accord le message ainsi que le nom éventuellement indiqué (dans le message ou dans le champ de nom) avec lui. Si vous avez beaucoup d'incertitudes, écrivez-le au destinataire présumu du message et demandez-lui si une lettre a été envoyée à partir de son adresse e-mail via votre formulaire de contact. L'appel direct est important pour éviter l'allure d'une publicité non autorisée. L'appel direct signifie également que vous devriez supprimer les slogans publicitaires ou les mentions des sites Web dans votre signature afin d'être sur la bonne voie.
Autres suggestions
Utilisez un formulaire personnalisé et non des solutions de type "sur mesure" comme Microsoft Forms. Les offres de tiers présentent régulièrement des problèmes juridiques. Par exemple, j'ai souvent manqué d'imprimatur dans MS Forms. De plus, il se pose la question chez les entreprises comme Microsoft de savoir si le transfert de données avec un lien avec les États-Unis ne présente pas un problème juridique. Je dis oui, que le LG Cologne (s. o.) dit oui, que le EuGH („Schrems II“) dit oui.
Je considère qu'il est permis de conserver l'adresse IP du destinataire lors de la prise de contact, afin d'avoir quelque chose en main en cas de problèmes juridiques. Il y a ici un motif justifié pour cela. J'ai examiné ce point dans le détail dans un article sur les journaux de serveur. Le passage correspondant est inclus dans le texte type mentionné plus haut pour votre politique de confidentialité.
Je préfère d'ailleurs appeler la politique de confidentialité des "avis sur la protection des données" ou "informations sur la protection des données". Ainsi, l'impression qu'il s'agit d'un contrat est encore plus atténuée (voir le jugement mentionné ci-dessus).
Les données que vous recevez par le biais d'un formulaire de contact, traitez-les comme si vous aviez reçu un courriel avec ces mêmes données. Il n'y a pas là une différence essentielle. Les données nécessaires sont conservées, tandis que celles qui ne sont plus nécessaires sont supprimées après quelques retards. En règle générale, il ne faut pas effacer les données immédiatement car il peut arriver que quelqu'un veuille vous faire du mal. Dans ce cas, cela serait agréable d'avoir quelque chose en main pour rendre compte de la situation de manière plausible.
Certificat SSL
Au lieu d'un formulaire, on peut simplement donner le lien sur votre adresse e-mail. Il n'est pas nécessaire de proposer un formulaire. Donnez le lien sur une adresse e-mail comme vous feriez pour une adresse URL normale (URL), mais placez-y le texte mailto:
Le code HTML pour un tel lien ressemble alors à ceci:
<a href="mailto:mail@dr-dsgvo.de">Écrivez-moi</a>
L'ensemble ressemble alors comme suit dans la représentation sur le site web:
Si vous avez un éditeur comme par exemple WordPress qui le propose, définez simplement un lien et utilisez mailto: suivi de votre adresse e-mail comme adresse du lien.
Important: Utilisez des formulaires, vous devez alors utiliser un certificat SSL pour votre site web. Votre site web sera ensuite accessible uniquement via https et non plus par http. Assurez-vous que la redirection (Redirect) de http vers https est configurée. Vérifiez cela en accédant à votre site web une fois avec http:// (tapez donc dans votre navigateur: http://meine-webseite-0815.de au lieu de simplement meine-webseite-0815.de).
Si un cadenas apparaît dans votre navigateur à gauche de l'adresse de votre site web, le certificat SSL est présent. Pour vérifier d'autres caractéristiques de votre certificat SSL, comme la profondeur de chiffrage ou la crédibilité du fournisseur du certificat, vous pouvez utiliser mon outil de vérification en ligne:
Conclusion
Les formulaires de contact devraient demander le moins d'informations possible et le plus nécessaire.
Pour des usages différents avec différentes quantités de données nécessaires, il devrait être proposé des formulaires différents.
Si vous ne voulez pas offrir un formulaire, n'en offrez donc aucun. Il est important que votre adresse e-mail soit mentionnée dans l'impression de votre site web. Évitez d'y inclure une image pour des raisons juridiques. Certains propriétaires de sites Web y incluent leur adresse e-mail sous forme graphique, en texte, afin d'éviter les spams. Bien sûr, cela réduit le spam, mais je ne considère pas que c'est autorisé. Car il devrait être facile pour une personne de vous contacter. Cela implique également qu'il doit suffire de cliquer sur l'adresse e-mail pour pouvoir vous écrire. Au moins un copier-coller devrait être possible.
A mesure que vous demandez moins de données dans le formulaire, il y a moins à prendre en compte. Pour les données dont vous n'avez pas, vous n'avez aucune obligation à remplir. En guise d'épigraphe, mentionnez seulement le droit à l'information des personnes concernées. Les données que vous n'avez pas demandées sont initialement sans importance pour vous. Si quelqu'un veut absolument vous communiquer son numéro de sécurité sociale ou sa taille par formulaire, bien qu'il n'y ait pas d'occasion mentionnée dans le formulaire ou sur le site Web, traitez ces informations avec la même attention que toutes les autres données. Dans le doute, supprimez les informations sensibles envoyées sans demande et ignorez le message (ou demandez un autre moyen de contact), à moins qu'il n'y ait pas d'importance juridique.
Pour rassurer beaucoup de gens, il faut dire que aucun problème de protection des données n'est généralement créé par un formulaire de contact seul. Je connais seulement un cas où le manque de certificat SSL a posé un problème. Ou bien, les données reçues via le formulaire ont été maltraitées, comme on dit si joliment. Mais dans ce dernier cas, cela n'a plus rien à voir avec le thème principal, le formulaire.
Messages clés
Pour créer un formulaire de contact sûr et légal, demandez uniquement l'adresse email et le nom (optionnel).
Demandez seulement les informations dont vous avez vraiment besoin sur vos formulaires de contact.
Pour créer un formulaire de contact efficace, il faut bien définir son objectif, demander uniquement les informations nécessaires et informer clairement les utilisateurs sur l'utilisation de leurs données.
Il est important d'avoir une déclaration de protection des données claire et accessible sur votre site web, mais vous n'avez pas besoin de demander la confirmation explicite des utilisateurs.
Pour éviter le spam dans les formulaires de contact, utilisez des CAPTCHA, des champs de saisie mathématiques ou des filtres antispam.
Pour éviter des problèmes juridiques, utilisez un formulaire de contact personnalisé et un certificat SSL pour votre site web.
Un formulaire de contact bien conçu ne demande que les informations nécessaires et protège les données des utilisateurs.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
